solemne

Las tecnologías de la información y la comunicación no son ninguna panacea ni fórmula mágica, pero pueden mejorar la vida de todos los habitantes del planeta. Se disponen de herramientas para llegar a los Objetivos de Desarrollo del Milenio, de instrumentos que harán avanzar la causa de la libertad y la democracia, y de los medios necesarios para propagar los conocimientos y facilitar la comprensión mutua"
El uso de las tecnologías de información y comunicación entre los habitantes de una población, ayuda a disminuir la brecha digital existente en dicha localidad, ya que aumentaría el conglomerado de personas que utilizan las Tic como medio tecnológico para el desarrollo de sus actividades y por ende se reduce el conjunto de personas que no las utilizan.


Se pueden considerar las Tecnologías de Información y Comunicación (TIC) un concepto uando apareció y se popularizó en la década de los 50 del siglo pasado. No obstante esto, hoy no se pondrían en una lista de TIC y es muy posible que actualmente los ordenadores ya no puedan ser calificados de nuevas tecnologías. A pesar de esto, en un concepto amplio, se puede considerar que el teléfono, la televisión y el forman parte de lo que se llama TIC, tecnologías que favorecen la comunicación y el intercambio de información en el mundo actual.


En nuestro trabajo de aplicacion de tics en la Auditoria, conoceremos la iportancia que tiene la tecnologia como herramienta para la utilizacion de informacion y el aporte que nos entrega para lograr nuestros objetivos planteados al inicio referente a la gestion y control de procesos en la Auditoria


La Auditoría como concepto, es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis, presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas.
Descomponiendo esta definición tenemos:
a) Contenido: Una Opinión
b) Condición: Profesional
c) Justificación: Sustentada en determinados procedimientos
d) Objeto: Una determinada información obtenida de un cierto soporte.
e) Finalidad: Determinar si presenta adecuadamente la realidad, o ésta responde a las expectativas que le son atribuídas, es decir, su fiabilidad.

¿Qué debe observar el Auditor?
Prevención e identificación de fraudes
Manejo de excepciones
Niveles de autorización
Conciliaciones de las operaciones vs las finanzas
Cierres a tiempo? Exactos? Confiables?
Se rompe la cadena de valor?
Estamos innovando la forma de hacer negocios?
Somos eficientes en mayor o menor grado?
Somos más competitivos?
ROI

Auditoria en Tecnologias de la Informacion


La Asociación de Auditoría y Control de Sistemas de Información ha determinado que la naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Las normas promulgadas por la Asociación de Auditoría y Control de Sistemas de Información son aplicables al trabajo de auditoría realizado por miembros de la Asociación de Auditoría y Control de Sistemas de Información y por las personas que han recibido la designación de Auditor Certificado de Sistemas de Información.

Control Interno en Tecnologia de Informacion
Los Controles pueden ser:
Preventivos
Detectivos
Correctivos
Proactivos

Objetivos Plan Estrategico en T.I.

Establecer los requerimientos de información de la empresa.
Construir la Arquitectura de Información que resolverán estos requerimientos.
Construir la Arquitectura de Sistemas de la empresa que soporte la implementación de la Arquitectura de Información.
Determinar la Arquitectura Técnica necesaria para soportar la Arquitectura de Sistemas.
En el sentido más general, se deben destacar dos principios propios de la planificación de sistemas de información:
Unir la tecnología de la información y la planificación de sistemas a la Planificación de la empresa en orden a contribuir a la planificación estratégica y al desarrollo de esos planes.
Definir la Estructura que permita que el análisis y diseño de los distintos sistemas y aplicaciones informáticas que se desarrollarán en forma separadas, puedan trabajar juntas.
Se debe evitar los planes y desarrollos aislados, ya que derivan en:
Rápidos incrementos de costos e inversiones sobre sistemas, que normalmente no cubrirán totalmente las necesidades de la empresa.
Redundancia de datos y procesos.
Inconsistencias e incompatibilidades de la información y de sistemas.
Falta de estandarización en interfaces.


Consideraciones
Para no caer en estos errores, y lograr el máximo de ventaja de las tecnologías de información, se recurre a la planificación de sistemas a largo plazo que contemple lo más ampliamente posible a toda la organización, incluyendo las distintas unidades de negocio o entidades de la corporación, independientemente de su ubicación geográfica, actividad o rango de autonomía en sus propias operaciones.
Excepciones a esta regla se hace cuando se trata de grandes empresas, que tienen filiales en distintos países y continentes.
Este es un proceso de definición que debe empezar en el más alto nivel de la organización y terminar en los puntos de la estructura organizativa cuyas actividades son simples dentro del proceso productivo en que se realizan.



Ventajas
Establecer una relación de las oportunidades de los sistemas de información y las nuevas tecnologías.
Ventajas competitivas que pueden derivarse.
Coordinación de la estrategia corporativa con las tendencias de las nuevas tecnologías en los próximos años.
Evaluación de la contribución de los sistemas de información a los objetivos corporativos y de unidades de negocios y en los F.C. De E.
Medios en que los sistemas de información pueden contribuir al control de la implementación de la estrategia.
Aprovechamiento de las inversiones en sistemas de información.
En consecuencia la Tecnología de la Información deja de ser un puro centro de costos, para convertirse en motor de la actividad de la empresa y generador de riqueza.

Desarrollo del Perfil Informatico

Comite de Informatica
Para orientar el trabajo del C.P.D., debe existir un comité de informática, formado por el Gerente General, Gerentes de Área, Jefe del C.P.D. y un representante del Directorio.
Objetivos de este comité:
Orientar al C.P.D. en consonancia con la misión y objetivos de la organización.
Evaluar las solicitudes ante requerimientos de nuevos sistemas, para su aprobación, al estar en concordancia con los objetivos de la organización.
Asegurarse de la utilización eficaz y eficiente de los recursos disponibles en el C.P.D.
Fijar las prioridades, evaluar los estudios de factibilidad y brindar el respaldo necesario a los distintos proyectos que están apareciendo.
Decidir sobre la centralización o descentralización del C.P.D., el uso de plataformas de hardware y software y metodologías de desarrollo, entre otros.
Asignar responsabilidades de funciones:
Justificación de adquisiciones
Selección, compra, prueba y adquisición de Hw. y Sw.
Desarrollo de sistemas y cambios a los existentes.
Instalación e Implementación de Hw. y Sw.
Documentación actualizada de políticas, procedimientos y desarrollo de sistemas.
Mantenimiento de Equipos e Insumos.
Seguridad de Datos y Programas.
Entrenamiento de Usuarios y Soporte Técnico.
Normas, Políticas y Procedimientos referidos a las áreas mencionadas.
Cumplimiento de la Ley de Propiedad Intelectual (Copyright) y utilización no autorizada de datos y programas de la empresa.
Uso de datos, información, programas y otros, pertenecientes a otras empresas, obtenidos en forma ilícita.
Uso de contabilización de costos (Centro de Costos)

Outsourcing
Consiste en un acuerdo contractual, por el cual la organización transfiere el control de parte o de toda la función de procesamiento de información a un tercero externo.
La organización paga un canon y el contratista provee un servicio que se define en un contrato de servicios.
Ventajas:
Mayor rendimiento
Reducción de la Administración del C.P.D.
Mayor rapidez en desarrollo e implementación SI
Ahorros en costos
Incremento del control sobre el eje del negocio
Mayores conocimientos técnicos.
Desventajas:
Los costos pueden superar las expectativas
Pérdida de los conocimientos técnicos de los SI
Pérdida de control sobre los SI
Incumplimiento del proveedor
Acceso limitado a productos
Dificultad en revertir o cambiar acuerdos de servicios transferidos fuera de la organización.
Algunas consideraciones que deben tomarse:
Contrato: ¿Es adecuado para la empresa?
Derechos de Auditoría: ¿A.I. Tiene acceso?
Continuidad: ¿Existen procedimientos adecuados?
Datos de la empresa: ¿Se asegura la Integridad, Confidencialidad y Disponibilidad?
Costo del Servicio: ¿Es el adecuado?
Personal: ¿Existe lealtad del proveedor?, ¿El personal de la empresa, acepta el servicio?
Control de Acceso y Administración de la Seguridad: ¿Existen procedimientos adecuados para evitar la dependencia?
Generación de Informes de violación y seguimiento: Dependencia del proveedor.
Control y Prueba de cambios: Dependencia del proveedor.
Controles de Red: Dependencia del proveedor.
Estabilidad del Proveedor: Afecta la estabilidad de la empresa

Controles de Aplicacion
Son procedimientos diseñados para asegurar que las transacciones son manejadas de acuerdo con los objetivos específicos de control; que la información conserva todos sus atributos y características, y que los sistemas cumplen los objetivos para los cuales fueron creados.

Cobertura de los Controles de Aplicacion
La estructura de control adoptada para cada aplicación, debe tomar en cuenta la secuencia completa del procesamiento (manual y computacional), desde que ocurre el hecho económico, hasta que el informe se encuentra en manos del administrador o usuario autorizado.

Areas que deben ser protegidas con los Controles de Aplicacion

Medio ambiente del SIA
Identificación de Eventos
Entrada, Mantención y Actualización de los Datos.
Comunicación de los Datos
Procesamiento de los Datos
Salida y distribución de la Información
Acceso al SIA
Continuidad del SIA

Objetivos de los Controles de Aplicacion
Mantener las condiciones de confidencialidad, integridad y disponibilidad de la información que se procese, almacene y/o genere. Esto significa:
Totalidad
Exactitud
Autorización
Mantención
Actualización

Acceso
Los paquetes y/o las aplicaciones deben tener control de acceso, similares a los usados por los sistemas operativos.
Debe poder definirse el perfil de cada usuario, en base a la labor que realizará con el sistema:
Ingreso de Datos
Actualización de Datos
Modificación de Datos
Generación de Informes
La administración de la Seguridad de Acceso al sistema, le corresponde al Jefe de Aplicación.
Es deseable que el paquete o la aplicación tengan utilidades de auditoría, para dejar rastros de aquellas transacciones que son riesgosas, tales como eliminación de datos, modificación de datos u otras similares.
El acceso a esta utilidad debe estar restringido a Auditoría Interna

Entrada
La entrada de los datos es una función riesgosa. Puede ocuurir, entre otras acciones, lo siguiente:
Ingreso equivocado de datos. (períodos distintos, sistemas distintos, otros)
Mala preparación de la entrada, asignando erróneamente los códigos. (Cuentas Contables, AFP, ISAPRES, UF, Etc.)
Duplicar el ingreso de los datos.
Datos que no son actualizados
Ingreso de datos no autorizados.
Realización de transacciones no autorizadas

Procesamiento
El procesamiento es la transformación, agrupación, ordenamiento, validaciones, cálculos, comparaciones, actualización de archivos de datos, otras.
En el procesamiento de la información pueden ocurrir errores tales como:
Cálculo incorrecto o mal hecho.
Procesamiento lógico incorrecto. (Depreciar y después corregir monetariamente)
Uso de un archivo de datos equivocado.
Uso de programas de versiones anteriores o no actualizados.

Salida
La salida de los Sistemas de Información, puede realizarse en papel, microfichas, u otros soportes, y es la parte más sensible de la seguridad.
Los informes deben ser entregados a los usuarios autorizados, debiendo asegurarse que es el informe correcto que se recibe.

Tecnicas de Control mas utilizadas

Totalidad de los Datos Ingresados y Actualizados:
Buscan asegurar que las transacciones son registradas cuando se originan, ingresadas y aceptadas por el sistema. (Sin omisiones y ni duplicaciones)


Tienen relación con los campos relevantes de los registros que generan la información.
Aseguran que el registro inicial es correcto y exacto, que toda la información es aceptada por el computador, tanto en el proceso de ingreso, como en la actualiz