jueves, 24 de junio de 2010
Trabajo correspondiente a la Segunda Solemne
APLICACIÓN DE LAS TICS EN LA AUDITORIA
- MIGUEL RUZ
- RENZO BORLANDO
INTRODUCCION
La Auditoria de las Tecnologías de la Información y las Comunicaciones está adquiriendo cada vez una mayor importancia debido a la necesidad de garantizar la seguridad, continuidad y disponibilidad de las infraestructuras informáticas sobre las que se sustentan los procesos de negocio de toda empresa u organismo, necesitando adicionalmente que todos estos procesos se realicen de forma eficiente.
Por otro lado, los entornos legislativos actuales también hacen referencia a la obligatoriedad de acreditar el cumplimiento de sus normas mediante Auditorías de Sistemas de Información y como parte inherente de la Auditoría Financiera, se está requiriendo cada vez más que los Sistemas de Información sean, a su vez, auditados.
El objetivo de una Auditoría es descubrir las causas de problemas en el funcionamiento, la verificación de presuntas causas o simplemente mejorar su funcionamiento. Algunos ejemplos son:
• Auditoría técnica de sistemas para conocer el estado actual del hardware de la empresa (Estado, Antigüedad, Si es el adecuado, etc.),
• Auditoría de la explotación para conocer el estado actual de los elementos de una explotación(Licencias, Recursos de explotación, ),
• Auditoría de las redes de la empresa (LAN, WAN, Intranets, Extranets, etc.) y evaluar su adecuación, seguridad, etc.
La información obtenida de la auditoría debe servir a la dirección de la empresa para la toma de decisiones, como por ejemplo: Implementar un software o otro según sus necesidades, Conocer los puntos flacos de la infraestructura de la empresa, Realizar un plan de mejora de los SI de la empresa, Implementar medidas para reducir costes, etc.
El tipo de auditoría puede variar (puede ser interna o externa, auditoría de objetivos, etc.). No obstante, como común denominador, el ciclo de vida básico de una auditoría es el siguiente:
1- Inicio de la auditoría: Contrato y definición del alcance. La definición del alcance de la auditoría es un punto crítico, hay que acotar exactamente el trabajo ha hacer para obtener los resultado deseados (Mucha gente no presta atención a esto).
2- Revisión de la documentación y preparación de las actividades: Aquí se define el plan de auditoría, se organiza la inspección y se preparan los documentos de trabajo (Formularios, Listas de verificación, etc.).
3- Desarrollo del plan de auditoría
4- Preparación del informe de la auditoría y presentación de resultados: Una vez finalizadas las acciones del plan de auditoría se debe preparar el informe de auditoría donde debe aparecer toda la documentación de la auditoría y sus conclusiones. También debe realizarse la presentación de los resultados a la persona auditada y asegurarse que son comprendidos.
En resumen, la auditoría es una herramienta poco conocida y muy valiosa a la hora de tomar decisiones en lo que a TIC/SI se refiere. Una auditoría (externa o interna) nos brinda la información necesaria para tomar decisiones sobre una base sólida y con garantías de éxito.
Tecnicas de Auditoria Asistidas por Computador (CAAT)
La Auditoría como concepto, es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis, presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas.
Descomponiendo esta definición tenemos:
a) Contenido: Una Opinión
b) Condición: Profesional
c) Justificación: Sustentada en determinados procedimientos
d) Objeto: Una determinada información obtenida de un cierto soporte.
e) Finalidad: Determinar si presenta adecuadamente la realidad, o ésta responde a las expectativas que le son atribuídas, es decir, su fiabilidad.
¿Qué debe observar el Auditor?
• Prevención e identificación de fraudes
• Manejo de excepciones
• Niveles de autorización
• Conciliaciones de las operaciones vs las finanzas
• Cierres a tiempo? Exactos? Confiables?
• Se rompe la cadena de valor?
• Estamos innovando la forma de hacer negocios?
• Somos eficientes en mayor o menor grado?
• Somos más competitivos?
• ROI
Apoyo TI en la Auditori¬a
La Auditoría, cualquiera sea ésta, puede ser apoyada con la Tecnología de la Información, pero se debe diferenciar la Auditoría según su objeto, que utiliza herramientas informáticas para apoyar el trabajo, de la Auditoría Informática, Auditoría Computacional, Auditoría de Sistemas de Información o de la Auditoría a la Tecnología de la Información.
TAAC o CAAT
Las Técnicas de Auditoría Aisistidas por Computador (TAAC) o su sigla en inglés (CAAT), son herramientas básicas para el Auditor de Estados Financieros.
Consiste en usar Software para realizar pruebas sustantivas o pruebas de cumplimiento, lo que incidirá en mejorar la eficacia y la eficiencia de la Auditoría de Estados Financieros, u otra de distinto objeto.
Las tareas que se realizan, entre otras, son:
• Seleccionar muestras de Auditoría, basada en técnicas estadísticas, al azar y/o cumpliendo un criterio determinado por el auditor.
• Realizar pruebas de sumas y cálculos matemáticos, actuando directamente en los archivos que sirvieron de base para generar los Estados Financieros, validando los saldos.
• Calcular indicadores o razones, comparándo sus resultados con períodos anteriores, con la competencia y/o con la industria, permitiendo realizar pruebas analíticas.
• Ordenar los datos de acuerdo a algún criterio determinado, para realizar cálculos específicos sobre estimaciones, validando las provisiones realizadas.
• Generar Balances de Comprobación y Saldos, Estados Financieros, u otros informes, a partir de los datos que sirvieron de base a los auditados.
• Generar cartas de circularización, para confirmar saldos deudores o acreedores, en forma automática, a partir de los datos almacenados.
• Verificar límites de créditos, plazos de créditos otorgados como recibidos, datos ilógicos (existencias negativas por ejemplo), y cualquier otra prueba que permita validar saldos.
• Realizar diagramas de flujo, crear gráficos de líneas, barras u otros, o cualquier otro antecedente que ayude a mejorar el trabajo de Auditoría.
• LLevar los papeles de trabajo en línea, para generarlos en forma automática, facilitando su acceso a los distintos nieveles de supervisión.
Software de Auditori¬a
El software que se utiliza en Auditoría se puede clasificar en :
Proposito General:
Existe software de Auditoría desarrollado como apoyo en general, denominados comunmente Paquetes de Auditoría.
En el mundo se han desarrollado numerosos paquetes de Auditoría, sobresaliendo hoy en día los siguientes:
• ACL
• IDEA
Estos paquetes están liderando en el mercado mundial, siendo ambos desarrollados en Canadá.
Las ventajas de utilizar este tipo de software, principalmente radican en la madurez que tienen estos paquetes, los que ayudan mucho en la eficiencia del trabajo de auditoría, con sus funciones específicas y a la similitud que hay entre ellos.
La desventaja principal radica en algunas limitaciones propias del lenguaje de consulta que utilizan.
Otros Propositos:
También se puede utilizar en Software hecho con otros propósitos, para que actúen como herramientas de auditoría. Enumerando algunos de ellos, tenemos:
• Excel u otras planillas electrónicas.
• Word u otros procesadores de texto.
• Access u otras bases de datos.
• Paquetes Contables, Administrativos o similares.
• Otros.
Las planillas electrónicas, las bases de datos y los paquetes contables se utilizan importando los archivos de datos, que sirvieron de base para generar los estados financieros auditados, con la finalidad de usar sus funciones para recalcular datos, ordenarlos de acuerdo algún criterio, etc.
Los procesadores de texto permiten generar el dictamen y los informes de auditoría anexos, como también para producir las cartas de confirmación en las circularizaciones, etc.
Proposito Especifico:
En caso de necesidad, se puede desarrollar software para realizar una auditoría específica, siendo muy ventajoso al diseñar procedimientos ad-hoc a la empresa auditada.
La desventaja radica en su alto costo, pero con el uso de las herramientas C.A.S.E. se podría disminuir este costo, realizando una auditoría más eficaz.
Auditoria en Tecnologias de la Informacion
La Asociación de Auditoría y Control de Sistemas de Información ha determinado que la naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Las normas promulgadas por la Asociación de Auditoría y Control de Sistemas de Información son aplicables al trabajo de auditoría realizado por miembros de la Asociación de Auditoría y Control de Sistemas de Información y por las personas que han recibido la designación de Auditor Certificado de Sistemas de Información.
Estándares:
naturaleza especializada de la auditoría a los sistemas de información (SI), así como las destrezas necesarias para llevar a cabo tales auditorías, requiere de estándares que aplican específicamente a la auditoría de SI.
Uno de los objetivos de la Asociación de Auditoría y Control de los Sistemas de Información (Information Systems Audit and Control Association, ISACA) es promover estándares aplicables internacionalmente para cumplir con su visión.
El desarrollo y difusión de los Estándares de Auditoría de SI son una piedra angular de la contribución profesional de ISACA a la comunidad de auditoría.
La estructura para los Estándares de Auditoría de SI brinda múltiples niveles de asesoramiento:
•Los Estándares definen requisitos obligatorios para la auditoría y el reporte de SI. Informan a:
Los auditores de SI respecto al nivel mínimo de desempeño aceptable requerido para cumplir con las responsabilidades profesionales indicadas en el Código de Ética Profesional de ISACA.
La dirección y otras partes interesadas en las expectativas de la profesión con respecto al trabajo de sus profesionales.
Los poseedores de la designación de Auditor Certificado de Sistemas de Información (Certified Information Systems Auditor, CISA) respecto a los requisitos que deben cumplir. El incumplimiento de estos estándares puede resultar en una investigación de la conducta del poseedor del certificado CISA por parte de la Junta de Directores de ISACA o del comité apropiado de ISACA y, en última instancia, en sanciones disciplinarias.
Las Directrices proporcionan asesoramiento en la aplicación de los Estándares de Auditoría de SI. El auditor de SI debe considerarlas al determinar cómo lograr la implementación de los estándares, utilizar un buen juicio profesional en su aplicación y estar dispuesto a justificar cualquier desviación de las mismas. El objetivo de las Directrices de Auditoría de SI es proporcionar mayor información con respecto a cómo cumplir con los Estándares de Auditoría de SI.
Los Procedimientos proporcionan ejemplos de procedimientos que podría seguir un auditor de SI en el curso de un contrato de auditoría. Los documentos sobre procedimientos proporcionan información sobre cómo cumplir con los estándares al realizar trabajos de auditoría de SI, pero no establecen los requisitos correspondientes. El objetivo de los Procedimientos de Auditoría de SI es proporcionar mayor información con respecto a cómo cumplir con los Estándares de Auditoría de SI. Los recursos de COBIT
Deben utilizarse como fuente de asesoramiento con respecto a las mejores prácticas. El Marco Referencial de COBIT establece que:
"Es responsabilidad de la gerencia salvaguardar todos los activos de la empresa. Para descargar esta responsabilidad, así como para lograr sus expectativas, la gerencia debe establecer un adecuado sistema de control interno."
COBIT proporciona un conjunto detallado de controles y de técnicas de control para el entorno de administración/gestión de sistemas de información.
La selección del material más relevante en COBIT aplicable al alcance de la auditoría en particular se basa en la selección de procesos específicos de COBIT para TI, considerando además los criterios de información de COBIT.
Tal como se define en el Marco Referencial de COBIT, cada uno de los siguientes elementos está organizado de acuerdo con el proceso de administración/gestión de TI.
COBIT está destinado para ser utilizado por la gerencia de la empresa y por la gerencia de TI, así como por los auditores de SI; por lo tanto, su utilización permite la comprensión de los objetivos del negocio, la comunicación de las mejores prácticas y las recomendaciones que deben hacerse, basándose en una referencia de estándares comúnmente comprendida y bien respetada.
COBIT incluye:
Objetivos de control — Declaraciones genéricas tanto de alto nivel como detalladas de un nivel mínimo de buen control
Prácticas de control— Motivaciones prácticas y asesoramiento sobre “cómo implementar” los objetivos de control
Directrices de auditoría — Asesoramiento para cada área de control sobre cómo obtener un entendimiento, evaluar cada control, evaluar el cumplimiento y sustanciar el riesgo de que los controles no se cumplan
Directrices gerenciales — Asesoramiento sobre cómo evaluar y mejorar el desempeño del proceso de TI, utilizando modelos de madurez, métricas y factores críticos de éxito.
Proporcionan un marco de referencia administrativo orientado hacia una continua y proactiva autoevaluación del control, enfocada específicamente en:
Medición del desempeño — ¿Qué tan adecuadamente está apoyando la función de TI los requisitos del negocio? Las directrices gerenciales se pueden utilizar para apoyar talleres de autoevaluación, y también se pueden utilizar para apoyar a la gerencia en la implementación de procedimientos de monitoreo y mejora continuos, como parte de un esquema de gobernabilidad de TI.
Perfil del control de TI — ¿Cuáles procesos de TI son importantes? ¿Cuáles son los factores críticos de éxito para el control?
Concientización — ¿Cuáles son los riesgos de no lograr los objetivos?
Benchmarking — ¿Qué hacen los demás? ¿Cómo pueden medirse y compararse los resultados? Las directrices gerenciales proporcionan ejemplos de métricas que permiten la evaluación del desempeño de TI en términos del negocio. Los indicadores claves de resultados identifican y miden los resultados de los procesos de TI, y los indicadores claves de desempeño evalúan lo bien que están funcionando los procesos, al medir los facilitadores del proceso. Los modelos y los atributos de madurez proporcionan evaluaciones de capacidad así como benchmarking, ayudando a que la gerencia pueda medir la capacidad de control y pueda identificar vacíos de control y determinar estrategias para su mejora
Directrices de Auditoria:
P01 Definir un Plan Estratégico de Tecnología de Información.
P02 Definir la Arquitectura de Información
P03 Determinar la Dirección Tecnológica
P04 Definir la Organización y las relaciones de Tecnología de la Información.
P05 Administrar la Inversión en Tecnología de Información.
P06 Comunicar la Dirección y Aspiraciones de Gerencia.
P07 Administrar Recursos Humanos
P08 Asegurar el Cumplimiento de requerimientos externos.
P09 Evaluar Riesgos.
P010 Administrar Proyectos
P011 Administrar Calidad
ADQUISICION E IMPLEMENTACION:
AI1 Identificar Soluciones
AI2 Adquirir y Mantener Software de Aplicación
AI3 Adquirir y Mantener Arquitectura Tecnológica.
AI4 Desarrollar y Mantener Procedimientos relacionados con T.I.
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios.
MONITOREO :
M1 Monitorear los Procesos.
M2 Evaluar lo adecuado del Control Interno.
M3 Obtener Aseguramiento Independiente.
M4 Proporcionar Auditoría Independiente
Control Interno en Tecnología de la información:
Los Controles pueden ser:
• Preventivos
• Detectivos
• Correctivos
• Proactivos
Controles Generales o de Integridad :
Son procedimientos diseñados para asegurar que los programas computacionales funcionan adecuadamente.
Que las modificaciones a programas y datos son debidamente autorizados, y que su administración contribuye a lograr los objetivos y la misión de la empresa.
Objetivos de los Controles Generales o de Integridad
• Preservar los atributos de la información
• Brindar apoyo competitivo
• Mantener la continuidad y consistencia
• Apoyar la eficiencia operativa
• Mantener una cultura informática adecuada
• Apoyar la protección del Patrimonio
• Emplear los recursos TI adecuadamente
Controles de Aplicación:
Son procedimientos diseñados para asegurar que las transacciones son manejadas de acuerdo con los objetivos específicos de control; que la información conserva todos sus atributos y características, y que los sistemas cumplen los objetivos para los cuales fueron creados.
Objetivos Plan Estrategico en T.I.
• Establecer los requerimientos de información de la empresa.
• Construir la Arquitectura de Información que resolverán estos requerimientos.
• Construir la Arquitectura de Sistemas de la empresa que soporte la implementación de la Arquitectura de Información.
• Determinar la Arquitectura Técnica necesaria para soportar la Arquitectura de Sistemas.
• En el sentido más general, se deben destacar dos principios propios de la planificación de sistemas de información:
o Unir la tecnología de la información y la planificación de sistemas a la Planificación de la empresa en orden a contribuir a la planificación estratégica y al desarrollo de esos planes.
o Definir la Estructura que permita que el análisis y diseño de los distintos sistemas y aplicaciones informáticas que se desarrollarán en forma separadas, puedan trabajar juntas.
• Se debe evitar los planes y desarrollos aislados, ya que derivan en:
o Rápidos incrementos de costos e inversiones sobre sistemas, que normalmente no cubrirán totalmente las necesidades de la empresa.
o Redundancia de datos y procesos.
o Inconsistencias e incompatibilidades de la información y de sistemas.
o Falta de estandarización en interfaces.
Consideraciones :
• Para no caer en estos errores, y lograr el máximo de ventaja de las tecnologías de información, se recurre a la planificación de sistemas a largo plazo que contemple lo más ampliamente posible a toda la organización, incluyendo las distintas unidades de negocio o entidades de la corporación, independientemente de su ubicación geográfica, actividad o rango de autonomía en sus propias operaciones.
• Excepciones a esta regla se hace cuando se trata de grandes empresas, que tienen filiales en distintos países y continentes.
• Este es un proceso de definición que debe empezar en el más alto nivel de la organización y terminar en los puntos de la estructura organizativa cuyas actividades son simples dentro del proceso productivo en que se realizan
• Ventajas:
Establecer una relación de las oportunidades de los sistemas de información y las nuevas tecnologías.
• Ventajas competitivas que pueden derivarse.
• Coordinación de la estrategia corporativa con las tendencias de las nuevas tecnologías en los próximos años.
• Evaluación de la contribución de los sistemas de información a los objetivos corporativos y de unidades de negocios y en los F.C. De E.
• Medios en que los sistemas de información pueden contribuir al control de la implementación de la estrategia.
• Aprovechamiento de las inversiones en sistemas de información.
Otros tipos de auditoria en el mundo de las Tics
Alcances de la auditoria tributaria y sus alcances
IFRS
Diagnóstico de diferencias entre NIIF y la norma contable chilena
Es el primer paso dentro de una transición a IFRS. Comprende el análisis de los estados financieros con el objeto de detectar todas las diferencias entre ambos marcos contables y, en consecuencia, establece la base sobre la cual se deberá trabajar en el futuro.
Evaluación de impacto
Es un paso más avanzado dentro del proceso de transición. Permite a la entidad visualizar y evaluar el impacto en su patrimonio y resultados el efecto en sus estados financieros que tendrá la conversión de la norma contable chilena a las normas internacionales de información financiera.
La Transición
Es un proyecto que comprende todo lo relacionado con la transición de los estados financieros desde principios contables generalmente aceptados en Chile a Normas In-ternacionales sobre Presentación de Información Financiero-Contable. Abarca la conversión de los estados financieros, capacitación del personal, asesoría en la adecuación de los sistemas, políticas y la estrategia de comunicación interna y externa.
Capacitación
A fin de capacitar al personal directa e indirectamente relacionado con las NIIF el consultor prepara módulos de instrucción adaptados al negocio y las necesidades de cada cliente.
Servicios Tributarios
Consulta Express
La consulta express tiene una duración máxima de 30 minutos, la que se desarrolla en la empresa u oficina del cliente. En ese lapso de tiempo, el cliente expone sus dudas respecto a alguna inquietud de índole tributaria y/o contable financiera y el consultor entrega una solución o recomendación respecto de su problema dentro de la normativa legal vigente. Si el problema detectado en la consulta es de una complejidad mayor, el consultor acuerda con el cliente un programa de trabajo de común acuerdo a fin de dar solución al problema presentado.
Asesoría Tributaria
El consultor entrega el apoyo técnico necesario para que el cliente pueda resolver su problema tributario. Generalmente, la asesoria se efectúa de acuerdo a la realidad, envergadura y problema del cliente.
Auditoría Tributaria
La auditoria tributaria esta orientada a determinar el correcto y oportuno pago de impuestos por parte del cliente, a fin de evitar cualquier contingencia con el SII. En este proceso se revisan diversos impuestos y registros obligatorios que debe mantener el cliente, tales como; IVA, Impuesto a la Renta, registro FUT y otros.
Planificación Tributaria
La planificación esta orientada a optimizar la carga tributaria del cliente dentro de la normativa legal vigente. Dentro de este proceso se analizan las reorganizaciones sociales, ventas de empresas, situación de los retiros en la venta de derechos, fusión de sociedades, etc.
Modelo de Control de Gestión Financiera
Ofrecemos nuestros servicios de Consultoría en el desarrollo de modelos de control de Gestión para la industria de la construcción, Minería y Servicios conexos, a través de una mirada integral e independiente de las operaciones de cada proyecto, convergiendo hacia la integración de la información y la elaboración de los Cuadros de Mando e informes de Gestión con los indicadores requeridos por cada cliente.
Dentro de los Ámbitos de Control considerados están:
• Control Operativo
• Control Financiero
• Contraloría y Control de Gestión de los proyectos
Auditoria de Calidad y sus Alcances
Hoy día, el concepto de Control de Calidad puede considerarse plenamente incorporado al acerbo empresarial. Sin embargo, se observa cierta confusión en empresas y entidades de todo tipo a la hora de manejar los conceptos de Aseguramiento de la Calidad y Calidad Total.
Evolución histórica:
Puede decirse que la Gestión de la Calidad es consustancial a la actividad de la empresa. No obstante, durante muchos años se desarrolló con criterios y aplicaciones dispares y su práctica fué ocasional e intuitiva.
Es a partir de la Segunda Guerra Mundial, cuando comienza a darse a la Gestión de la Calidad el carácter de función específica y a hacerla aparecer de norma explícita en los organigramas de las Compañías.
Tomando ese momento como punto de partida para el análisis y resumiendo al máximo sus conclusiones, podemos distinguir tres etapas diferentes y sucesivas que enunciaremos así:
• El Control de Calidad.
• El Aseguramiento de la Calidad.
• La Calidad Total.
No se puede hablar, en realidad, de momentos claramente determinados en los que la Gestión de la Calidad cambia de forma brusca y radical al pasar de una etapa a la siguiente. Se trata más bien de ideas y conceptos que han ido incorporándose a los ya existentes y conviven con ellos, pero que marcan las tendencias seguidas por la mayoría de las empresas en sucesivos períodos, con las lógicas diferencias en tiempo e intensidad, según países.
El control de Calidad:
Esta primera etapa se caracteriza por la realización de inspecciones y ensayos para comprobar si una determinada materia prima, un semielaborado o un producto terminado, cumple con las especificaciones establecidas previamente.
Se trata, sin duda, de una concepción poco competitiva de la Gestión de la calidad, ya que las inspecciones o ensayos tienen lugar "a posteriori", cuando la materia prima se ha recibido, cuando un proceso productivo ha concluido o cuando el producto final está terminado.
En el Sector Servicios, la inspección tiene lugar a través de la supervisión del trabajo, que es llevada a cabo habitualmente por el jefe inmediato o el jefe del jefe inmediato de quien lo realiza. (Así ha venido sucediendo en Banca, Seguros, Agencias de viaje, Consultorías, etc.).
Durante esta etapa, la Función de la Calidad en las empresas industriales tiene una importancia y una autoridad muy limitadas y un nivel jerárquico bajo. En las empresas de Servicios, no existe como tal función.
El aseguramiento de la Calidad:
Con el desarrollo tecnológico y económico surgen industrias que no pueden permitirse el lujo de tener un fallo de calidad. Son industrias como la Nuclear, la Aeronáutica, la de Defensa, etc.
Se asume que es más rentable prevenir los fallos de calidad que corregirlos o lamentarlos, y se incorpora el concepto de la "prevención" a la Gestión de la Calidad, que se desarrolla sobre esta nueva idea en las empresas industriales, bajo la denominación de Aseguramiento de la Calidad.
El Aseguramiento de la Calidad es un sistema (la Calidad Total no lo es) y como tal, es un conjunto organizado de procedimientos bien definidos y entrelazados armónicamente, que requiere unos determinados recursos para funcionar.
La Función de la Calidad en las empresas industriales se enriquece en esta etapa con competencias de contenido más amplio y más creativo. La lleva a cabo personal más cualificado y adquiere más autoridad, subiendo uno o dos escalones en el organigrama de las empresas.
Las Normas ISO en su serie 9000 y sus equivalentes europeas EN-ISO 9000 y españolas UNE-EN-ISO 9000 esquematizan los procedimientos y su contenido y establecen los requisitos que una empresa debe cumplir, para considerar que dispone de una Gestión de la Calidad basada en el concepto del aseguramiento.
El Aseguramiento de la Calidad no sustituye al Control de Calidad (etapa anterior) sino que lo absorbe y lo complementa.
Dentro de la Organización el Aseguramiento de la Calidad sirve como herramienta de gestión. En situaciones contractuales también sirve para establecer la confianza en el suministrador.
La Calidad Total:
Las consecuencias de esta forma de plantear la calidad, afectan a toda la empresa desde sus mismos cimientos. Algunas de estas consecuencias son las siguientes:
• Todas las funciones empresariales deben mejorar continuamente la calidad de su trabajo para que la empresa mantenga su eficiencia. Un proveedor poco eficiente terminará, antes o después, creando problemas a su cliente.
• La política de compras basada en el enfrentamiento de muchos proveedores es un error. Es preferible tener pocos proveedores que estén integrados en los planes de la empresa.
• Para lograr una participación espontánea y positiva del personal, es necesario establecer una cultura empresarial basada en un gran respeto al ser humano. Este respeto a la persona se evidencia en hechos tales como: tener en cuenta su opinión, darle formación, aceptar sus buenas ideas, etc.
La llamada Calidad Total es, por lo tanto, cualquier cosa menos un sistema. La Calidad Total es una filosofía, una cultura, una estrategia, un estilo de gerencia, No posee unos perfiles definidos que permitan acotarla. De aquí que la Calidad Total sea entendida y aplicada de muy diferentes formas en distintas empresas y por diferentes asesores especializados.
La Calidad Total supone un nuevo e importante enriquecimiento de la Función de la Calidad en las empresas, aunque, al no ser un sistema como el aseguramiento de la Calidad y al dar lugar a la descentralización de las actividades de prevención y control, hace que los Departamentos de Calidad pierdan su relevancia y, llegado el caso, su sentido.
Evolución en la empresa:
Normalmente, la Gestión de la Calidad en cualquier empresa industrial, con independencia de su tamaño, evoluciona de acuerdo a las tres etapas comentadas.
Si bien, históricamente, nos encontramos ya en la era de la Calidad Total, la empresa española no ha alcanzado todavía, estadísticamente, esta tercera etapa.
En efecto, existen muchas empresas que aún no han superado el primer estadio del Control de Calidad, aunque esta incrementándose en los últimos tiempos el número de empresas que adoptan el Aseguramiento de la Calidad.
Sólo unas pocas, por el momento, constituyen la avanzadilla empresarial en la adopción e implantación de los criterios que definen la Calidad Total
Conclusion
En consecuencia la Tecnología de la Información deja de ser un puro centro de costos, para convertirse en motor de la actividad de la empresa y generador de riqueza tanto al interior de los grupos trabajos como al crecimiento individual de las personas.
La tics, en la Auditoria permiten un entendimiento global de cómo mejorar la calidad profesional, con un entendimiento cabal de la técnicas a aplicar y distintas formas de enfrentar con éxito una auditoria Profesional, independiente Al tipo de auditoria que se trate (de sistemas, calida, financiera, tributaria)
La Tics nos entrega todas las herramientas necesarias para cumplir con nuestro objetivo y entregar una clara y buena calidad de servicio a nuestros clientes.
Finalmente como grupo, consideramos que mas allá del trabajo , que por supuesto es nuestra carrera y profesión a futura, la asignatura amplio claramente nuestros conocimientos en busca de nuevas herramientas de Gestion y de Aplicación en esta asignatura , así como en toda nuestra malla curricular, ha sido de gran aporte entender la importancia de las Tics en la Gestion del conocimiento y será una herramienta mas para nuestra maleta de conocimientos que nos permitirá desarrollar de mejor manera nuestras competencias
- MIGUEL RUZ
- RENZO BORLANDO
INTRODUCCION
La Auditoria de las Tecnologías de la Información y las Comunicaciones está adquiriendo cada vez una mayor importancia debido a la necesidad de garantizar la seguridad, continuidad y disponibilidad de las infraestructuras informáticas sobre las que se sustentan los procesos de negocio de toda empresa u organismo, necesitando adicionalmente que todos estos procesos se realicen de forma eficiente.
Por otro lado, los entornos legislativos actuales también hacen referencia a la obligatoriedad de acreditar el cumplimiento de sus normas mediante Auditorías de Sistemas de Información y como parte inherente de la Auditoría Financiera, se está requiriendo cada vez más que los Sistemas de Información sean, a su vez, auditados.
El objetivo de una Auditoría es descubrir las causas de problemas en el funcionamiento, la verificación de presuntas causas o simplemente mejorar su funcionamiento. Algunos ejemplos son:
• Auditoría técnica de sistemas para conocer el estado actual del hardware de la empresa (Estado, Antigüedad, Si es el adecuado, etc.),
• Auditoría de la explotación para conocer el estado actual de los elementos de una explotación(Licencias, Recursos de explotación, ),
• Auditoría de las redes de la empresa (LAN, WAN, Intranets, Extranets, etc.) y evaluar su adecuación, seguridad, etc.
La información obtenida de la auditoría debe servir a la dirección de la empresa para la toma de decisiones, como por ejemplo: Implementar un software o otro según sus necesidades, Conocer los puntos flacos de la infraestructura de la empresa, Realizar un plan de mejora de los SI de la empresa, Implementar medidas para reducir costes, etc.
El tipo de auditoría puede variar (puede ser interna o externa, auditoría de objetivos, etc.). No obstante, como común denominador, el ciclo de vida básico de una auditoría es el siguiente:
1- Inicio de la auditoría: Contrato y definición del alcance. La definición del alcance de la auditoría es un punto crítico, hay que acotar exactamente el trabajo ha hacer para obtener los resultado deseados (Mucha gente no presta atención a esto).
2- Revisión de la documentación y preparación de las actividades: Aquí se define el plan de auditoría, se organiza la inspección y se preparan los documentos de trabajo (Formularios, Listas de verificación, etc.).
3- Desarrollo del plan de auditoría
4- Preparación del informe de la auditoría y presentación de resultados: Una vez finalizadas las acciones del plan de auditoría se debe preparar el informe de auditoría donde debe aparecer toda la documentación de la auditoría y sus conclusiones. También debe realizarse la presentación de los resultados a la persona auditada y asegurarse que son comprendidos.
En resumen, la auditoría es una herramienta poco conocida y muy valiosa a la hora de tomar decisiones en lo que a TIC/SI se refiere. Una auditoría (externa o interna) nos brinda la información necesaria para tomar decisiones sobre una base sólida y con garantías de éxito.
Tecnicas de Auditoria Asistidas por Computador (CAAT)
La Auditoría como concepto, es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis, presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas.
Descomponiendo esta definición tenemos:
a) Contenido: Una Opinión
b) Condición: Profesional
c) Justificación: Sustentada en determinados procedimientos
d) Objeto: Una determinada información obtenida de un cierto soporte.
e) Finalidad: Determinar si presenta adecuadamente la realidad, o ésta responde a las expectativas que le son atribuídas, es decir, su fiabilidad.
¿Qué debe observar el Auditor?
• Prevención e identificación de fraudes
• Manejo de excepciones
• Niveles de autorización
• Conciliaciones de las operaciones vs las finanzas
• Cierres a tiempo? Exactos? Confiables?
• Se rompe la cadena de valor?
• Estamos innovando la forma de hacer negocios?
• Somos eficientes en mayor o menor grado?
• Somos más competitivos?
• ROI
Apoyo TI en la Auditori¬a
La Auditoría, cualquiera sea ésta, puede ser apoyada con la Tecnología de la Información, pero se debe diferenciar la Auditoría según su objeto, que utiliza herramientas informáticas para apoyar el trabajo, de la Auditoría Informática, Auditoría Computacional, Auditoría de Sistemas de Información o de la Auditoría a la Tecnología de la Información.
TAAC o CAAT
Las Técnicas de Auditoría Aisistidas por Computador (TAAC) o su sigla en inglés (CAAT), son herramientas básicas para el Auditor de Estados Financieros.
Consiste en usar Software para realizar pruebas sustantivas o pruebas de cumplimiento, lo que incidirá en mejorar la eficacia y la eficiencia de la Auditoría de Estados Financieros, u otra de distinto objeto.
Las tareas que se realizan, entre otras, son:
• Seleccionar muestras de Auditoría, basada en técnicas estadísticas, al azar y/o cumpliendo un criterio determinado por el auditor.
• Realizar pruebas de sumas y cálculos matemáticos, actuando directamente en los archivos que sirvieron de base para generar los Estados Financieros, validando los saldos.
• Calcular indicadores o razones, comparándo sus resultados con períodos anteriores, con la competencia y/o con la industria, permitiendo realizar pruebas analíticas.
• Ordenar los datos de acuerdo a algún criterio determinado, para realizar cálculos específicos sobre estimaciones, validando las provisiones realizadas.
• Generar Balances de Comprobación y Saldos, Estados Financieros, u otros informes, a partir de los datos que sirvieron de base a los auditados.
• Generar cartas de circularización, para confirmar saldos deudores o acreedores, en forma automática, a partir de los datos almacenados.
• Verificar límites de créditos, plazos de créditos otorgados como recibidos, datos ilógicos (existencias negativas por ejemplo), y cualquier otra prueba que permita validar saldos.
• Realizar diagramas de flujo, crear gráficos de líneas, barras u otros, o cualquier otro antecedente que ayude a mejorar el trabajo de Auditoría.
• LLevar los papeles de trabajo en línea, para generarlos en forma automática, facilitando su acceso a los distintos nieveles de supervisión.
Software de Auditori¬a
El software que se utiliza en Auditoría se puede clasificar en :
Proposito General:
Existe software de Auditoría desarrollado como apoyo en general, denominados comunmente Paquetes de Auditoría.
En el mundo se han desarrollado numerosos paquetes de Auditoría, sobresaliendo hoy en día los siguientes:
• ACL
• IDEA
Estos paquetes están liderando en el mercado mundial, siendo ambos desarrollados en Canadá.
Las ventajas de utilizar este tipo de software, principalmente radican en la madurez que tienen estos paquetes, los que ayudan mucho en la eficiencia del trabajo de auditoría, con sus funciones específicas y a la similitud que hay entre ellos.
La desventaja principal radica en algunas limitaciones propias del lenguaje de consulta que utilizan.
Otros Propositos:
También se puede utilizar en Software hecho con otros propósitos, para que actúen como herramientas de auditoría. Enumerando algunos de ellos, tenemos:
• Excel u otras planillas electrónicas.
• Word u otros procesadores de texto.
• Access u otras bases de datos.
• Paquetes Contables, Administrativos o similares.
• Otros.
Las planillas electrónicas, las bases de datos y los paquetes contables se utilizan importando los archivos de datos, que sirvieron de base para generar los estados financieros auditados, con la finalidad de usar sus funciones para recalcular datos, ordenarlos de acuerdo algún criterio, etc.
Los procesadores de texto permiten generar el dictamen y los informes de auditoría anexos, como también para producir las cartas de confirmación en las circularizaciones, etc.
Proposito Especifico:
En caso de necesidad, se puede desarrollar software para realizar una auditoría específica, siendo muy ventajoso al diseñar procedimientos ad-hoc a la empresa auditada.
La desventaja radica en su alto costo, pero con el uso de las herramientas C.A.S.E. se podría disminuir este costo, realizando una auditoría más eficaz.
Auditoria en Tecnologias de la Informacion
La Asociación de Auditoría y Control de Sistemas de Información ha determinado que la naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Las normas promulgadas por la Asociación de Auditoría y Control de Sistemas de Información son aplicables al trabajo de auditoría realizado por miembros de la Asociación de Auditoría y Control de Sistemas de Información y por las personas que han recibido la designación de Auditor Certificado de Sistemas de Información.
Estándares:
naturaleza especializada de la auditoría a los sistemas de información (SI), así como las destrezas necesarias para llevar a cabo tales auditorías, requiere de estándares que aplican específicamente a la auditoría de SI.
Uno de los objetivos de la Asociación de Auditoría y Control de los Sistemas de Información (Information Systems Audit and Control Association, ISACA) es promover estándares aplicables internacionalmente para cumplir con su visión.
El desarrollo y difusión de los Estándares de Auditoría de SI son una piedra angular de la contribución profesional de ISACA a la comunidad de auditoría.
La estructura para los Estándares de Auditoría de SI brinda múltiples niveles de asesoramiento:
•Los Estándares definen requisitos obligatorios para la auditoría y el reporte de SI. Informan a:
Los auditores de SI respecto al nivel mínimo de desempeño aceptable requerido para cumplir con las responsabilidades profesionales indicadas en el Código de Ética Profesional de ISACA.
La dirección y otras partes interesadas en las expectativas de la profesión con respecto al trabajo de sus profesionales.
Los poseedores de la designación de Auditor Certificado de Sistemas de Información (Certified Information Systems Auditor, CISA) respecto a los requisitos que deben cumplir. El incumplimiento de estos estándares puede resultar en una investigación de la conducta del poseedor del certificado CISA por parte de la Junta de Directores de ISACA o del comité apropiado de ISACA y, en última instancia, en sanciones disciplinarias.
Las Directrices proporcionan asesoramiento en la aplicación de los Estándares de Auditoría de SI. El auditor de SI debe considerarlas al determinar cómo lograr la implementación de los estándares, utilizar un buen juicio profesional en su aplicación y estar dispuesto a justificar cualquier desviación de las mismas. El objetivo de las Directrices de Auditoría de SI es proporcionar mayor información con respecto a cómo cumplir con los Estándares de Auditoría de SI.
Los Procedimientos proporcionan ejemplos de procedimientos que podría seguir un auditor de SI en el curso de un contrato de auditoría. Los documentos sobre procedimientos proporcionan información sobre cómo cumplir con los estándares al realizar trabajos de auditoría de SI, pero no establecen los requisitos correspondientes. El objetivo de los Procedimientos de Auditoría de SI es proporcionar mayor información con respecto a cómo cumplir con los Estándares de Auditoría de SI. Los recursos de COBIT
Deben utilizarse como fuente de asesoramiento con respecto a las mejores prácticas. El Marco Referencial de COBIT establece que:
"Es responsabilidad de la gerencia salvaguardar todos los activos de la empresa. Para descargar esta responsabilidad, así como para lograr sus expectativas, la gerencia debe establecer un adecuado sistema de control interno."
COBIT proporciona un conjunto detallado de controles y de técnicas de control para el entorno de administración/gestión de sistemas de información.
La selección del material más relevante en COBIT aplicable al alcance de la auditoría en particular se basa en la selección de procesos específicos de COBIT para TI, considerando además los criterios de información de COBIT.
Tal como se define en el Marco Referencial de COBIT, cada uno de los siguientes elementos está organizado de acuerdo con el proceso de administración/gestión de TI.
COBIT está destinado para ser utilizado por la gerencia de la empresa y por la gerencia de TI, así como por los auditores de SI; por lo tanto, su utilización permite la comprensión de los objetivos del negocio, la comunicación de las mejores prácticas y las recomendaciones que deben hacerse, basándose en una referencia de estándares comúnmente comprendida y bien respetada.
COBIT incluye:
Objetivos de control — Declaraciones genéricas tanto de alto nivel como detalladas de un nivel mínimo de buen control
Prácticas de control— Motivaciones prácticas y asesoramiento sobre “cómo implementar” los objetivos de control
Directrices de auditoría — Asesoramiento para cada área de control sobre cómo obtener un entendimiento, evaluar cada control, evaluar el cumplimiento y sustanciar el riesgo de que los controles no se cumplan
Directrices gerenciales — Asesoramiento sobre cómo evaluar y mejorar el desempeño del proceso de TI, utilizando modelos de madurez, métricas y factores críticos de éxito.
Proporcionan un marco de referencia administrativo orientado hacia una continua y proactiva autoevaluación del control, enfocada específicamente en:
Medición del desempeño — ¿Qué tan adecuadamente está apoyando la función de TI los requisitos del negocio? Las directrices gerenciales se pueden utilizar para apoyar talleres de autoevaluación, y también se pueden utilizar para apoyar a la gerencia en la implementación de procedimientos de monitoreo y mejora continuos, como parte de un esquema de gobernabilidad de TI.
Perfil del control de TI — ¿Cuáles procesos de TI son importantes? ¿Cuáles son los factores críticos de éxito para el control?
Concientización — ¿Cuáles son los riesgos de no lograr los objetivos?
Benchmarking — ¿Qué hacen los demás? ¿Cómo pueden medirse y compararse los resultados? Las directrices gerenciales proporcionan ejemplos de métricas que permiten la evaluación del desempeño de TI en términos del negocio. Los indicadores claves de resultados identifican y miden los resultados de los procesos de TI, y los indicadores claves de desempeño evalúan lo bien que están funcionando los procesos, al medir los facilitadores del proceso. Los modelos y los atributos de madurez proporcionan evaluaciones de capacidad así como benchmarking, ayudando a que la gerencia pueda medir la capacidad de control y pueda identificar vacíos de control y determinar estrategias para su mejora
Directrices de Auditoria:
P01 Definir un Plan Estratégico de Tecnología de Información.
P02 Definir la Arquitectura de Información
P03 Determinar la Dirección Tecnológica
P04 Definir la Organización y las relaciones de Tecnología de la Información.
P05 Administrar la Inversión en Tecnología de Información.
P06 Comunicar la Dirección y Aspiraciones de Gerencia.
P07 Administrar Recursos Humanos
P08 Asegurar el Cumplimiento de requerimientos externos.
P09 Evaluar Riesgos.
P010 Administrar Proyectos
P011 Administrar Calidad
ADQUISICION E IMPLEMENTACION:
AI1 Identificar Soluciones
AI2 Adquirir y Mantener Software de Aplicación
AI3 Adquirir y Mantener Arquitectura Tecnológica.
AI4 Desarrollar y Mantener Procedimientos relacionados con T.I.
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios.
MONITOREO :
M1 Monitorear los Procesos.
M2 Evaluar lo adecuado del Control Interno.
M3 Obtener Aseguramiento Independiente.
M4 Proporcionar Auditoría Independiente
Control Interno en Tecnología de la información:
Los Controles pueden ser:
• Preventivos
• Detectivos
• Correctivos
• Proactivos
Controles Generales o de Integridad :
Son procedimientos diseñados para asegurar que los programas computacionales funcionan adecuadamente.
Que las modificaciones a programas y datos son debidamente autorizados, y que su administración contribuye a lograr los objetivos y la misión de la empresa.
Objetivos de los Controles Generales o de Integridad
• Preservar los atributos de la información
• Brindar apoyo competitivo
• Mantener la continuidad y consistencia
• Apoyar la eficiencia operativa
• Mantener una cultura informática adecuada
• Apoyar la protección del Patrimonio
• Emplear los recursos TI adecuadamente
Controles de Aplicación:
Son procedimientos diseñados para asegurar que las transacciones son manejadas de acuerdo con los objetivos específicos de control; que la información conserva todos sus atributos y características, y que los sistemas cumplen los objetivos para los cuales fueron creados.
Objetivos Plan Estrategico en T.I.
• Establecer los requerimientos de información de la empresa.
• Construir la Arquitectura de Información que resolverán estos requerimientos.
• Construir la Arquitectura de Sistemas de la empresa que soporte la implementación de la Arquitectura de Información.
• Determinar la Arquitectura Técnica necesaria para soportar la Arquitectura de Sistemas.
• En el sentido más general, se deben destacar dos principios propios de la planificación de sistemas de información:
o Unir la tecnología de la información y la planificación de sistemas a la Planificación de la empresa en orden a contribuir a la planificación estratégica y al desarrollo de esos planes.
o Definir la Estructura que permita que el análisis y diseño de los distintos sistemas y aplicaciones informáticas que se desarrollarán en forma separadas, puedan trabajar juntas.
• Se debe evitar los planes y desarrollos aislados, ya que derivan en:
o Rápidos incrementos de costos e inversiones sobre sistemas, que normalmente no cubrirán totalmente las necesidades de la empresa.
o Redundancia de datos y procesos.
o Inconsistencias e incompatibilidades de la información y de sistemas.
o Falta de estandarización en interfaces.
Consideraciones :
• Para no caer en estos errores, y lograr el máximo de ventaja de las tecnologías de información, se recurre a la planificación de sistemas a largo plazo que contemple lo más ampliamente posible a toda la organización, incluyendo las distintas unidades de negocio o entidades de la corporación, independientemente de su ubicación geográfica, actividad o rango de autonomía en sus propias operaciones.
• Excepciones a esta regla se hace cuando se trata de grandes empresas, que tienen filiales en distintos países y continentes.
• Este es un proceso de definición que debe empezar en el más alto nivel de la organización y terminar en los puntos de la estructura organizativa cuyas actividades son simples dentro del proceso productivo en que se realizan
• Ventajas:
Establecer una relación de las oportunidades de los sistemas de información y las nuevas tecnologías.
• Ventajas competitivas que pueden derivarse.
• Coordinación de la estrategia corporativa con las tendencias de las nuevas tecnologías en los próximos años.
• Evaluación de la contribución de los sistemas de información a los objetivos corporativos y de unidades de negocios y en los F.C. De E.
• Medios en que los sistemas de información pueden contribuir al control de la implementación de la estrategia.
• Aprovechamiento de las inversiones en sistemas de información.
Otros tipos de auditoria en el mundo de las Tics
Alcances de la auditoria tributaria y sus alcances
IFRS
Diagnóstico de diferencias entre NIIF y la norma contable chilena
Es el primer paso dentro de una transición a IFRS. Comprende el análisis de los estados financieros con el objeto de detectar todas las diferencias entre ambos marcos contables y, en consecuencia, establece la base sobre la cual se deberá trabajar en el futuro.
Evaluación de impacto
Es un paso más avanzado dentro del proceso de transición. Permite a la entidad visualizar y evaluar el impacto en su patrimonio y resultados el efecto en sus estados financieros que tendrá la conversión de la norma contable chilena a las normas internacionales de información financiera.
La Transición
Es un proyecto que comprende todo lo relacionado con la transición de los estados financieros desde principios contables generalmente aceptados en Chile a Normas In-ternacionales sobre Presentación de Información Financiero-Contable. Abarca la conversión de los estados financieros, capacitación del personal, asesoría en la adecuación de los sistemas, políticas y la estrategia de comunicación interna y externa.
Capacitación
A fin de capacitar al personal directa e indirectamente relacionado con las NIIF el consultor prepara módulos de instrucción adaptados al negocio y las necesidades de cada cliente.
Servicios Tributarios
Consulta Express
La consulta express tiene una duración máxima de 30 minutos, la que se desarrolla en la empresa u oficina del cliente. En ese lapso de tiempo, el cliente expone sus dudas respecto a alguna inquietud de índole tributaria y/o contable financiera y el consultor entrega una solución o recomendación respecto de su problema dentro de la normativa legal vigente. Si el problema detectado en la consulta es de una complejidad mayor, el consultor acuerda con el cliente un programa de trabajo de común acuerdo a fin de dar solución al problema presentado.
Asesoría Tributaria
El consultor entrega el apoyo técnico necesario para que el cliente pueda resolver su problema tributario. Generalmente, la asesoria se efectúa de acuerdo a la realidad, envergadura y problema del cliente.
Auditoría Tributaria
La auditoria tributaria esta orientada a determinar el correcto y oportuno pago de impuestos por parte del cliente, a fin de evitar cualquier contingencia con el SII. En este proceso se revisan diversos impuestos y registros obligatorios que debe mantener el cliente, tales como; IVA, Impuesto a la Renta, registro FUT y otros.
Planificación Tributaria
La planificación esta orientada a optimizar la carga tributaria del cliente dentro de la normativa legal vigente. Dentro de este proceso se analizan las reorganizaciones sociales, ventas de empresas, situación de los retiros en la venta de derechos, fusión de sociedades, etc.
Modelo de Control de Gestión Financiera
Ofrecemos nuestros servicios de Consultoría en el desarrollo de modelos de control de Gestión para la industria de la construcción, Minería y Servicios conexos, a través de una mirada integral e independiente de las operaciones de cada proyecto, convergiendo hacia la integración de la información y la elaboración de los Cuadros de Mando e informes de Gestión con los indicadores requeridos por cada cliente.
Dentro de los Ámbitos de Control considerados están:
• Control Operativo
• Control Financiero
• Contraloría y Control de Gestión de los proyectos
Auditoria de Calidad y sus Alcances
Hoy día, el concepto de Control de Calidad puede considerarse plenamente incorporado al acerbo empresarial. Sin embargo, se observa cierta confusión en empresas y entidades de todo tipo a la hora de manejar los conceptos de Aseguramiento de la Calidad y Calidad Total.
Evolución histórica:
Puede decirse que la Gestión de la Calidad es consustancial a la actividad de la empresa. No obstante, durante muchos años se desarrolló con criterios y aplicaciones dispares y su práctica fué ocasional e intuitiva.
Es a partir de la Segunda Guerra Mundial, cuando comienza a darse a la Gestión de la Calidad el carácter de función específica y a hacerla aparecer de norma explícita en los organigramas de las Compañías.
Tomando ese momento como punto de partida para el análisis y resumiendo al máximo sus conclusiones, podemos distinguir tres etapas diferentes y sucesivas que enunciaremos así:
• El Control de Calidad.
• El Aseguramiento de la Calidad.
• La Calidad Total.
No se puede hablar, en realidad, de momentos claramente determinados en los que la Gestión de la Calidad cambia de forma brusca y radical al pasar de una etapa a la siguiente. Se trata más bien de ideas y conceptos que han ido incorporándose a los ya existentes y conviven con ellos, pero que marcan las tendencias seguidas por la mayoría de las empresas en sucesivos períodos, con las lógicas diferencias en tiempo e intensidad, según países.
El control de Calidad:
Esta primera etapa se caracteriza por la realización de inspecciones y ensayos para comprobar si una determinada materia prima, un semielaborado o un producto terminado, cumple con las especificaciones establecidas previamente.
Se trata, sin duda, de una concepción poco competitiva de la Gestión de la calidad, ya que las inspecciones o ensayos tienen lugar "a posteriori", cuando la materia prima se ha recibido, cuando un proceso productivo ha concluido o cuando el producto final está terminado.
En el Sector Servicios, la inspección tiene lugar a través de la supervisión del trabajo, que es llevada a cabo habitualmente por el jefe inmediato o el jefe del jefe inmediato de quien lo realiza. (Así ha venido sucediendo en Banca, Seguros, Agencias de viaje, Consultorías, etc.).
Durante esta etapa, la Función de la Calidad en las empresas industriales tiene una importancia y una autoridad muy limitadas y un nivel jerárquico bajo. En las empresas de Servicios, no existe como tal función.
El aseguramiento de la Calidad:
Con el desarrollo tecnológico y económico surgen industrias que no pueden permitirse el lujo de tener un fallo de calidad. Son industrias como la Nuclear, la Aeronáutica, la de Defensa, etc.
Se asume que es más rentable prevenir los fallos de calidad que corregirlos o lamentarlos, y se incorpora el concepto de la "prevención" a la Gestión de la Calidad, que se desarrolla sobre esta nueva idea en las empresas industriales, bajo la denominación de Aseguramiento de la Calidad.
El Aseguramiento de la Calidad es un sistema (la Calidad Total no lo es) y como tal, es un conjunto organizado de procedimientos bien definidos y entrelazados armónicamente, que requiere unos determinados recursos para funcionar.
La Función de la Calidad en las empresas industriales se enriquece en esta etapa con competencias de contenido más amplio y más creativo. La lleva a cabo personal más cualificado y adquiere más autoridad, subiendo uno o dos escalones en el organigrama de las empresas.
Las Normas ISO en su serie 9000 y sus equivalentes europeas EN-ISO 9000 y españolas UNE-EN-ISO 9000 esquematizan los procedimientos y su contenido y establecen los requisitos que una empresa debe cumplir, para considerar que dispone de una Gestión de la Calidad basada en el concepto del aseguramiento.
El Aseguramiento de la Calidad no sustituye al Control de Calidad (etapa anterior) sino que lo absorbe y lo complementa.
Dentro de la Organización el Aseguramiento de la Calidad sirve como herramienta de gestión. En situaciones contractuales también sirve para establecer la confianza en el suministrador.
La Calidad Total:
Las consecuencias de esta forma de plantear la calidad, afectan a toda la empresa desde sus mismos cimientos. Algunas de estas consecuencias son las siguientes:
• Todas las funciones empresariales deben mejorar continuamente la calidad de su trabajo para que la empresa mantenga su eficiencia. Un proveedor poco eficiente terminará, antes o después, creando problemas a su cliente.
• La política de compras basada en el enfrentamiento de muchos proveedores es un error. Es preferible tener pocos proveedores que estén integrados en los planes de la empresa.
• Para lograr una participación espontánea y positiva del personal, es necesario establecer una cultura empresarial basada en un gran respeto al ser humano. Este respeto a la persona se evidencia en hechos tales como: tener en cuenta su opinión, darle formación, aceptar sus buenas ideas, etc.
La llamada Calidad Total es, por lo tanto, cualquier cosa menos un sistema. La Calidad Total es una filosofía, una cultura, una estrategia, un estilo de gerencia, No posee unos perfiles definidos que permitan acotarla. De aquí que la Calidad Total sea entendida y aplicada de muy diferentes formas en distintas empresas y por diferentes asesores especializados.
La Calidad Total supone un nuevo e importante enriquecimiento de la Función de la Calidad en las empresas, aunque, al no ser un sistema como el aseguramiento de la Calidad y al dar lugar a la descentralización de las actividades de prevención y control, hace que los Departamentos de Calidad pierdan su relevancia y, llegado el caso, su sentido.
Evolución en la empresa:
Normalmente, la Gestión de la Calidad en cualquier empresa industrial, con independencia de su tamaño, evoluciona de acuerdo a las tres etapas comentadas.
Si bien, históricamente, nos encontramos ya en la era de la Calidad Total, la empresa española no ha alcanzado todavía, estadísticamente, esta tercera etapa.
En efecto, existen muchas empresas que aún no han superado el primer estadio del Control de Calidad, aunque esta incrementándose en los últimos tiempos el número de empresas que adoptan el Aseguramiento de la Calidad.
Sólo unas pocas, por el momento, constituyen la avanzadilla empresarial en la adopción e implantación de los criterios que definen la Calidad Total
Conclusion
En consecuencia la Tecnología de la Información deja de ser un puro centro de costos, para convertirse en motor de la actividad de la empresa y generador de riqueza tanto al interior de los grupos trabajos como al crecimiento individual de las personas.
La tics, en la Auditoria permiten un entendimiento global de cómo mejorar la calidad profesional, con un entendimiento cabal de la técnicas a aplicar y distintas formas de enfrentar con éxito una auditoria Profesional, independiente Al tipo de auditoria que se trate (de sistemas, calida, financiera, tributaria)
La Tics nos entrega todas las herramientas necesarias para cumplir con nuestro objetivo y entregar una clara y buena calidad de servicio a nuestros clientes.
Finalmente como grupo, consideramos que mas allá del trabajo , que por supuesto es nuestra carrera y profesión a futura, la asignatura amplio claramente nuestros conocimientos en busca de nuevas herramientas de Gestion y de Aplicación en esta asignatura , así como en toda nuestra malla curricular, ha sido de gran aporte entender la importancia de las Tics en la Gestion del conocimiento y será una herramienta mas para nuestra maleta de conocimientos que nos permitirá desarrollar de mejor manera nuestras competencias
martes, 15 de junio de 2010
solemne
Las tecnologías de la información y la comunicación no son ninguna panacea ni fórmula mágica, pero pueden mejorar la vida de todos los habitantes del planeta. Se disponen de herramientas para llegar a los Objetivos de Desarrollo del Milenio, de instrumentos que harán avanzar la causa de la libertad y la democracia, y de los medios necesarios para propagar los conocimientos y facilitar la comprensión mutua"
El uso de las tecnologías de información y comunicación entre los habitantes de una población, ayuda a disminuir la brecha digital existente en dicha localidad, ya que aumentaría el conglomerado de personas que utilizan las Tic como medio tecnológico para el desarrollo de sus actividades y por ende se reduce el conjunto de personas que no las utilizan.
Se pueden considerar las Tecnologías de Información y Comunicación (TIC) un concepto uando apareció y se popularizó en la década de los 50 del siglo pasado. No obstante esto, hoy no se pondrían en una lista de TIC y es muy posible que actualmente los ordenadores ya no puedan ser calificados de nuevas tecnologías. A pesar de esto, en un concepto amplio, se puede considerar que el teléfono, la televisión y el forman parte de lo que se llama TIC, tecnologías que favorecen la comunicación y el intercambio de información en el mundo actual.
En nuestro trabajo de aplicacion de tics en la Auditoria, conoceremos la iportancia que tiene la tecnologia como herramienta para la utilizacion de informacion y el aporte que nos entrega para lograr nuestros objetivos planteados al inicio referente a la gestion y control de procesos en la Auditoria
La Auditoría como concepto, es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis, presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas.
Descomponiendo esta definición tenemos:
a) Contenido: Una Opinión
b) Condición: Profesional
c) Justificación: Sustentada en determinados procedimientos
d) Objeto: Una determinada información obtenida de un cierto soporte.
e) Finalidad: Determinar si presenta adecuadamente la realidad, o ésta responde a las expectativas que le son atribuídas, es decir, su fiabilidad.
¿Qué debe observar el Auditor?
Prevención e identificación de fraudes
Manejo de excepciones
Niveles de autorización
Conciliaciones de las operaciones vs las finanzas
Cierres a tiempo? Exactos? Confiables?
Se rompe la cadena de valor?
Estamos innovando la forma de hacer negocios?
Somos eficientes en mayor o menor grado?
Somos más competitivos?
ROI
Auditoria en Tecnologias de la Informacion
La Asociación de Auditoría y Control de Sistemas de Información ha determinado que la naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Las normas promulgadas por la Asociación de Auditoría y Control de Sistemas de Información son aplicables al trabajo de auditoría realizado por miembros de la Asociación de Auditoría y Control de Sistemas de Información y por las personas que han recibido la designación de Auditor Certificado de Sistemas de Información.
Control Interno en Tecnologia de Informacion
Los Controles pueden ser:
Preventivos
Detectivos
Correctivos
Proactivos
Objetivos Plan Estrategico en T.I.
Establecer los requerimientos de información de la empresa.
Construir la Arquitectura de Información que resolverán estos requerimientos.
Construir la Arquitectura de Sistemas de la empresa que soporte la implementación de la Arquitectura de Información.
Determinar la Arquitectura Técnica necesaria para soportar la Arquitectura de Sistemas.
En el sentido más general, se deben destacar dos principios propios de la planificación de sistemas de información:
Unir la tecnología de la información y la planificación de sistemas a la Planificación de la empresa en orden a contribuir a la planificación estratégica y al desarrollo de esos planes.
Definir la Estructura que permita que el análisis y diseño de los distintos sistemas y aplicaciones informáticas que se desarrollarán en forma separadas, puedan trabajar juntas.
Se debe evitar los planes y desarrollos aislados, ya que derivan en:
Rápidos incrementos de costos e inversiones sobre sistemas, que normalmente no cubrirán totalmente las necesidades de la empresa.
Redundancia de datos y procesos.
Inconsistencias e incompatibilidades de la información y de sistemas.
Falta de estandarización en interfaces.
Consideraciones
Para no caer en estos errores, y lograr el máximo de ventaja de las tecnologías de información, se recurre a la planificación de sistemas a largo plazo que contemple lo más ampliamente posible a toda la organización, incluyendo las distintas unidades de negocio o entidades de la corporación, independientemente de su ubicación geográfica, actividad o rango de autonomía en sus propias operaciones.
Excepciones a esta regla se hace cuando se trata de grandes empresas, que tienen filiales en distintos países y continentes.
Este es un proceso de definición que debe empezar en el más alto nivel de la organización y terminar en los puntos de la estructura organizativa cuyas actividades son simples dentro del proceso productivo en que se realizan.
Ventajas
Establecer una relación de las oportunidades de los sistemas de información y las nuevas tecnologías.
Ventajas competitivas que pueden derivarse.
Coordinación de la estrategia corporativa con las tendencias de las nuevas tecnologías en los próximos años.
Evaluación de la contribución de los sistemas de información a los objetivos corporativos y de unidades de negocios y en los F.C. De E.
Medios en que los sistemas de información pueden contribuir al control de la implementación de la estrategia.
Aprovechamiento de las inversiones en sistemas de información.
En consecuencia la Tecnología de la Información deja de ser un puro centro de costos, para convertirse en motor de la actividad de la empresa y generador de riqueza.
Desarrollo del Perfil Informatico
Comite de Informatica
Para orientar el trabajo del C.P.D., debe existir un comité de informática, formado por el Gerente General, Gerentes de Área, Jefe del C.P.D. y un representante del Directorio.
Objetivos de este comité:
Orientar al C.P.D. en consonancia con la misión y objetivos de la organización.
Evaluar las solicitudes ante requerimientos de nuevos sistemas, para su aprobación, al estar en concordancia con los objetivos de la organización.
Asegurarse de la utilización eficaz y eficiente de los recursos disponibles en el C.P.D.
Fijar las prioridades, evaluar los estudios de factibilidad y brindar el respaldo necesario a los distintos proyectos que están apareciendo.
Decidir sobre la centralización o descentralización del C.P.D., el uso de plataformas de hardware y software y metodologías de desarrollo, entre otros.
Asignar responsabilidades de funciones:
Justificación de adquisiciones
Selección, compra, prueba y adquisición de Hw. y Sw.
Desarrollo de sistemas y cambios a los existentes.
Instalación e Implementación de Hw. y Sw.
Documentación actualizada de políticas, procedimientos y desarrollo de sistemas.
Mantenimiento de Equipos e Insumos.
Seguridad de Datos y Programas.
Entrenamiento de Usuarios y Soporte Técnico.
Normas, Políticas y Procedimientos referidos a las áreas mencionadas.
Cumplimiento de la Ley de Propiedad Intelectual (Copyright) y utilización no autorizada de datos y programas de la empresa.
Uso de datos, información, programas y otros, pertenecientes a otras empresas, obtenidos en forma ilícita.
Uso de contabilización de costos (Centro de Costos)
Outsourcing
Consiste en un acuerdo contractual, por el cual la organización transfiere el control de parte o de toda la función de procesamiento de información a un tercero externo.
La organización paga un canon y el contratista provee un servicio que se define en un contrato de servicios.
Ventajas:
Mayor rendimiento
Reducción de la Administración del C.P.D.
Mayor rapidez en desarrollo e implementación SI
Ahorros en costos
Incremento del control sobre el eje del negocio
Mayores conocimientos técnicos.
Desventajas:
Los costos pueden superar las expectativas
Pérdida de los conocimientos técnicos de los SI
Pérdida de control sobre los SI
Incumplimiento del proveedor
Acceso limitado a productos
Dificultad en revertir o cambiar acuerdos de servicios transferidos fuera de la organización.
Algunas consideraciones que deben tomarse:
Contrato: ¿Es adecuado para la empresa?
Derechos de Auditoría: ¿A.I. Tiene acceso?
Continuidad: ¿Existen procedimientos adecuados?
Datos de la empresa: ¿Se asegura la Integridad, Confidencialidad y Disponibilidad?
Costo del Servicio: ¿Es el adecuado?
Personal: ¿Existe lealtad del proveedor?, ¿El personal de la empresa, acepta el servicio?
Control de Acceso y Administración de la Seguridad: ¿Existen procedimientos adecuados para evitar la dependencia?
Generación de Informes de violación y seguimiento: Dependencia del proveedor.
Control y Prueba de cambios: Dependencia del proveedor.
Controles de Red: Dependencia del proveedor.
Estabilidad del Proveedor: Afecta la estabilidad de la empresa
Controles de Aplicacion
Son procedimientos diseñados para asegurar que las transacciones son manejadas de acuerdo con los objetivos específicos de control; que la información conserva todos sus atributos y características, y que los sistemas cumplen los objetivos para los cuales fueron creados.
Cobertura de los Controles de Aplicacion
La estructura de control adoptada para cada aplicación, debe tomar en cuenta la secuencia completa del procesamiento (manual y computacional), desde que ocurre el hecho económico, hasta que el informe se encuentra en manos del administrador o usuario autorizado.
Areas que deben ser protegidas con los Controles de Aplicacion
Medio ambiente del SIA
Identificación de Eventos
Entrada, Mantención y Actualización de los Datos.
Comunicación de los Datos
Procesamiento de los Datos
Salida y distribución de la Información
Acceso al SIA
Continuidad del SIA
Objetivos de los Controles de Aplicacion
Mantener las condiciones de confidencialidad, integridad y disponibilidad de la información que se procese, almacene y/o genere. Esto significa:
Totalidad
Exactitud
Autorización
Mantención
Actualización
Acceso
Los paquetes y/o las aplicaciones deben tener control de acceso, similares a los usados por los sistemas operativos.
Debe poder definirse el perfil de cada usuario, en base a la labor que realizará con el sistema:
Ingreso de Datos
Actualización de Datos
Modificación de Datos
Generación de Informes
La administración de la Seguridad de Acceso al sistema, le corresponde al Jefe de Aplicación.
Es deseable que el paquete o la aplicación tengan utilidades de auditoría, para dejar rastros de aquellas transacciones que son riesgosas, tales como eliminación de datos, modificación de datos u otras similares.
El acceso a esta utilidad debe estar restringido a Auditoría Interna
Entrada
La entrada de los datos es una función riesgosa. Puede ocuurir, entre otras acciones, lo siguiente:
Ingreso equivocado de datos. (períodos distintos, sistemas distintos, otros)
Mala preparación de la entrada, asignando erróneamente los códigos. (Cuentas Contables, AFP, ISAPRES, UF, Etc.)
Duplicar el ingreso de los datos.
Datos que no son actualizados
Ingreso de datos no autorizados.
Realización de transacciones no autorizadas
Procesamiento
El procesamiento es la transformación, agrupación, ordenamiento, validaciones, cálculos, comparaciones, actualización de archivos de datos, otras.
En el procesamiento de la información pueden ocurrir errores tales como:
Cálculo incorrecto o mal hecho.
Procesamiento lógico incorrecto. (Depreciar y después corregir monetariamente)
Uso de un archivo de datos equivocado.
Uso de programas de versiones anteriores o no actualizados.
Salida
La salida de los Sistemas de Información, puede realizarse en papel, microfichas, u otros soportes, y es la parte más sensible de la seguridad.
Los informes deben ser entregados a los usuarios autorizados, debiendo asegurarse que es el informe correcto que se recibe.
Tecnicas de Control mas utilizadas
Totalidad de los Datos Ingresados y Actualizados:
Buscan asegurar que las transacciones son registradas cuando se originan, ingresadas y aceptadas por el sistema. (Sin omisiones y ni duplicaciones)
Tienen relación con los campos relevantes de los registros que generan la información.
Aseguran que el registro inicial es correcto y exacto, que toda la información es aceptada por el computador, tanto en el proceso de ingreso, como en la actualiz
El uso de las tecnologías de información y comunicación entre los habitantes de una población, ayuda a disminuir la brecha digital existente en dicha localidad, ya que aumentaría el conglomerado de personas que utilizan las Tic como medio tecnológico para el desarrollo de sus actividades y por ende se reduce el conjunto de personas que no las utilizan.
Se pueden considerar las Tecnologías de Información y Comunicación (TIC) un concepto uando apareció y se popularizó en la década de los 50 del siglo pasado. No obstante esto, hoy no se pondrían en una lista de TIC y es muy posible que actualmente los ordenadores ya no puedan ser calificados de nuevas tecnologías. A pesar de esto, en un concepto amplio, se puede considerar que el teléfono, la televisión y el forman parte de lo que se llama TIC, tecnologías que favorecen la comunicación y el intercambio de información en el mundo actual.
En nuestro trabajo de aplicacion de tics en la Auditoria, conoceremos la iportancia que tiene la tecnologia como herramienta para la utilizacion de informacion y el aporte que nos entrega para lograr nuestros objetivos planteados al inicio referente a la gestion y control de procesos en la Auditoria
La Auditoría como concepto, es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis, presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas.
Descomponiendo esta definición tenemos:
a) Contenido: Una Opinión
b) Condición: Profesional
c) Justificación: Sustentada en determinados procedimientos
d) Objeto: Una determinada información obtenida de un cierto soporte.
e) Finalidad: Determinar si presenta adecuadamente la realidad, o ésta responde a las expectativas que le son atribuídas, es decir, su fiabilidad.
¿Qué debe observar el Auditor?
Prevención e identificación de fraudes
Manejo de excepciones
Niveles de autorización
Conciliaciones de las operaciones vs las finanzas
Cierres a tiempo? Exactos? Confiables?
Se rompe la cadena de valor?
Estamos innovando la forma de hacer negocios?
Somos eficientes en mayor o menor grado?
Somos más competitivos?
ROI
Auditoria en Tecnologias de la Informacion
La Asociación de Auditoría y Control de Sistemas de Información ha determinado que la naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Las normas promulgadas por la Asociación de Auditoría y Control de Sistemas de Información son aplicables al trabajo de auditoría realizado por miembros de la Asociación de Auditoría y Control de Sistemas de Información y por las personas que han recibido la designación de Auditor Certificado de Sistemas de Información.
Control Interno en Tecnologia de Informacion
Los Controles pueden ser:
Preventivos
Detectivos
Correctivos
Proactivos
Objetivos Plan Estrategico en T.I.
Establecer los requerimientos de información de la empresa.
Construir la Arquitectura de Información que resolverán estos requerimientos.
Construir la Arquitectura de Sistemas de la empresa que soporte la implementación de la Arquitectura de Información.
Determinar la Arquitectura Técnica necesaria para soportar la Arquitectura de Sistemas.
En el sentido más general, se deben destacar dos principios propios de la planificación de sistemas de información:
Unir la tecnología de la información y la planificación de sistemas a la Planificación de la empresa en orden a contribuir a la planificación estratégica y al desarrollo de esos planes.
Definir la Estructura que permita que el análisis y diseño de los distintos sistemas y aplicaciones informáticas que se desarrollarán en forma separadas, puedan trabajar juntas.
Se debe evitar los planes y desarrollos aislados, ya que derivan en:
Rápidos incrementos de costos e inversiones sobre sistemas, que normalmente no cubrirán totalmente las necesidades de la empresa.
Redundancia de datos y procesos.
Inconsistencias e incompatibilidades de la información y de sistemas.
Falta de estandarización en interfaces.
Consideraciones
Para no caer en estos errores, y lograr el máximo de ventaja de las tecnologías de información, se recurre a la planificación de sistemas a largo plazo que contemple lo más ampliamente posible a toda la organización, incluyendo las distintas unidades de negocio o entidades de la corporación, independientemente de su ubicación geográfica, actividad o rango de autonomía en sus propias operaciones.
Excepciones a esta regla se hace cuando se trata de grandes empresas, que tienen filiales en distintos países y continentes.
Este es un proceso de definición que debe empezar en el más alto nivel de la organización y terminar en los puntos de la estructura organizativa cuyas actividades son simples dentro del proceso productivo en que se realizan.
Ventajas
Establecer una relación de las oportunidades de los sistemas de información y las nuevas tecnologías.
Ventajas competitivas que pueden derivarse.
Coordinación de la estrategia corporativa con las tendencias de las nuevas tecnologías en los próximos años.
Evaluación de la contribución de los sistemas de información a los objetivos corporativos y de unidades de negocios y en los F.C. De E.
Medios en que los sistemas de información pueden contribuir al control de la implementación de la estrategia.
Aprovechamiento de las inversiones en sistemas de información.
En consecuencia la Tecnología de la Información deja de ser un puro centro de costos, para convertirse en motor de la actividad de la empresa y generador de riqueza.
Desarrollo del Perfil Informatico
Comite de Informatica
Para orientar el trabajo del C.P.D., debe existir un comité de informática, formado por el Gerente General, Gerentes de Área, Jefe del C.P.D. y un representante del Directorio.
Objetivos de este comité:
Orientar al C.P.D. en consonancia con la misión y objetivos de la organización.
Evaluar las solicitudes ante requerimientos de nuevos sistemas, para su aprobación, al estar en concordancia con los objetivos de la organización.
Asegurarse de la utilización eficaz y eficiente de los recursos disponibles en el C.P.D.
Fijar las prioridades, evaluar los estudios de factibilidad y brindar el respaldo necesario a los distintos proyectos que están apareciendo.
Decidir sobre la centralización o descentralización del C.P.D., el uso de plataformas de hardware y software y metodologías de desarrollo, entre otros.
Asignar responsabilidades de funciones:
Justificación de adquisiciones
Selección, compra, prueba y adquisición de Hw. y Sw.
Desarrollo de sistemas y cambios a los existentes.
Instalación e Implementación de Hw. y Sw.
Documentación actualizada de políticas, procedimientos y desarrollo de sistemas.
Mantenimiento de Equipos e Insumos.
Seguridad de Datos y Programas.
Entrenamiento de Usuarios y Soporte Técnico.
Normas, Políticas y Procedimientos referidos a las áreas mencionadas.
Cumplimiento de la Ley de Propiedad Intelectual (Copyright) y utilización no autorizada de datos y programas de la empresa.
Uso de datos, información, programas y otros, pertenecientes a otras empresas, obtenidos en forma ilícita.
Uso de contabilización de costos (Centro de Costos)
Outsourcing
Consiste en un acuerdo contractual, por el cual la organización transfiere el control de parte o de toda la función de procesamiento de información a un tercero externo.
La organización paga un canon y el contratista provee un servicio que se define en un contrato de servicios.
Ventajas:
Mayor rendimiento
Reducción de la Administración del C.P.D.
Mayor rapidez en desarrollo e implementación SI
Ahorros en costos
Incremento del control sobre el eje del negocio
Mayores conocimientos técnicos.
Desventajas:
Los costos pueden superar las expectativas
Pérdida de los conocimientos técnicos de los SI
Pérdida de control sobre los SI
Incumplimiento del proveedor
Acceso limitado a productos
Dificultad en revertir o cambiar acuerdos de servicios transferidos fuera de la organización.
Algunas consideraciones que deben tomarse:
Contrato: ¿Es adecuado para la empresa?
Derechos de Auditoría: ¿A.I. Tiene acceso?
Continuidad: ¿Existen procedimientos adecuados?
Datos de la empresa: ¿Se asegura la Integridad, Confidencialidad y Disponibilidad?
Costo del Servicio: ¿Es el adecuado?
Personal: ¿Existe lealtad del proveedor?, ¿El personal de la empresa, acepta el servicio?
Control de Acceso y Administración de la Seguridad: ¿Existen procedimientos adecuados para evitar la dependencia?
Generación de Informes de violación y seguimiento: Dependencia del proveedor.
Control y Prueba de cambios: Dependencia del proveedor.
Controles de Red: Dependencia del proveedor.
Estabilidad del Proveedor: Afecta la estabilidad de la empresa
Controles de Aplicacion
Son procedimientos diseñados para asegurar que las transacciones son manejadas de acuerdo con los objetivos específicos de control; que la información conserva todos sus atributos y características, y que los sistemas cumplen los objetivos para los cuales fueron creados.
Cobertura de los Controles de Aplicacion
La estructura de control adoptada para cada aplicación, debe tomar en cuenta la secuencia completa del procesamiento (manual y computacional), desde que ocurre el hecho económico, hasta que el informe se encuentra en manos del administrador o usuario autorizado.
Areas que deben ser protegidas con los Controles de Aplicacion
Medio ambiente del SIA
Identificación de Eventos
Entrada, Mantención y Actualización de los Datos.
Comunicación de los Datos
Procesamiento de los Datos
Salida y distribución de la Información
Acceso al SIA
Continuidad del SIA
Objetivos de los Controles de Aplicacion
Mantener las condiciones de confidencialidad, integridad y disponibilidad de la información que se procese, almacene y/o genere. Esto significa:
Totalidad
Exactitud
Autorización
Mantención
Actualización
Acceso
Los paquetes y/o las aplicaciones deben tener control de acceso, similares a los usados por los sistemas operativos.
Debe poder definirse el perfil de cada usuario, en base a la labor que realizará con el sistema:
Ingreso de Datos
Actualización de Datos
Modificación de Datos
Generación de Informes
La administración de la Seguridad de Acceso al sistema, le corresponde al Jefe de Aplicación.
Es deseable que el paquete o la aplicación tengan utilidades de auditoría, para dejar rastros de aquellas transacciones que son riesgosas, tales como eliminación de datos, modificación de datos u otras similares.
El acceso a esta utilidad debe estar restringido a Auditoría Interna
Entrada
La entrada de los datos es una función riesgosa. Puede ocuurir, entre otras acciones, lo siguiente:
Ingreso equivocado de datos. (períodos distintos, sistemas distintos, otros)
Mala preparación de la entrada, asignando erróneamente los códigos. (Cuentas Contables, AFP, ISAPRES, UF, Etc.)
Duplicar el ingreso de los datos.
Datos que no son actualizados
Ingreso de datos no autorizados.
Realización de transacciones no autorizadas
Procesamiento
El procesamiento es la transformación, agrupación, ordenamiento, validaciones, cálculos, comparaciones, actualización de archivos de datos, otras.
En el procesamiento de la información pueden ocurrir errores tales como:
Cálculo incorrecto o mal hecho.
Procesamiento lógico incorrecto. (Depreciar y después corregir monetariamente)
Uso de un archivo de datos equivocado.
Uso de programas de versiones anteriores o no actualizados.
Salida
La salida de los Sistemas de Información, puede realizarse en papel, microfichas, u otros soportes, y es la parte más sensible de la seguridad.
Los informes deben ser entregados a los usuarios autorizados, debiendo asegurarse que es el informe correcto que se recibe.
Tecnicas de Control mas utilizadas
Totalidad de los Datos Ingresados y Actualizados:
Buscan asegurar que las transacciones son registradas cuando se originan, ingresadas y aceptadas por el sistema. (Sin omisiones y ni duplicaciones)
Tienen relación con los campos relevantes de los registros que generan la información.
Aseguran que el registro inicial es correcto y exacto, que toda la información es aceptada por el computador, tanto en el proceso de ingreso, como en la actualiz
martes, 8 de junio de 2010
Diez ideas para crear una Emresa
1) Servicio de Consultoria Tributaria
2) Servicio de Comida rapida a Empresas
3) Entretencion a domicilio (Casas d Reposos) para la tercera edad
4) Capacitacion a domicilio de Tics de la tercera Edad
5) Clases particulares via Web
6) Servicio de Capacitacion Basica Contable para PYMES (20 Horas)
7) Servicio de Capacitacion Chile Compra y contrato marco (20 Horas)
8) Ropa para enanos, tenidas exclusivas
9) Capacitacion a domicilio para estimular niños Dawn, Autista (1 a 5 años)
2) Servicio de Comida rapida a Empresas
3) Entretencion a domicilio (Casas d Reposos) para la tercera edad
4) Capacitacion a domicilio de Tics de la tercera Edad
5) Clases particulares via Web
6) Servicio de Capacitacion Basica Contable para PYMES (20 Horas)
7) Servicio de Capacitacion Chile Compra y contrato marco (20 Horas)
8) Ropa para enanos, tenidas exclusivas
9) Capacitacion a domicilio para estimular niños Dawn, Autista (1 a 5 años)
jueves, 3 de junio de 2010
Suscribirse a:
Entradas (Atom)
