Download - auditoria ACT.3.1.pdf
-
Curso: Introduccin A La Auditoria Informtica: Conceptualizacin
Tutor: Giovanny Zambrano Londoo
Alumno: Isaac Valuis Olortegui Ayala
Unidad Didctica 3: Normas y Mtodos de Auditoria
Nombre De La Actividad: Normas y Mtodos
-
NDICE
INTRODUCCION
TEMA 1. NORMAS GENERALES DE AUDITORIA
SUBTEMA 1: DEFINICIN DE NORMA
SUBTEMA 2: NORMAS GENERALES
SUBTEMA 3: NORMAS DE AUDITORIA DE SISTEMAS
TEMA 2. MTODOS, TCNICAS Y HERRAMIENTAS DE
AUDITORIA
SUBTEMA 1: PROCESO DE AUDITORIA
SUBTEMA 2: TCNICAS Y HERRAMIENTAS DE RECOLECCIN
DE DATOS
SUBTEMA 3: TCNICAS Y HERRAMIENTAS DE EVALUACIN
DE DATOS
TEMA 3. NORMAS TICAS Y PROFESIONALES
SUBTEMA 1: IMPORTANCIA DE LA TICA EN EL AUDITOR
SUBTEMA 2: DEFINICIN DE NORMA
SUBTEMA 3: PRINCIPIOS Y VALORES TICOS DE UN AUDITOR
-
INTRODUCCIN
En el presente trabajo nos abocaremos a exponer en forma breve, el significado y procedimientos de
una auditora como el medio ms confiable al momento de practicar nomas y Las Normas y
Mtodos de Auditoria. Podramos decir que una auditora es el equivalente a un examen minucioso
de los registros y operaciones de una empresa, que permitir a los interesados (accionistas,
administradores, directivos, etc.) conocer la situacin de la empresa en su aspecto contable.
Explicaremos brevemente las herramientas, pasos y tcnicas necesarias a la hora de realizar una
auditora, de tal manera de que podamos saber en una forma muy sencilla, como es el proceso de
realizar una auditora en una empresa, desde que empieza hasta que termina.
Despus de finalizado este trabajo conoceremos un poco mas del tema, el cual poco a poco iremos
conociendo mas ampliamente.
Naturaleza de la auditora: El anlisis formal como paso previo al Las Normas y Mtodos de
Auditoria y como funcin:
TEMA 1. NORMAS GENERALES DE AUDITORIA
SUBTEMA 1: DEFINICIN DE NORMA
SUBTEMA 2: NORMAS GENERALES
SUBTEMA 3: NORMAS DE AUDITORIA DE SISTEMAS
TEMA 2. MTODOS, TCNICAS Y HERRAMIENTAS DE AUDITORIA
SUBTEMA 1: PROCESO DE AUDITORIA
SUBTEMA 2: TCNICAS Y HERRAMIENTAS DE RECOLECCIN DE DATOS
SUBTEMA 3: TCNICAS Y HERRAMIENTAS DE EVALUACIN DE DATOS
TEMA 3. NORMAS TICAS Y PROFESIONALES
SUBTEMA 1: IMPORTANCIA DE LA TICA EN EL AUDITOR
SUBTEMA 2: DEFINICIN DE NORMA
SUBTEMA 3: PRINCIPIOS Y VALORES TICOS DE UN AUDITOR
BIOGRAFAS Y WEBGRAFAS
Tiene por objeto, establecer si los auditores han sido o no llevados con propiedad y exactitud, para
prevenir posibles errores y determinar la verdadera condicin del auditor.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
TEMA 1. NORMAS GENERALES DE AUDITORIA
Concepto
Las Norma de Auditora Generalmente Aceptadas (NAGAS) son los principios fundamentales de
auditora a los que deben enmarcarse su desempeo los auditores durante el proceso de la auditoria.
El cumplimiento de estas normas garantiza la calidad del trabajo profesional del auditor.
Origen
Las NAGAS, tiene su origen en los Boletines (Statement on Auditing Estndar SAS) emitidos por
el Comit de Auditora del Instituto Americano de Contadores Pblicos de los Estados Unidos de
Norteamerica en el ao 1948 En el Per, fueron aprobados en el mes de octubre de 1968 con motivo
del II Congreso de Contadores Pblicos, llevado a acabo en la ciudad de Lima. Posteriormente, se ha
ratificado su aplicacin en el III Congreso Nacional de Contadores Pblicos, llevado a cabo en el ao
1971, en la ciudad de Arequipa. Por lo tanto, estas normas son de observacin obligatoria para los
Contadores Pblicos que ejercen la auditora en nuestro pas, por cuanto adems les servir como
parmetro de medicin de su actuacin profesional y para los estudiantes como guas orientadoras de
conducta por donde tendrn que caminar cuando sean profesionales. En la actualidad las NAGAS,
vigente en nuestro pas, Venezuela, son 10, las mismas que constituyen los (10) diez mandamientos
para el auditor y son: Normas Generales o Personales.
1. Entrenamiento y capacidad profesional
2. Independencia
3. Cuidado o esmero profesional.
Normas de Ejecucin del Trabajo
4. Planeamiento y Supervisin
5. Estudio y Evaluacin del Control Interno
6. Evidencia Suficiente y Competente
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Normas de Preparacin del Informe
7. Aplicacin de los Principios de Contabilidad Generalmente Aceptados.
8. Consistencia
9. Revelacin Suficiente
10. Opinin del Auditor
SUBTEMA 1: DEFINICIN DE NORMA
Estas normas por su carcter general se aplican a todo el proceso del examen y se relacionan
bsicamente con la conducta funcional del auditor como persona humana y regula los requisitos y
aptitudes que debe reunir para actuar como Auditor. La mayora de este grupo de normas son
contempladas tambin en los Cdigos de tica de otras profesiones.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
SUBTEMA 2: NORMAS GENERALES
Se refiere a la cualidad que el auditor debe tener para poder asumir, dentro de las exigencias que el
carcter profesional de la auditoria impone, un trabajo de este tipo.
Entrenamiento y Capacidad Profesional
"La Auditoria debe ser efectuada por personal que tiene el entrenamiento tcnico y pericia como
Auditor".
Como se aprecia de esta norma, no slo basta ser Contador Pblico para ejercer la funcin de Auditor,
sino que adems se requiere tener entrenamiento tcnico adecuado y pericia como auditor. Es decir,
adems de los conocimientos tcnicos obtenidos en los estudios universitarios, se requiere la
aplicacin prctica en el campo con una buena direccin y supervisin. Este adiestramiento,
capacitacin y prctica constante forma la madurez del juicio del auditor, a base de la experiencia
acumulada en sus diferentes intervenciones, encontrndose recin en condiciones de ejercer la
auditora como especialidad. Lo contrario, sera negar su propia existencia por cuanto no garantizar
calidad profesional a los usuarios, esto a pesar de que se multiplique las normas para regular su
actuacin.
Independencia
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
"En todos los asuntos relacionados con la Auditora, el auditor debe mantener independencia de
criterio".
La independencia puede concebirse como la libertad profesional que le asiste al auditor para expresar
su opinin libre de presiones (polticas, religiosas, familiares, etc.) y subjetividades (sentimientos
personales e intereses de grupo). Se requiere entonces objetividad imparcial en su actuacin
profesional. Si bien es cierto, la independencia de criterio es una actitud mental, el auditor no
solamente debe "serlo", sino tambin "parecerlo", es decir, cuidar, su imagen ante los usuarios de su
informe, que no solamente es el cliente que lo contrat sino tambin los dems interesados (bancos,
proveedores, trabajadores, estado, pueblo, etc.).
En Venezuela, se encuentran en vigencia una diversidad de normas que tratan de garantizar la
independencia del auditor, as tenemos:
Reglamento para la informacin financiera auditada (Artculo 5), aprobada por la Resolucin
CONASEV (N 014-82-efc/94.10).
Ley de profesionalizacin del Contador Pblico (Decreto Ley N 13253).
Cdigo de tica Profesional del Contador Pblico
Ley del Sistema Nacional de Control (Decreto Ley 26162).
Reglamento de Designacin de Sociedades de Auditora, aprobado por Resolucin de Contralora
N 162-93-CG.
Normas de Auditora Gubernamental NAGU, aprobadas por Resolucin de Contaralora N 162-
95-CG.
Lineamientos generales para cautelar el adecuado fortalecimiento e independencia de los Organos
de Auditora Interna, aprobado por Resolucin de Contralora N 189-93-CG, etc.
Las cuatro ltimas normas regula especficamente la actuacin del auditor gubernamental y de las
Sociedades de Auditora cuando realizan auditora a las entidades estatales.
Cuidado O Esmero Profesional
"Debe ejercerse el esmero profesional en la ejecucin de la auditora y en la preparacin del
dictamen". El cuidado profesional, es aplicable para todas las profesiones, ya que cualquier servicio
que se proporcione al pblico debe hacerse con toda la diligencia del caso, lo contrario es la
negligencia, que es sancionable.
Un profesional puede ser muy capaz, pero pierde totalmente su valor cuando acta negligentemente.
El esmero profesional del auditor, no solamente se aplica en el trabajo de campo y elaboracin del
informe, sin en todas las fases del proceso de la auditora, es decir, tambin en el planeamiento o
planeamiento estratgico cuidando la materialidad y riesgo.
Por consiguiente, el auditor siempre tendr como propsito hacer las cosas bien, con toda integridad
y responsabilidad en su desempeo, estableciendo una oportuna y adecuada supervisin a todo el
proceso de la auditora.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Normas De Ejecucin Del Trabajo
Estas normas son ms especficas y regulan la forma del trabajo del auditor durante el desarrollo de
la auditora en sus diferentes fases (planeamiento trabajo de campo y elaboracin del informe). Tal
vez el propsito principal de este grupo de normas se orienta a que el auditor obtenga la evidencia
suficiente en sus papeles de trabajo para apoyar su opinin sobre la confiabilidad de los estados
financieros, para lo cual, se requiere previamente una adecuado planeamiento estratgico y
evaluacin de los controles internos. En la actualidad el nuevo dictamen pone nfasis de estos
aspectos en el prrafo del alcance.
Planeamiento Y Supervisin
"La auditora debe ser planificada apropiadamente y el trabajo de los asistentes del auditor, si los
hay, debe ser debidamente supervisado".
Por la gran importancia que se le ha dado al planeamiento en los ltimos aos a nivel nacional e
internacional, hoy se concibe al planeamiento estratgico como todo un proceso de trabajo al que se
pone mucho nfasis, utilizando el enfoque de "arriba hacia abajo", es decir, no deber iniciarse
revisando transacciones y saldos individuales, sino tomando conocimiento y analizando las
caractersticas del negocio, la organizacin, financiamiento, sistemas de produccin, funciones de las
reas bsicas y problemas importantes, cuyo efectos econmicos podran repercutir en forma
importante sobre los estados financieros materia de nuestro examen. Lgicamente, que el
planeamiento termina con la elaboracin del programa de auditora.
En el caso, de una comisin de auditora la supervisin del trabajo debe efectuarse en forma oportuna
a todas las fases del proceso, eso es a planeamiento, trabajo de campo y elaboracin del informe,
permitiendo garantizar su calidad profesional. En los papeles de trabajo, debe dejarse constancia de
esta supervisin.
Estudio Y Evaluacin Del Control Interno
"Debe estudiarse y evaluarse apropiadamente la estructura del control interno (de la empresa cuyos
estados financieros se encuentra sujetos a auditora0 como base para establecer el grado de confianza
que merece, y consecuentemente, para determinar la naturaleza, el alcance y la oportunidad de los
procedimientos de auditora".
El estudio del control interno constituye la base para confiar o no en los registros contables y as poder
determinar la naturaleza, alcance y oportunidad de los procedimientos o pruebas de auditora. En la
actualidad, se ha puesto mucho nfasis en los controles internos y su estudio y evaluacin conlleva a
todo un proceso que comienza con una comprensin, contina con una evaluacin preliminar, pruebas
de cumplimiento, revaluacin de los controles, arribndose finalmente de acuerdo a los resultados
de su evaluacin a limitar o ampliar las pruebas sustantivas. En tal sentido, el control interno
funciona como un termmetro para graduar el tamao de las pruebas sustentativas.
La concepcin moderna del control interno incluye los componentes de ambiente de control,
evaluacin de riesgos, actividades de control, informacin y comunicacin y los de supervisin y
seguimiento.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Los mtodos de evaluacin que generalmente se utilizan son: descriptivo, cuestionarios y
flujogramas.
Evidencia Suficiente Y Competente
"Debe obtenerse evidencia competente y suficiente, mediante la inspeccin, observacin, indagacin
y confirmacin para proveer una base razonable que permita la expresin de una opinin sobre los
estados financieros sujetos a la auditora. Como se aprecia del enunciado de esta norma, el auditor
mediante la aplicacin de las tcnicas de auditora obtendr evidencia suficiente y competente. La
evidencia es un conjunto de hechos comprobados, suficientes, competentes y pertinentes para
sustentar una conclusin.
La evidencia ser suficiente, cuando los resultados de una o varias pruebas aseguran la certeza moral
de que los hechos a probar, o los criterios cuya correccin se est juzgando han quedado
razonablemente comprobados. Los auditores tambin obtenemos la evidencia suficiente a travs de
la certeza absoluta, pero mayormente con la certeza moral.
Es importante, recordar que ser la madurez de juicio del auditor (obtenido de la experiencia), que le
permitir lograr la certeza moral suficiente para determinar que el hecho ha sido razonablemente
comprobado, de tal manera que en la medida que esta descienda (disminuya) a travs de los diferentes
niveles de experiencia de los auditores la certeza moral ser ms pobre. Es por eso, que se requiere la
supervisin de los asistentes por auditores experimentados para lograr la evidencia suficiente. La
evidencia, es competente, cuando se refiere a hechos, circunstancias o criterios que tienen real
importancia, en relacin al asunto examinado.
Entre las clases de evidencia que obtiene el auditor tenemos:
Evidencia sobre el control interno y el sistema de contabilidad, porque ambos influyen en los
saldos de los estados financieros.
Evidencia fsica
Evidencia documentaria (originada dentro y fuera de la entidad)
Libros diarios y mayores (incluye los registros procesados por computadora)
Anlisis global
Clculos independientes (computacin o clculo)
Evidencia circunstancial
Acontecimientos o hechos posteriores.
Normas De Preparacin Del Informe
Estas normas regulan la ltima fase del proceso de auditora, es decir la elaboracin del informe, para
lo cual, el auditor habr acumulado en grado suficiente las evidencias, debidamente respaldada en sus
papeles de trabajo.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Por tal motivo, este grupo de normas exige que el informe exponga de qu forma se presentan los
estados financieros y el grado de responsabilidad que asume el auditor. Aplicacin De Principios De
Contabilidad Generalmente Aceptados (PCGA) "El dictamen debe expresar si los estados financieros
estn presentados de acuerdo a principios de contabilidad generalmente aceptados".
Los principios de contabilidad generalmente aceptados son reglas generales, adoptadas como guas
y como fundamento en lo relacionado a la contabilidad, aprobadas como buenas y prevalecientes, o
tambin podramos conceptuarlos como leyes o verdades fundamentales aprobadas por la profesin
contable.
Sin embargo, merece aclarar que los PCGA, no son principios de naturaleza sino reglas de
comportamiento profesional, por lo que nos son inmutables y necesitan adecuarse para satisfacer las
circunstancias cambiantes de la entidad donde se lleva la contabilidad.
Los PCGA, garantizan la razonabilidad de la informacin expresada a travs de los Estados
Financieros y su observancia es de responsabilidad de la empresa examinada. En todo caso,
corresponde al auditor revelar en su informe si la empresa se ha enmarcado dentro de los principios
contables.
Opinin Del Auditor
"El dictamen debe contener la expresin de una opinin sobre los estados financieros tomados en su
integridad, o la aseveracin de que no puede expresarse una opinin. En este ltimo caso, deben
indicarse las razones que lo impiden. En todos los casos, en que el nombre de un auditor est asociado
con estados financieros el dictamen debe contener una indicacin clara de la naturaleza de la auditora,
y el grado de responsabilidad que est tomando".
Recordemos que el propsito principal de la auditora a estados financieros es la de emitir una opinin
sobre si stos presentan o no razonablemente la situacin financiera y resultados de operaciones, pero
puede presentarse el caso de que a pesar de todos esfuerzos realizados por el auditor, se ha visto
imposibilitado de formarse una opinin, entonces se ver obligado a abstenerse de opinar.
Por consiguiente el auditor tiene las siguientes alternativas de opinin para su dictamen.
1. Opinin limpia o sin salvedades
2. Opinin con salvedades o calificada
3. Opinin adversa o negativa
4. Abstencin de opinar
Procedimientos y tcnicas de auditoria
Se requieren varios pasos para realizar una auditora. El auditor de sistemas debe evaluar los riesgos
globales y luego desarrollar un programa de auditoria que consta de objetivos de control y
procedimientos de auditoria que deben satisfacer esos objetivos El proceso de auditoria exige que el
auditor de sistemas rena evidencia, evale fortalezas y debilidades de los controles existentes basado
en la evidencia recopilada, y que prepare un informe de auditora que presente esos temas en forma
objetiva a la gerencia. Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
asignacin adecuada de recursos para realizar el trabajo de auditoria adems de las revisiones de
seguimiento sobre las acciones correctivas emprendidas por la gerencia.
Planificacin de la auditoria
Una planificacin adecuada es el primer paso necesario para realizar auditoras de sistema eficaces.
El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la
auditoria as como los riesgos del negocio y control asociado.
A continuacin se menciona algunas de las reas que deben ser cubiertas durante la planificacin
de la auditoria:
1. Comprensin del negocio y de su ambiente
Al planificar una auditoria, el auditor de sistemas debe tener una comprensin de suficiente del
ambiente total que se revisa. Debe incluir una comprensin general de las diversas prcticas
comerciales y funciones relacionadas con el tema de la auditoria, as como los tipos de sistemas que
se utilizan. El auditor de sistemas tambin debe comprender el ambiente normativo en el que opera
el negocio. Por ejemplo, a un banco se le exigir requisitos de integridad de sistemas de informacin
y de control que no estn presentes en una empresa manufacturera. Los pasos que puede llevar a cabo
un auditor de sistemas para obtener una comprensin del negocio son: Recorrer las instalaciones del
ente. Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria,
memorias e informes financieros. Entrevistas a gerentes claves para comprender los temas
comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisin de planes
estratgicos a largo plazo. Revisin de informes de auditorias anteriores.
2. Riesgo y materialidad de auditoria
Se puede definir los riesgos de auditoria como aquellos riesgos de que la informacin pueda tener
errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos
en auditoria pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material
no se puede evitar que suceda por que no existen controles compensatorios relacionados que se
puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en
forma oportuna por el sistema de control interno. Riesgo de deteccin: Es el riesgo de que el auditor
realice pruebas exitosas a partir de un procedimiento inadecuado.
El auditor puede llegar a la conclusin de que no existen errores materiales cuando en realidad los
hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error
que debe considerarse significativo cuando se lleva a cabo una auditoria. En una auditoria de sistemas
de informacin, la definicin de riesgos materiales depende del tamao o importancia del ente
auditado as como de otros factores. El auditor de sistemas debe tener una cabal comprensin de estos
riesgos de auditoria al planificar. Una auditoria tal vez no detecte cada uno de los potenciales errores
en un universo. Pero, si el tamao de la muestra es lo suficientemente grande, o se utiliza
procedimientos estadsticos adecuados se llega a minimizar la probabilidad del riesgo de deteccin.
De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un
sistema dado se puede detectar un error mnimo, pero ese error combinado con otros, puede convertir
en un error material para todo el sistema. La materialidad en la auditoria de sistemas debe ser
considerada en trminos del impacto potencial total para el ente en lugar de alguna medida basado en
lo monetario.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
3. Tcnicas de evaluacin de Riesgos
Al determinar que reas funcionales o temas de auditoria que deben auditarse, el auditor de sistemas
puede enfrentarse ante una gran variedad de temas candidatos a la auditoria, el auditor de sistemas
debe evaluar esos riesgos y determinar cuales de esas reas de alto riesgo debe ser auditada. Existen
cuatro motivos por los que se utiliza la evaluacin de riesgos, estos son: Permitir que la gerencia
asigne recursos necesarios para la auditoria. Garantizar que se ha obtenido la informacin pertinente
de todos los niveles gerenciales, y garantiza que las actividades de la funcin de auditoria se dirigen
correctamente a las reas de alto riesgo y constituyen un valor agregado para la gerencia. Constituir
la base para la organizacin de la auditoria a fin de administrar eficazmente el departamento. Proveer
un resumen que describa como el tema individual de auditoria se relaciona con la organizacin global
de la empresa as como los planes del negocio.
4. Objetivos de controles y objetivos de auditoria
El objetivo de un control es anular un riesgo siguiendo alguna metodologa, el objetivo de auditoria
es verificar la existencia de estos controles y que estn funcionando de manera eficaz, respetando las
polticas de la empresa y los objetivos de la empresa. As pues tenemos por ejemplo como objetivos
de auditoria de sistemas los siguientes: La informacin de los sistemas de informacin deber estar
resguardada de acceso incorrecto y se debe mantener actualizada. Cada una de las transacciones que
ocurren en los sistemas es autorizada y es ingresada una sola vez. Los cambios a los programas deben
ser debidamente aprobados y probados. Los objetivos de auditoria se consiguen mediante los
procedimientos de auditoria.
5. Procedimientos de auditoria.
Algunos ejemplos de procedimientos de auditoria son: Revisin de la documentacin de sistemas e
identificacin de los controles existentes. Entrevistas con los especialistas tcnicos a fin de conocer
las tcnicas y controles aplicados. Utilizacin de software de manejo de base de datos para examinar
el contenido de los archivos de datos. Tcnicas de diagramas de flujo para documentar aplicaciones
automatizadas.
Desarrollo del programa de auditoria.
Un programa de auditoria es un conjunto documentado de procedimientos diseados para alcanzar
los objetivos de auditoria planificados.
El esquema tpico de un programa de auditoria incluye lo siguiente:
1. Tema de auditoria: Donde se identifica el rea a ser auditada.
2. Objetivos de Auditoria: Donde se indica el propsito del trabajo de auditoria a realizar.
3. Alcances de auditoria: Aqu se identifica los sistemas especficos o unidades de organizacin que
se han de incluir en la revisin en un perodo de tiempo determinado.
4. Planificacin previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el
trabajo as como las fuentes de informacin para pruebas o revisin y lugares fsicos o instalaciones
donde se va auditar.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
5. Procedimientos de auditoria: Estos procedimientos se realizaran para lograr:
Recopilacin de datos.
Identificacin de lista de personas a entrevistar.
Identificacin y seleccin del enfoque del trabajo
Identificacin y obtencin de polticas, normas y directivas.
Desarrollo de herramientas y metodologa para probar y verificar los controles existentes.
Procedimientos para evaluar los resultados de las pruebas y revisiones.
Procedimientos de comunicacin con la gerencia.
Procedimientos de seguimiento
SUBTEMA 3: NORMAS DE AUDITORIA DE SISTEMAS
Objetivos
El objetivo de esta obra es definir los criterios de auditora de sistemas a utilizar en nuestro trabajo
especfico sobre el Gobierno de la Ciudad de Buenos Aires (G.C.B.A). Planteamos, como primer
paso, utilizar criterios bsicos y generar normas que permitan alcanzar un estado inicial de seguridad
y auditabilidad en los sistemas de informacin y las tecnologas asociadas.
El objeto a auditar, los sistemas de informacin y las tecnologas de la informacin en el G.C.B.A.,
es tan amplio y heterogneo que invalida el uso de recetas y/o soluciones rgidas. En consecuencia,
estas normas debern aplicarse teniendo en cuenta las particularidades y las caractersticas de cada
rea, el valor de la informacin y la finalidad de la misma.
Se intenta establecer criterios de auditoria exigibles y alcanzables. Entendiendo que, si bien
constituyen una herramienta para el auditor de sistemas, tambin son muy importantes para el
auditado ya que le permiten conocer por anticipado las reglas con las que ser examinado. Por otra
parte manejar lineamientos ms o menos homogneos con otros organismos de control, en la medida
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
que esto no comprometa nuestra independencia, homogeneizar y simplificar la tarea de los
auditados ahorrando esfuerzos. Consideramos que esta tarea debe realizarse entre todos los
funcionarios y agentes comprometidos en el manejo de la informacin, y no slo con aquellos que
estn a cargo de las reas informticas.
Esta TRINIDAD est compuesta por 3 partes. Una vez aprobadas estas normas y en base a las mismas
definiremos la metodologa en forma de una Gua de Auditora que usaremos como herramienta de
campo en la A.G.C.B.A., con sus pasos, productos e informes. La tercera parte est constituida
especficamente por los listados de control.
Presupuestos bsicos
La informacin es un activo y el GCBA debe considerarla como tal. Tambin es un componente
indispensable de la gestin de gobierno. El crecimiento de los procesos automatizados para el manejo
de la informacin aumentan la importancia y la necesidad de preservarla con los deberes y el cuidado
propios de un activo relevante.
Control Interno
El entorno de control interno en un organismo est dado, segn las Normas Bsicas de Auditora
Externa de la AGCBA, por los procedimientos que ayudan a:
La eficacia y eficiencia de las operaciones
La confiabilidad de los datos
La salvaguardia de los activos
El cumplimiento de las normas El auditor deber observar el ambiente de control en los
organismos, y aplicar los criterios dentro de la Administracin de un modo integral.
Estos controles internos deben comprender a todos los elementos que intervienen en el
procesamiento de la informacin (recursos, sistemas, procesos, estructura, cultura de trabajo, tareas
y datos).
Debe observar tambin que las medidas de control existan en todos los niveles de la estructura,
mediante la combinacin de mecanismos tales como aprobacin, autorizacin, verificacin y
segregacin de funciones.
Los criterios ms generales de control interno, orientados a la confiabilidad de los datos y que
deben verificarse en el flujo interno de la informacin dentro de un organismo son:
Independencia del rea de sistemas en la estructura del organismo.
Independencia del responsable de seguridad de los sistemas de informacin con relacin al rea de
sistemas.
Controles por oposicin en las tareas.
Separacin lgica de ambientes entre reas de carga, control y modificacin.
Separacin fsica de operaciones y desarrollo.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Registro automatizado de las modificaciones realizadas en el sistema (logs).
El auditor debe evaluar el grado en que el no cumplimiento de estas normas bsicas aumenta la
vulnerabilidad de la informacin ante los riesgos de amenazas potenciales, imprevistos, accidentes,
daos o cualquier acto o evento con efectos adversos.
Se denominan amenazas a los riesgos que afectan a los sistemas, la informacin y los procesos. La
no existencia de mecanismos de control interno aumenta fuertemente la posibilidad de que se
concreten amenazas.
Algunos riesgos son:
Acceso no permitido, puede darse por falta de confidencialidad en la clave de uso y/o por uso
indebido de puestos de trabajo, uso indebido de recursos o modificaciones no autorizadas
Prdida o destruccin de informacin, por falta de resguardo fsico y poltica de backups
Fraude, entendido como la alteracin o eliminacin de informacin con carcter doloso
Falsificacin, cambiar datos originales
Ataques externos y/o internos
Robo de la informacin, para su venta o divulgacin Con las comunicaciones se agregan otros
riesgos como la negacin de servicio y ms peligroso, el uso de las propias instalaciones como
plataforma de ataque o enmascaramiento de penetracin o ataque hacia otra red. En este contexto el
control de los virus, macros, gusanos y troyanos debe ser considerado como una prctica obligatoria
y permanente.
Normas Bsicas de Auditora de Sistemas de Informacin
Reproducimos aqu el prrafo de las Normas Bsicas de Auditora Externa de la Auditora General
de la Ciudad (http://www.agcba.gov.ar) aprobadas en octubre de 2000 que dice:
CONCEPTO DE AUDITORIA EXTERNA La auditora externa es un examen global, total e
integrado, que tiende al control de la gestin pblica desde una perspectiva externa a su propio
proceso y que, a diferencia de los otros tipos de control de gestin, est orientada fundamentalmente
a promover la mejora de las operaciones de gobierno - en trminos de economa, eficacia y eficiencia
- y a fortalecer la capacidad sistmica del estado de rendir cuentas de su gestin a la sociedad.
La Constitucin de la Ciudad de Buenos Aires establece un sistema integral de control. Tambin la
propia Constitucin la ley 70 y la ley 325 hablan de aspectos econmicos, financieros, patrimoniales,
de gestin, de sistemas de informacin y legalidad.
Auditora de Sistemas Informticos Es el examen que consiste en realizar los procedimientos
de verificacin del correcto funcionamiento de los procesos sistemas de informacin. Se seleccionan
distintos procedimientos de auditora para controlar la forma en que funcionan las aplicaciones
informticas. Se trata de un examen que se torna imprescindible dado la significativa participacin
que tiene la informtica en la organizacin de una entidad.
Criterios De Auditoria A los fines de las presentes normas, se definen los siguientes criterios de
auditoria:
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
a) Economa: Se refiere a la adquisicin de la cantidad y calidad apropiada de recursos financieros
como humanos, materiales, informticos, tecnolgicos, etc. con oportunidad y al ms bajo costo y al
grado en que los servicios y bienes producidos satisfacen las necesidades para las cuales fueron
dirigidos.
b) Eficacia: Corresponde al logro de las metas previstas en planes, programas, proyectos,
operaciones y actividades, as como la adecuacin de los mismos a los objetivos del organismo
auditado.
c) Eficiencia: Se refiere al uso productivo de los recursos tendiendo a maximizar el producto por
recurso utilizado o minimizar los recursos empleados por cantidad y calidad de producto obtenido.
En los programas de auditora debern considerarse los criterios de tica pblica, equidad y el
impacto ambiental que pudiera configurarse.
A los conceptos anteriores del las Normas Bsicas de Auditora de la AGCBA sugerimos incorporar
las siguientes precisiones:
Auditoria De Sistemas
Conjunto de procedimientos que deben llevarse a cabo para verificar el cumplimiento de los
criterios de auditora correspondientes a los procesos de sistemas de informacin y las tecnologas
asociadas a ellas. Deben estar diseados guardando relacin con el logro de los objetivos de la
organizacin y los recursos aplicados para este fin.
Criterios: En los sistemas de informacin deben observarse que se cumplan los siguientes criterios
esenciales.
Confidencialidad: Condicin de salvaguarda de la informacin a fin de evitar su disponibilidad
para personas y/o procesos no autorizados.
Integridad: Condicin en que la informacin es creada, modificada o eliminada solo por el
personal y en las condiciones fijadas por la organizacin.
Disponibilidad: Condicin en que la informacin esta en el lugar momento y forma en que es
requerido por el usuario autorizado.
Cumplimiento: Debe darse al cumplimiento a las normas internas y a todas las leyes y
reglamentaciones a las que estn sujetas las organizaciones pblicas.
Confiabilidad: Los sistemas deben brindar informacin correcta para ser utilizada en la operatoria
de la organizacin y en la presentacin de informes contables y financieros a los usuarios internos ,
a la Auditora General del G.C.B.A. y dems organismos de control.
Autenticidad: determinacin de quien esta autorizado y quien es el responsable de las
autorizaciones.
Transparencia: La resultante de la aplicacin de estos criterios en el manejo de la informacin
lleva a la trasparencia de la gestin, al mejor cumplimiento de los fines de gobierno y a preservar
los derechos de los ciudadanos.Corrientes ms modernas de la auditora de sistemas de informacin
y tecnologas asociadas incluyen cmo criterio la ergonoma y la ecologa del entorno en que se
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
desarrollan tareas informticas intensivas y centros de cmputos. Estos conceptos fueron incluidos
en nuestras normas generales al mencionarse el impacto ambiental.
Criterios Bsicos De Evaluacin De La Organizacin Del rea De Sistemas De
Informacin.
El auditor debe identificar en que lugar dentro de la estructura organizacional est ubicada el rea de
Sistemas de Informacin la que deber depender funcionalmente de un nivel tal que permita
garantizar su independencia tanto de las reas usuarias como de Administracin. Concretamente se
debe verificar que ningn rea de usuarios tenga autoridad para modificar los datos sin pasar por los
responsables de sistemas. Debe observar si existe un plan de Sistemas formal contenga un cronograma
de las actividades del rea, asignacin de prioridades, recursos, sectores involucrados y la totalidad
de las tareas a llevarse a cabo durante un perodo mnimo de 1 ao, que permita una supervisin
continua y directa de las tareas que realizan los distintos sectores.
Se debe constatar que el rea presenta una clara delimitacin de las tareas entre desarrollo (si lo
hubiera) y mantenimiento de sistemas, Administracin de Bases de Datos, operaciones, carga de
datos, soporte tcnico y supervisin, de manera que se garantice una adecuada segregacin de
funciones y fomente un control por oposicin de intereses. Asimismo debe verificar si existen
polticas generales para el rea con una clara definicin de las misiones y funciones de todos los
puestos de trabajo (responsabilidad, dependencia, funciones que supervisa. etc.), estndares y
procedimientos escritos que sean la base de la planificacin, el control y la evaluacin gerencial.
Documentacin Exigible
Debe solicitar la documentacin detallada sobre el equipamiento informtico, que incluya diagramas
y distribucin fsica de las instalaciones , inventario de 'hardware" y 'software" completos, diagramas
topolgicos y lgicos de las redes, flujo de la informacin por la red, tipos de vnculos y ubicacin
de nodos.
El auditor debe observar si existen manuales con estndares de metodologa para el diseo, desarrollo
y mantenimiento de los sistemas aplicativos. Su aplicacin debe regir para todos los nuevos sistemas
que se desarrollen y para las modificaciones. Debe solicitar y controlar la documentacin de: los
sistemas aplicativos, la operacin de los procesos informticos, los procesos de recuperacin de datos
y archivos, los procesos de copias y resguardo de datos, la administracin de la red de
telecomunicaciones, los procedimientos para la puesta en marcha de programas en produccin, el
tratamiento de los requerimientos de usuarios, los manuales de usuario y los procedimientos de
transferencias de informacin y toda otra tarea significativa de la Direccin o Gerencia.
Esta informacin comprende tanto al centro de procesamiento de datos principal como a los
secundarios, las redes departamentales y al centro alternativo para contingencias.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Seguridad Lgica
Dentro de la estructura de la organizacin deber comprobar si existe una funcin para la
administracin y control de la seguridad de acceso a los datos, un responsable de seguridad que sea
independiente del rea de Sistemas de Informacin y que se reporte al mximo nivel de autoridad.
Debe observar si existe una poltica formal de seguridad informtica, en la que se detallen como
mnimo los siguientes aspectos: nivel de confidencialidad de los datos, procedimiento de
otorgamiento de claves de usuarios para el ingreso a los sistemas, y estndares fijados para el acceso
de usuarios.
El auditor debe determinar si las claves son personales y secretas. Debe verificar la existencia de un
procedimiento de inhabilitacin automtica de claves de usuarios que no hagan uso de la misma por
un perodo predeterminado y si existe un procedimiento formal para la baja de usuarios que dejen de
pertenecer al sector o reparticin.
El auditor controlar que el sistema de seguridad mantenga los archivos de claves o "passwords
encriptadas , generar reportes de auditora sobre intentos de violaciones, el uso de utilitarios sensitivos
y las actividades de los usuarios con atributos de administracin y accesos especiales, los que debern
mantenerse en archivo durante el tiempo que fijan las normas para cada caso, utilizando para ello
soportes de almacenamiento (papel, CD, disco ptico u otras tecnologas de esa caractersticas).
Debe verificar la existencia de una adecuada planificacin y documentacin escrita y actualizada de
las actividades que se desarrollan normalmente en el centro de procesamiento de informacin, que
deber incluir como mnimo el detalle de los procesos a realizar, los controles que se efectan, los
mecanismos de registracin de los procesos y sus problemas, los procedimientos sobre cancelaciones
y reprocesos , las relaciones con otras reas y los mecanismos de distribucin de informacin.
Debe constatarse la existencia de procedimientos de control para garantizar la efectivizacin correcta
de cambios cuando corresponda, tales como: cambios de programas en bibliotecas de produccin, en
los archivos, cambios en las definiciones de diccionarios de datos, en las rdenes de corrida de
programas , etc. En los casos en que existan distintos centros de procesamiento debe considerar si
existen responsables del control centralizado de las operaciones y procesos que se realicen en cada
uno de ellos. Debe verificar, si es necesario con pruebas, que los sistemas de informacin
computarizados tengan incorporados en su aplicacin, validaciones y controles mnimos para
asegurar la integridad y validez de la informacin que procesan. Deben existir procedimientos de
control formales que aseguren la integridad de la informacin que se ingresa y procesa en los sistemas.
Debe comprobar que se dispone de equipamiento alternativo (propio o por convenios formales con
terceros ) para el procesamiento y las telecomunicaciones, a efectos de poder superar posibles fallas
o interrupciones de las actividades en sus equipos habituales. Deber estar localizado en un edificio
ubicado a una distancia razonable del centro de procesamiento.
Sistemas Aplicativos Y Registro De Movimientos
Se debe verificar la existencia de un archivo en soporte magntico, con todas las transacciones y
mensajes del sistema, para uso de los responsables del control y auditoria. Este archivo debe reunir
todas las condiciones de seguridad e integridad con el fin de garantizar su confiabilidad y mantenerse
disponible durante los aos que fijan las normas correspondientes.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
El auditor debe verificar que las operaciones que afecten a informacin sensible o crtica se registra,
administra y procesa en los sistemas aplicativos correspondientes, no pudiendo registrarse o
administrarse ninguna operacin en forma manual, en planillas de clculo u otro "software" utilitario.
Debe comprobar que existan circuitos alternativos frente a posibles interrupciones del servicio. Por
cada sistema aplicativo, se deber observar si se mantiene actualizada la documentacin tcnica que
contenga, como mnimo: Objetivos, alcances, diagrama del sistema, registro de modificaciones,
lenguaje de programacin, propiedad de los programas fuentes, problemas o limitaciones conocidas,
descripcin del "hardware" y software utilizados, descripcin de las estructuras de datos,
descripcin de los mdulos y procesos, descripcin de las salidas impresas, descripcin de las
pantallas que permiten la modificacin directa de los datos de produccin (cambio de parmetros,
formulas, datos, etc.) y su interrelacin con las redes de telecomunicaciones.
Teleprocesamiento Y Telecomunicaciones. Redes Y Accesos Remotos
Deber observar si los sistemas que se utilicen para la transferencia de datos cumplen con los
requisitos mnimos de controles internos establecidos en los puntos anteriores y todo lo que se
refiera a la seguridad fsica, lgica y operacin de los equipos, as como que existan circuitos
alternativos frente a posibles interrupciones del servicio. Se debern verificar los mecanismos de
proteccin de datos que se usan en la transmisin por la red de telecomunicaciones, si existen
tcnicas adecuadas de encriptacin por "hardware" y/o "software".
Encriptacin
Se deber insistir en la necesidad de contar, dentro de las redes de telecomunicaciones, con un
"software debidamente administrado, a fin de proveer una adecuada seguridad para los accesos a
las redes, los cambios a su sistema operativo y el monitoreo de la actividad que se desarrolla en
ellas. Debe verificar que no existan usuarios con atributos similares de ingreso, verificacin y/o
envo de informacin, a fin de poder asegurar el adecuado control por oposicin de intereses. Se
debern designar responsables individuales por cada uno de los atributos mencionados. El auditor
verificar las restricciones segn los dominios, sus configuraciones, programas y aplicativos
autorizados y los perfiles de usuarios. Debe comprobar que existan protecciones de distinto tipo,
preventivas y de deteccin de ataques por acceso remoto o correo electrnico. Debe describir en su
informe:
Tipo de red y conexiones
Informacin transmitida, transferencia de archivos y controles existentes
Programas y aplicaciones con acceso remoto
Uso o no de cifrado
Tipos de transacciones internas y externas
Tipos de terminales
Medidas de seguridad en las terminales y puestos de trabajo
Como se separan Intranet e Internet, dominios, contrafuegos, proxys, etc
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Seguridad en el correo electrnico (PGP u otros controles)
Proteccin de la informacin y de las aplicaciones
Como se controla la pgina Web, intentos de accesos, modificaciones, permisos, procedimientos
ante ataques.
Si existen archivos logs de accesos realizados a otras redes, por usuario y fecha, informacin
transferida y poltica de control antivirus de las transacciones.
Seguridad Fsica
La seguridad es un factor de suma importancia en los centros de cmputo instalado o a instalar. Esta
consideracin se refleja en la eleccin de las normas a considerar para la ubicacin del procesador,
materiales utilizados para su construccin, equipo de detectores y proteccin contra incendios,
sistema de aire acondicionado, instalacin elctrica, sistema de control de acceso y el entrenamiento
al personal u operadores. El auditor deber controlar detalladamente:
1. SITUACIN DEL AREA DEL CENTRO DE COMPUTOS
2. ALMACENAMIENTO DE LA INFORMACIN
3. EQUIPOS CONTRA INCENDIOS
4. SUMINISTRO DE ENERGIA ELECTRICA
5. SEGURIDAD EN EL ACCESO DEL PERSONAL
6. SEGURIDAD CONTRA INUNDACIONES
7. SEGURIDAD PARA EL ACCESO DE PERSONAS AL CENTRO DE CMPUTO
8. POLTICA DE BACKUPS
9. CONTROL, AMBIENTAL
Derechos Y Responsabilidad Del Usuario
El auditor deber exigir documentos firmados por los usuarios con detalle de sus derechos,
obligaciones y compromisos de uso de la red y de los puestos de trabajo y donde el GCBA se
compromete a no utilizar la informacin privada de los agentes y ciudadanos ms all de los fines del
logro de sus objetivos no admitindose su uso para otros propsitos ni su difusin no autorizada.
Debe verificarse que los usuarios que procesan informacin de personas cumplan con siguientes
principios de buena prctica:
Procesamiento de acuerdo a las leyes
Procesamiento para fines especficos
La informacin que se procesa debe ser adecuada, relevante y no excesiva
La informacin procesada debe ser exacta y confiable
No guardar la informacin ms all de lo necesario
La informacin debe ser procesada resguardando los derechos individuales
La informacin procesada debe ser segura
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
La informacin no debe ser transferida a otros organismos que no cuenten con adecuadas medidas
de seguridad.
TEMA 2. MTODOS, TCNICAS Y HERRAMIENTAS DE
AUDITORIA
Se define a las tcnicas de auditoria como los mtodos prcticos de investigacin y prueba que utiliza
el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones,
su empleo se basa en su criterio o juicio, segn las circunstancias.
Al aplicar su conocimiento y experiencia el auditor, podr conocer los datos de la empresa u
organizacin a ser auditada, que pudieran necesitar una mayor atencin.
Las tcnicas procedimientos estn estrechamente relacionados, si las tcnicas no son elegidas
adecuadamente, la auditoria no alcanzar las normas aceptadas de ejecucin, por lo cual las tcnicas
as como los procedimientos de auditoria tienen una gran importancia para el auditor.
Segn el IMCP en su libro Normas y procedimientos de auditoria las tcnicas se clasifican
generalmente con base en la accin que se va a efectuar, estas acciones pueden ser oculares, verbales,
por escrito, por revisin del contenido de documentos y por examen fsico.
Siguiendo esta clasificacin las tcnicas de auditoria se agrupan especficamente de la siguiente
manera:
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Estudio General Anlisis Inspeccin Confirmacin Investigacin Declaracin Certificacin Observacin Clculo
Caractersticas de la Auditoria Informtica
La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo
Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse
inversiones informticas, materia de la que se ocupa la Auditoria de Inversin Informtica.
Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular: a ello se
debe la existencia de la Auditoria de Seguridad Informtica en general, o a la auditoria de Seguridad
de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas.
Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma su
funcin: se est en el campo de la Auditoria de Organizacin Informtica.
Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan en una auditoria
parcial. De otra manera: cuando se realiza una auditoria del rea de Desarrollo de Proyectos de la
Informtica de una empresa, es porque en ese Desarrollo existen, adems de ineficiencias, debilidades
de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas.
Procedimientos
Al conjunto de tcnicas de investigacin aplicables a un grupo de hechos o circunstancias que nos
sirven para fundamentar la opinin del auditor dentro de una auditoria, se les dan el nombre de
procedimientos de auditoria en informtica.
La combinacin de dos o ms procedimientos, derivan en programas de auditoria, y al conjunto de
programas de auditoria se le denomina plan de auditoria, el cual servir al auditor para llevar una
estrategia y organizacin de la propia auditoria.
El auditor no puede obtener el conocimiento que necesita para sustentar su opinin en una sola prueba,
es necesario examinar los hechos, mediante varias tcnicas de aplicacin simultnea.
En General los procedimientos de auditoria permiten:
Obtener conocimientos del control interno. Analizar las caractersticas del control interno. Verificar los resultados de control interno. Fundamentar conclusiones de la auditoria.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o procedimiento de
auditoria sern los ms indicados para obtener su opinin.
Anlisis de datos
Dentro de este trabajo, desarrollaremos diversos tipos de tcnicas y procedimientos de auditoria, de
los cuales destacan el anlisis de datos, ya que para las organizaciones el conjunto de datos o
informacin son de tal importancia que es necesario verificarlos y comprobarlos, as tambin tiene la
misma importancia para el auditar ya que debe de utilizar diversas tcnicas para el anlisis de datos,
las cuales se describen a continuacin.
Comparacin de programas: esta tcnica se emplea para efectuar una comparacin de cdigo (fuente,
objeto o comandos de proceso) entre la versin de un programa en ejecucin y la versin de un
programa piloto que ha sido modificado en forma indebida, para encontrar diferencias.
Mapeo y rastreo de programas: esta tcnica emplea un software especializado que permite
analizar los programas en ejecucin, indicando el nmero de veces que cada lnea de cdigo es
procesada y las de las variables de memoria que estuvieron presentes.
Anlisis de cdigo de programas: Se emplea para analizar los programas de una aplicacin. El anlisis
puede efectuarse en forma manual (en cuyo caso slo se podra analizar el cdigo ejecutable).
Datos de prueba: Se emplea para verificar que los procedimientos de control incluidos los programas
de una aplicacin funcionen correctamente. Los datos de prueba consisten en la preparacin de una
serie de transacciones que contienen tanto datos correctos como datos errneos predeterminados.
Datos de prueba integrados: Tcnica muy similar a la anterior, con la diferencia de que en sta se
debe crear una entidad, falsa dentro de los sistemas de informacin.
Anlisis de bitcoras: Existen varios tipos de bitcoras que pueden ser analizadas por el auditor, ya
sea en forma manual o por medio de programas especializados, tales como bitcoras de fallas del
equipo, bitcoras de accesos no autorizados, bitcoras de uso de recursos, bitcoras de procesos
ejecutados.
Simulacin paralela: Tcnica muy utilizada que consiste en desarrollar programas o mdulos que
simulen a los programas de un sistema en produccin. El objetivo es procesar los dos programas o
mdulos de forma paralela e identificar diferencias entre los resultados de ambos.
Monitoreo
Dentro de las organizaciones todos los procesos necesitan ser evaluados a travs del tiempo para
verificar su calidad en cuanto a las necesidades de control, integridad y confidencialidad, este es
precisamente el mbito de esta tcnica, a continuacin se muestran los procesos de monitoreo:
Monitoreo del proceso. Evaluar lo adecuado del control Interno. Obtencin de aseguramiento independiente. Proveer auditora independiente.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Monitoreo del proceso
Asegura el logro de los objetivos para los procesos de TI, lo cual se logra definiendo por parte de la gerencia
reportes e indicadores de desempeo y la implementacin de sistemas de soporte as como la atencin regular
a los reportes emitidos.
Para ello la gerencia podr definir indicadores claves de desempeo y factores crticos de xito y compararlos
con los niveles propuestos para evaluar el desempeo de los procesos de la organizacin.
Evaluar lo adecuado del control Interno
Asegura el logro de los objetivos de control interno establecidos para los procesos de TI, para ello se
debe monitorear la efectividad de los controles internos a travs de actividades administrativas, de
supervisin, comparaciones, acciones rutinarias, evaluar su efectividad y emitir reportes en forma
regular.
Obtencin de aseguramiento independiente
Incrementa los niveles de confianza entre la organizacin, clientes y proveedores, este proceso se
lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deber obtener una certificacin o acreditacin independiente de seguridad y
control interno antes de implementar nuevos servicios de tecnologa de informacin que resulten
crticos, as como para trabajar con nuevos proveedores de servicios de tecnologa de informacin,
luego la gerencia deber adoptar como trabajo rutinario tanto hacer evaluaciones peridicas sobre
la efectividad de los servicios de tecnologa de informacin, de los proveedores de estos servicios as
como tambin asegurarse el cumplimiento de los compromisos contractuales de los servicios de
tecnologa de informacin y de los proveedores de dichos servicios.
Proveer auditora independiente
Incrementa los niveles de confianza de recomendaciones basadas en mejores prcticas de su
implementacin, lo que se logra con el uso de auditoras independientes desarrolladas a intervalos
regulares de tiempo.
Para ello la gerencia deber establecer los estatutos para la funcin de auditoria, destacando en este
documento la responsabilidad, autoridad y obligaciones de la auditoria.
El auditor deber ser independiente del auditado, esto significa que los auditores no debern estar
relacionados con la seccin o departamento que est siendo auditado y en lo posible deber ser
independiente de la propia empresa, esta auditoria deber respetar la tica y los estndares
profesionales, seleccionando para ello auditores que sean tcnicamente competentes, es decir que
cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditoria
informtica.
La funcin de la auditoria informtica deber proporcionar un reporte que muestre los objetivos,
perodo de cobertura, naturaleza y trabajo de auditoria realizado, as como tambin la
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
organizacin, conclusin y recomendaciones relacionadas con el trabajo de auditoria informtica
llevado a cabo.
Anlisis de bitcoras
Hoy en da los sistemas de cmputo se encuentran expuestos a distintas amenazas, las
vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen ms complejos, el nmero
de ataques tambin aumenta, por lo anterior las organizaciones deben reconocer la importancia y
utilidad de la informacin contenida en las bitcoras de los sistemas de computo as como mostrar
algunas herramientas que ayuden a automatizar el proceso de anlisis de las mismas.
El crecimiento de Internet enfatiza esta problemtica, los sistemas de cmputo generan una gran
cantidad de informacin, conocidas como bitcoras o archivos logs, que pueden ser de gran ayuda
ante un incidente de seguridad, as como para el auditor.
Una bitcora puede registrar mucha informacin acerca de eventos relacionados con el sistema que
la genera los cuales pueden ser:
Fecha y hora. Direcciones IP origen y destino. Direccin IP que genera la bitcora. Usuarios. Errores.
La importancia de las bitcoras es la de recuperar informacin ante incidentes de seguridad, deteccin
de comportamiento inusual, informacin para resolver problemas, evidencia legal, es de gran ayuda
en las tareas de cmputo forense.
Las Herramientas de anlisis de bitcoras ms conocidas son las siguientes:
Para UNIX, Logcheck, SWATCH. Para Windows, LogAgent
Las bitcoras contienen informacin crtica es por ello que deben ser analizadas, ya que estn teniendo
mucha relevancia, como evidencia en aspectos legales.
El uso de herramientas automatizadas es de mucha utilidad para el anlisis de bitcoras, es
importante registrar todas las bitcoras necesarias de todos los sistemas de cmputo para mantener
un control de las mismas.
PROCESO DE AUDITORA
Los procedimientos de auditoria y las pruebas estn dirigidas a lograr los siguientes propsitos:
Confiar de que el auditor entiende los procedimientos por el cliente. Obtener evidencias de que los controles funcionan de acuerdo lo cual otorgara un mayor grado de confianza en las operaciones de la empresa.
Validar los hechos o circunstancias ocurridos en las cuentas.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Corroborar la relacin entre cuentas como bases que Soportan los procedimientos.
SUBTEMA 1: PROCESO DE AUDITORIA
El enfoque de la Auditora Informtica Tributaria se diferencia de la auditora tradicional en el tipo
de control que se requiere analizar. En las auditoras informticas realizadas por los funcionarios del
Servicio de Rentas Internas, es importante considerar que cada empresa cuenta con sistemas distintos
no slo por su funcionalidad, alcance u origen, sino tambin por los siguientes aspectos:
Aumento y diversidad de Tecnologas de Informacin. Volumen grande de datos. Volumen de procesos. Diversidad de procedimientos Tecnologa de comunicacin avanzada.
Sin embargo, todos en forma general pueden considerarse como un conjunto de programas, archivos
y procedimientos que se encuentran encapsulados en un mismo diseo conceptual, en un mismo
diseo fsico y, deseablemente, en una misma plataforma tecnolgica.
En base a esta realidad del Servicio de Rentas Internas desde el ao 2007 plante la creacin de un
nuevo esquema de control a travs de un grupo de auditores especialistas informticos tributarios,
cuyas funciones sean las de apoyar al cumplimiento de las normativas tributarias por parte de los
contribuyentes que utilizan sistemas de informacin automatizados, considerando que para el auditor
tributario resulta difcil ampliar el mbito de su evaluacin hacia los sistemas de informacin.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Adicionalmente, se debe considerar la existencia de limitantes impuestos por los propios
contribuyentes tratando de impedir o complicar el adecuado trabajo de control realizado por el
servicio de rentas internas.
1. Objetivos general
Analizar y evaluar la INTEGRIDAD, CONFIDENCIALIDAD y DISPONIBILIDAD en la
generacin, registro y emisin de los datos de inters fiscal procesados en los sistemas informticos
de los contribuyentes y que sean de importancia para el Servicio de Rentas Internas.
2. Especficos
Identificar riesgos, al revisar la existencia y suficiencia de controles, procedimientos en los sistemas a ser Auditados. Volver ms eficiente y efectivo el proceso de control tributario cuando la informacin es procesada a travs de sistemas de informacin.
Minimizar el riesgo de evasin fiscal ante las limitantes existentes en el desarrollo de las auditoras por parte de los funcionarios de control cuando se enfrentan a sistemas de
informacin mecanizados y con alta probabilidad de manipulacin de los datos de inters fiscal.
3. Base legal
Dentro del Cdigo Tributario (artculos 96, 97 y 344) se establecen los deberes formales de los
contribuyentes y se mencionan temas relacionados a registros informticos de contabilidad, en
concordancia el Reglamento para la aplicacin de la Ley de Rgimen Tributario Interno (artculo 261)
que establece que el funcionario responsable del proceso de determinacin podr efectuar la
inspeccin y verificacin de los registros contables, procesos y sistemas relacionados con temas
tributarios, adems le da la facultad para que pueda realizar inspecciones y revisiones a los sistemas
informticos que manejen informacin relacionada con aspectos contables y/o tributarios, utilizados
por el contribuyente, y obtener, en medio magntico o impreso, los respaldos que considere
pertinentes para fines de control tributario.
4. Descripcin del proceso
El auditor a cargo del proceso de determinacin deber incluir dentro del primer requerimiento de informacin el Cuestionario Tcnico de conocimiento General de la
empresa bajo el formato preestablecido.
El auditor a cargo del proceso, mediante Solicitud de Auditora Informtica y entrega del Cuestionario de Conocimiento de Contribuyente y del Cuestionario Tcnico de
Conocimiento General, solicitar la Auditora Informtica de su Caso;
Toda solicitud de Auditora informtica debe ser entregada bajo el formato preestablecido al Supervisor del Equipo Informtico o Personal a cargo;
Una vez entregada la solicitud y Anexos, el Equipo Informtico, evaluar el tiempo aproximado que tomara la realizacin de la Auditora y se asignar el Auditor informtico
a cargo;
El auditor informtico a cargo del caso deber en lo posible estar presente en la primera inspeccin realizada al contribuyente dentro de la Etapa de Planificacin puesto que es
necesario conocer el negocio de la misma y sus procesos, a fin de reconocer posibles riesgos
informticos;
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
En el caso de que el Proceso Determinativo se encuentre en la Etapa de Ejecucin la Auditora Informtica se centrar en los riesgos especficos que determine el Auditor a
Cargo;
Una vez concluida la Inspeccin Informtica el Auditor Informtico realizar el respectivo Informe sobre el proceso; El informe preliminar ser entregado al Supervisor del Equipo Informtico para que realice
la evaluacin en caso; de ser necesario se realizar nuevas inspecciones o se dar por
concluida la Auditora Informtica.
El Auditor Informtico elaborar el memorando de Entrega de Informe y junto con el Informe de Auditora Informtica entregar al Auditor a Cargo del Caso.
Proceso de auditoria informtica forense
Como se puede observar en la siguiente figura, bsicamente el proceso de Auditora Informtica
Forense, tiene cinco etapas:
Procesos de Auditora Informtica Forense
La primera consiste en la identificacin del incidente, conocer el caso e identificar los
dispositivos y medios de almacenamiento. La segunda, es la preservacin de la evidencia, que
es continuar con la cadena de custodia. La tercera, recopilar la evidencia, etapa en la que se
recupera, se analiza, se identifica y se extrae la data que servir como evidencia digital, y
finalmente la fase de documentacin y resultados, que consiste en la elaboracin y
presentacin del informe pericial.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
SUBTEMA 2: TCNICAS Y HERRAMIENTAS DE
RECOLECCIN DE DATOS
Un instrumento de recoleccin de datos es en principio cualquier recurso de que pueda valerse el
investigador para acercarse a los fenmenos y extraer de ellos informacin. De este modo el
instrumento sintetiza en si toda la labor previa de la investigacin, resume los aportes del marco
terico al seleccionar datos que corresponden a los indicadores y, por lo tanto a las variables o
conceptos utilizados y por tcnica vamos a anotar la definicin que nos da el diccionario de
metodologa antes citado.
Conjunto de mecanismos, medios y sistemas de dirigir, recolectar, conservar, reelaborar y
transmitir los datos sobre estos conceptos Fernando Castro Mrquez indica que las tcnicas estn
referidas a la manera como se van a obtener los datos y los instrumentos son los medios materiales,
a travs de los cuales se hace posible la obtencin y archivo de la informacin requerida para la
investigacin.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Principales Tcnicas De Recoleccin De Datos
Los analistas utilizan una variedad de mtodos a fin de recopilar los datos sobre una situacin
existente, como entrevistas, cuestionarios, inspeccin de registros (revisin en el sitio) y observacin.
Cada uno tiene ventajas y desventajas. Generalmente, se utilizan dos o tres para complementar el
trabajo de cada una y ayudar a asegurar una investigacin completa.
Para llevar a cabo un trabajo de investigacin el investigador cuenta con gran variedad de mtodos
para disear un plan de recoleccin de datos. Tales mtodos varan de acuerdo con cuatro dimensiones
importantes: estructura, confiabilidad, injerencia del investigador y objetividad. La presencia de estas
dimensiones se reduce al mnimo en los estudios cualitativos, mientras que adquieren suma
importancia en los trabajos cuantitativos, no obstante el investigador a menudo tiene la posibilidad
de adaptar la estrategia a sus necesidades. Cuando la investigacin est altamente estructurada, a
Cuando la investigacin est altamente estructurada, a menudo se utilizan instrumentos o
herramientas para la recoleccin formal de datos.
PASOS PRINCIPALES
1. La naturaleza del objeto de estudio.
2. Las posibilidades de acceso con los investigados.
6. Tipo y naturaleza de la fuente de datos.
5. La oportunidad de obtener datos.
4. Los recursos con los que se cuenta.
3. El tamao de la poblacin o muestra.
Criterios Para La Construccin Y Elaboracin De Las Tcnicas De Recoleccin De Datos
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Entrevista
La entrevista, desde un punto de vista general, es una forma especfica de interaccin social. El
investigador se sita frente al investigado y le formula preguntas, a partir de cuyas respuestas
habrn de surgir los datos de inters. Se establece as un dilogo, pero un dilogo peculiar,
asimtrico, donde una de las partes busca recoger informaciones y la otra se nos presenta como
fuente de estas informaciones.
Una entrevista es un dialogo en el que la persona (entrevistador), generalmente un periodista hace
una serie de preguntas a otra persona (entrevistado), con el fin de conocer mejor sus ideas, sus
sentimientos su forma de actuar.
El Entrevistado
Deber ser siempre una persona que interese a la comunidad. El entrevistado es la persona que tiene
alguna idea o alguna experiencia importante que transmitir.
El Entrevistador
es el que dirige la entrevista debe dominar el dialogo, presenta al entrevistado y el tema principal,
hace preguntas adecuadas y cierra la entrevista. La entrevista es tambin informacin y reportaje,
las entrevistas pueden ser reales o imaginarias.
Las reales presentan a una o ms personas reales que responden a una serie de preguntas formuladas
por un entrevistador.
Entrevista
Encuesta
La Observacin
Anlisis Documental
Sesin de Grupo
Principales Tcnicas De Recoleccin De Datos
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Las imaginarias son las que una persona adopta el papel del entrevistado artista, escritor y el otro el
de entrevistado puede ser un personaje histrico o literario, y el entrevistador es el mismo o algn
otro personaje.
Partes De Una Entrevista
La presentacin suele ser breve, pero no suficientemente informativa. En ella no se habla del
entrevistado, sino del tema principal de la entrevista.
El cuerpo de la entrevista esta formado por preguntas y las respuestas. Es importante elegir bien las
preguntas para que la entrevista sea buena, las preguntas deben ser interesantes para l publico, y
adecuadas para el entrevistado trasmita sus experiencias. Tambin deben ser breves, claras y
respetuosas. El cierre de la entrevista debe ser conciso. El entrevistador puede presentar un resumen
de lo hablado o hacer un breve comentario personal.
Lo Que Debe Ser Y Lo Que No Debe Ser Una Entrevista
Ambiente personas y dialogo.Una entrevista debe ser simple reflejo de lo que ha sido. Condiciones
necesarias, saber describir el ambiente, saber ver que la persona con quien nos entrevistamos y
dominar el dialogo.Para la entrevista se pueden seguir dos mtodos: el impresionista y el
expresionista.El impresionismo nos dar como una visin instantnea en la que recogen aquellos
rasgos y detalles que destacan del conjunto, lo ms llamativo es lo que nosotros, por eliminacin de
lo accesorio, cuando al paso del tiempo, se va borrando nuestra memoria todo lo que interesa
verdaderamente. Se es impresionista por temperamento.
En el periodismo, conviene la tcnica impresionista, el expresionismo para l a entrevista de cierta
altura, la que de be peridicamente, de cuando en cuando, a personalidades relevantes que exigen
un estudio profundo meditado
No Recargar Demasiado.
Un hombre no es una simple suma de rasgos. Lo que interesa es su alma, un carcter que s refleje en
algunos de esos rasgos. Lo que interesa, en realidad son los rasgos son principalmente los ojos, la
boca y las manos.
No Nos Queda Un Recurso
Estudiar las manos del hombre escurridizo que tengamos ante nosotros.
En las manos, si sabemos mirarlas, encontraremos mas de una vez el verdadero carcter del
hombre que estamos observando: si no son huesudas, s alargadas, y cortas y macizas, s lnguidas
o enrgicas. Las manos hablan lo mismo que se hallan serena quietud como si estn en pleno y
agitado movimiento, sin que lo sepa su dueo nos descubren el modo mas intimo de su ser.
Como tercer elemento fundamental de la entrevista nos queda el dialogo. En la entrevista lo que
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
nos interesa, no solo lo que dice el personaje de turno, si no como lo dice. El secreto de este como
reside en el matiz. Sin el dialogo carece de vida de dos maneras: Puntuando bien las frases y
periodos, de modo que una coma, un punto y coma, un signo de admiracin o puntos suspensivos
reflejen el tono de lo que se nos dijo.Otra imperiosa vigencia en el dialogo de la entrevista es la
seleccin, para quedarnos estrictamente significativo.
El Arte De Preguntar
En el modo periodstico se ha impuesto un tipo de intervencin a base exclusivamente de preguntas
y respuestas, simple dialogo sin matiz alguno. El sistema se ha impuesto por que este procedimiento
informativo es el que ms fcil redaccin de todos. No exige demasiado preocupacin literaria ni
hay que preocuparse muchos por darles formas a las frases.
Pero lo bueno es enemigo de lo fcil. Y as resulta que este tipo de entrevistas standard, es el
personaje entrevistado se esfuma.
Una entrevista no debe hacerse para que el entrevistador luzca con facilidad interrogatorio lo que
debe buscar es la fuerza de la personalidad. Y un hombre no se le descubre a la fuerza para
interrogarle, si dejndole hablar, que es lo mismo. Hay pues, que saber preguntar en su momento y
saber callar cuando es la ocasin lo exige.
La entrevista ha de ser reflejo del dialogo, que nunca exclusivamente una suma de preguntas y
respuestas, sino algo ms complejo: afirmaciones, negaciones, titubeos, gestos y reservas.
Preguntas Abierta Y Cerradas.
La aplicacin de un examen toma menos tiempo y esta es la razn para que sean tan populares en
los quices.
La aplicacin del examen toma ms tiempo, particularmente si lo que se exige es un ensayo
relativamente elaborado.
En trminos totales de tiempo de correccin son apropiadas para clases con muchos estudiantes.
En trminos de tiempo total de correccin es preferible para grupos de pocos estudiantes.
Se Deben Tomar Notas
El tomar notas, depende del momento, del interlocutor, de nosotros mismos.
Pero muy buena retentiva que se tenga, siempre convendr tomar alguna rpida nota (mas o menos
disimulada o, terminada la entrevista, al salir a la calle). Tales notas nos servirn para recordar un
gesto, una frase, algo caracterstico.
Otras veces, en un cambio, no preciso recurrir apenas a las notas, por lo que nuestro interlocutor se
presta mas al trabajo de sntesis que al anlisis.
Lo que s es imperativo, antes de coger un lpiz, es estudiar rpidamente a la persona entrevistada
para saber como reacciona. Hay quien nada mas al ver ante s el cuaderno de notas del periodista
advierte la responsabilidad de la palabra escrita y adopta inmediatamente una actitud doctoral, casi
siempre es falsa. Otras personas especialmente los cientficos hablan con mas aplomo y seguridad
cuando ven funcionar una pluma del periodista, saben que si se evita la posibilidad de error en la
interpretacin de sus manifestaciones.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
De Emil Ludwuing se cuenta que, antes de entrevistarse con un personaje celebre. Procuraba hablar
con el enemigo o contrincante profesional, poltico o ideolgico de aquel. De este modo, el bigrafo
consegua a alguien le hablase m al de aquella persona con quien pensaba entrevistase, conoca as
sus defectos, a veces reveladores. Para su futuro estudio psicolgico.Para este procedimiento no es
conveniente siempre ir en blanco a la entrevista. Cuando ignoramos todo una persona, puede
engaarnos las apariencias. Saber un poco ayuda a enjuiciar, pero tampoco debe dejarse influir
demasiado la opinin ajena.
Las entrevistas en el mundo periodstico se suele llamar entrevista lo que en realidad, es pura y simple
encuesta, es decir a una serie de preguntas y respuestas, mejor o peor hilvanadas. Es recomendable
sustituir tan insustanciales encuestas por el procedimiento informativo en vez de llenar cartillas y
cuartillas con preguntas y respuestas, la mayora insignificantes, mas vale resumir lo que se nos haya
dicho sobre un tema determinado, directamente expuesto sobre lo que se escribe, solo cederemos la
palabra al interlocutor, es decir que produciremos lo que dijo textualmente, cuando as lo exija la
responsabilidad de una afirmacin o el valor psicolgico, el modo de expresarse, en un momento
determinado.
La interviene ha de ser lo mas objetiva posible. Al personaje objeto de nuestra dialogo hay que
mostrado con fidelidad y sinceridad, pero tambin con toda correccin si por azar nos tropezramos
alguna vez con un tipo extrao, como un hombre en el que si que queremos reflejarlo tal como es,
procuraremos que sea el propio entrevistado quien se define a travs de sus palabras o gestos de tal
manera que sin nosotros nada el lector descubra por si mismo los vicios las virtudes de la persona a
quien presentamos.
De este modo el escritor, notario, en este caso de la realidad, de lo que ven sus ojos salva su
responsabilidad perfectamente, sobre todo si fue objetivo y ponderamos en su exposicin.
Finalmente se dan casos en que por razones especialsimas, el entrevistado le conviene aparecer
como una figura mas del cuadro que describe, es decir, aparecer mas bien como actor que como
autor, se impone entonces el reportaje de la intervencin, aqu el escritor se ve a si mismo como
otro personaje mas del escenario que sus ojos contemplan.
Lo expuesto hasta aqu mas vale exclusivamente para la entrevista, digamos psicolgica, es decir,
aquella que intenta rebelar quien es y como es un apersona determinada. No siempre es preciso ni
perceptivo retratar a un tipo humano como lo hara un novelista.
En realidad lo ms frecuente en el campo de la informacin, en estos casos es la tcnica es la propia
del reportaje. Al reportaje se le presenta aqu como, si no por el que lo que vale en este caso la
ciencia, no la personalidad cientfica.
La Encuesta
Una encuesta es un conjunto de preguntas normalizadas dirigidas a una muestra representativa de la
poblacin o instituciones, con el fin de conocer estados de opinin o hechos especficos.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
Tipos De Encuestas
Las encuestas tienen por objetivo obtener informacin estadstica indefinida, mientras que los
censos y registros vitales de poblacin son de mayor alcance y extensin. Este tipo de estadsticas
pocas veces otorga, en forma clara y precisa, la verdadera informacin que se requiere, de ah que
sea necesario realizar encuestas a esa poblacin en estudio, para obtener los datos que se necesitan
para un buen anlisis. Este tipo de encuesta abarca generalmente el UNIVERSO de los individuos
en cuestin.
Otro tipo de Encuestas es Encuestas por Muestreo en donde se elige una parte de la poblacin que
se estima representativa de la poblacin total. Debe tener un diseo muestral, necesariamente debe
tener un marco de donde extraerla y ese marco lo constituye el censo de poblacin. La encuesta
(muestra o total), es una investigacin estadstica en que la informacin se obtiene de una parte
representativa de las unidades de informacin o de todas las unidades seleccionadas que componen
el universo a investigar. La informacin se obtiene tal como se necesita para fines estadstico-
demogrficos.
Una forma reducida de una encuesta por muestreo es un "sondeo de opinin", esta forma de
encuesta es similar a un muestreo, pero se caracteriza porque la muestra de la poblacin elegida no
es suficiente para que los resultados puedan aportar un informe confiable. Se utiliza solo para
recolectar algunos datos sobre lo que piensa un nmero de individuos de un determinado grupo
sobre un determinado tema.
Actualmente, existen sistemas de gestin de encuestas en Internet, que estn acercando su
utilizacin a investigadores que hasta el momento no tenan acceso a los medios necesarios para
ejecutarlas.
Ejemplo de uso.
1. Medir las relaciones entre variables demogrficas, econmicas y sociales.
2. Evaluar las estadsticas demogrficas como errores, omisiones e inexactitudes.
3. Conocer profundamente patrones de las variables demogrficas y sus factores asociados como
fecundidad y migraciones determinantes.
4. Otorga informacin suplementaria en relacin a la otorgada por los Censos.
5. Evaluar peridicamente los resultados de un programa en ejecucin.
6. Probar la eficiencia de un mtodo antes de aplicarlo al total de la poblacin.
7. Saber la opinin del pblico acerca de un determinado tema.
Ventajas y Desventajas
Ventajas
1. Bajo costo
2. Informacin ms exacta (mejor calidad) que la del Censo debido al menor nmero de
empadronadores permite capacitarlos mejor y ms selectivamente.
3. Es posible introducir mtodos cientficos objetivos de medicin para corregir errores.
4. Mayor rapidez en la obtencin de resultados.
5. Tcnica ms utilizada y que permite obtener informacin de casi cualquier tipo de poblacin.
-
Sistemas de Informacin Introduccin a la Auditoria Informtica: Conceptualizacin Isaac Valuis Olortegui Ayala
6. Permite obtener informacin sobre hechos pasados de los encuestados.
7. Gran capacidad para estandarizar datos, lo que permite su tratamiento informtico y el anlisis
estadstico.
8. Relativamente barata para la informacin que se obtiene con ello.
9. Te ayuda a conocer lo que quisieras conocer de la persona o personas encuestadas
Desventajas
El planeamiento y ejecucin de la investigacin suele ser ms complejo que si se realizara por
censo.
1. Requiere para su diseo de profesionales con buenos conocimientos de teora y habilidad en
su aplicacin.
Hay un mayor riesgo de sesgo muestral.
Encuestas Particulares
Encuesta piloto
Un tipo particular de encuesta, que tiene por objetivo preparar la verdadera encuesta. Se
busca tener unos pocos criterios para disear o redisear las herramientas de trabajo,
teniendo una idea previa de la poblacin. Esta exploracin es til porque esta libre de
conclusiones sobre el tema de estudio y sirve solo para mejorar la investigacin; incluso
restablecer un diagrama de flujo u otro tipo de planificacin. Hay otras aplicaciones
novedosas y son construir una muestra completamente estratificada y solo con los
componentes de la poblacin seleccionados para nuestro final inters; esta muestra no tiene
valor predictor, pero s puede utilizarse de una forma experimental, como grupo de control,
y comparar sus resultados -parciales- con los que posteriormente hayamos obtenido en el
muestreo probabilstico principal de toda la poblacin y que as ya estara estadsticamente
bajo control. Ayudara a la muestra completamente estratificada su uso en Investigacin
basada en la comunidad. Es de vital importancia en las organizaciones publicas y privadas.
Modelos de encuestas con resultados.
Puede ayudar al estudiante el poder ver una encuesta sociolgica, ya hecha, y tambin ver
los resultados; para disear otra similar y para enterarse de las opiniones al da sobre temas
de su inters. Esto es posible y de forma gratuita. Los entes tpicos que son
profesionalmente conocidos son los organismos oficiales como el INE (Institutos
Nacionales de Estadstica), el CIS (Centros de Investigaciones Sociolgicas), Cmaras de
comercio e instituciones privadas como ASEP (Anlisis Sociolgicos, Econmicos y
Polticos); disean y realizan encuestas para variables estadsticas, sociolgicas, polticas,
en forma de ndices, indicadores, escalas de actitud, barmetros de opinin y otros
formatos, estudiados en la metodologa social, y que puede conocer en su versin actual y
r