CONCEPTO DE AUDITORIA DE SISTEMAS

SISTEMA: Conjunto ordenado, lógico y secuencial de normas y procedimientos que persiguen un fin determinado. Podemos hablar por ejemplo de Sistema:

Contable Planeación

Capitalista Operación

Educativo Financiero

De Información Etc.

Administrativo

Desde este punto de vista, cuando hablemos de AUDITORIA DE SISTEMAS, nos referiremos a los SISTEMAS DE INFORMACION utilizados en las empresas públicas o privadas, más no al computador, que en sí es una herramienta de los sistemas de información. Debemos tener presente que la administración es un sistema abierto y por tanto cambiante en sus conceptos, técnicas y que está influenciada por lo que acontece en su alrededor.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes; también podemos decir que es el examen y evaluación de los procesos del área de Procesamiento Electrónico de Datos (PED) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

Los Sistemas de Información en las organizaciones, son desarrollados con propósitos diferentes dependiendo de las necesidades de cada una de ellas y los podemos clasificar así:

Sistema de procesamiento de transacciones

Sistema de Automatización de oficina y de manejo de conocimiento

Sistemas de Información gerencial Sistema de apoyo a decisiones Sistemas expertos e inteligencia artificial

Sistema de apoyo a decisiones de grupo Sistema de apoyo a ejecutivos

CONCEPTO DE AUDITORÍA INFORMÁTICA

El concepto de informática es más amplio que el simple uso del computador o de procesos electrónicos. En 1977, la academia Mexicana de informática propuso la siguiente definición: Ciencia de los sistemas inteligentes de información. El concepto de informática considera como un todo el sistema de proceso electrónico, información y computadora, y a esta última como una de sus herramientas.

La Auditoría Informática es la evaluación y verificación de las políticas, controles, procedimientos y la seguridad en general, correspondiente al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección), a fin de que se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

¿QUE ES AUDITORIA?

Hasta ahora la Auditoría, es esencialmente una metodología que permite el examen de distintos objetos o campos auditables, en la perspectiva de emitir una opinión independiente sobre la validez científica y/o la técnica del sistema de control que gobierna una determinada realidad que pretende reflejar adecuadamente y/o cumple las condiciones que le han sido prescritas.

En materia de auditoria, los desarrollos tecnológicos relevantes siempre han girado alrededor del conocimiento contable o financiero únicamente. Sin embargo, los avances modernos de las áreas económicas, administrativas y contables han puesto en evidencia que no solo la contabilidad es objeto de auditoría. También son susceptibles de ser auditados los impuestos, los procesos operativos, la informática, la acción social de las organizaciones, el tratamiento del medio ambiente y los proyectos académicos, económicos y sociales, entre otros.

El Auditor de Sistemas actúa sobre el área de sistemas de información, normalmente representada por los siguientes componentes:

-Desarrollo de sistemas de información

-Asesoría técnica a usuarios

-Servicio de procesamiento electrónico de datos

-Apoyo técnico

-Conocimientos de Hardware y Software

-desarrollo de Sistemas de Información

-Base de datos

-Redes

-Manejo de personal

ENFOQUE DE LA AUDITORIA TRADICIONAL

La palabra auditoría se ha empleado incorrectamente y se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas; por eso se ha llegado a acuñar la frase tiene auditoría como sinónimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se está haciendo auditoría. El concepto de auditoría es más amplio: no solo detecta errores, sino que es un examen crítico que se realiza con objeto de evaluar la eficacia y eficiencia de una sección o de un organismo con miras a corregir o mejorar la forma de actuación.

Eficacia: Lograr los objetivos (gastar bien)

Eficiencia: Con el mejor uso de los recursos (gastar sabiamente)

ENFOQUE DE LA AUDITORIA MODERNA - EL AUDITOR DE SISTEMAS ASESOR GERENCIAL

Los profesionales responsables del auditaje en ambientes computarizados, deben poseer una sólida formación en Administración, Control interno, Informática y Auditoría.

En Administración deben manejar con habilidad y destreza las funciones básicas del proceso administrativo, tales como: planeación, organización, dirección y control, con una mentalidad de hombre de negocios y dentro de las modernas teorías de la Planeación Estratégica, y la calidad total.

En la era de la informática, el auditor debe entender que su papel profesional debe ser el de Asesor Gerencial para asegurar el éxito de la función y, en consecuencia, debe visualizar la empresa y su futuro en forma sistémico-estructural, articulando ordenadamente los objetivos del área informática con la misión y los objetivos de la organización, en su conjunto.

En materia de Control Interno, el auditor informático, debe estar en capacidad de diagnosticar su validez técnica, desde un punto de vista sistémico total. Esto quiere decir que deberá entender el control interno como sistema y no

como un conjunto de controles distribuidos de cualquier manera en las organizaciones.

El Auditor deberá analizar y evaluar la estructura conceptual del sistema de control interno, teniendo en cuenta para ello los controles preventivos, defectivos y correctivos. Comprometerse con una opinión objetiva e independiente, en relación con el grado de seguridad y de confiabilidad del sistema de control vigente en el área de informática.

En esencia, un sistema de control interno, para el área de informática, comprende por lo menos los siguientes elementos: Objetivos, políticas y presupuestos perfectamente definido; estructura de organización sólida; personal competente; procedimientos operativos y de control, efectivos y documentados; sistema de información confiable y oportuno; sistema de seguridad de todos los recursos; sistema de auditoría efectivo.

Como puede observarse, la función de Auditoría es un elemento de control interno, solo que goza de un privilegio muy especial y es el de monitorear permanentemente los otros controles y operaciones del ente auditado.

La temática del concepto de control interno, exige del auditor una formación avanzada en administración de recursos informáticos, sobre la base de que no se puede diagnosticar una determinada realidad sin estar en condiciones de conocerla y entenderla plenamente.

En informática, el auditor debe conocer por lo menos, cómo funcionan los computadores, cuáles son sus reales capacidades y limitaciones. Las marcas, las potencialidades y la calidad de los componentes de hardware y de software. Los ambientes de procesamiento, los sistemas operacionales, los sistemas de seguridad, los riesgos posibles, los principales lenguajes de programación, las tecnologías de almacenamiento y la metodología para la generación y mantenimiento de sistemas de información. En general el Auditor de Sistemas debe estar al día en los avances científico-tecnológicos sobre la materia.

En el campo de la auditoría, el auditor informático, debe conocer y manejar deseablemente la teoría básica de la auditoría, en términos de conceptos, filosofía, ética, taxonomía, normatividad, técnicas, procedimientos, metodología, papeles de trabajo e informes.

De otra parte, el auditor informático, debe ser una persona de muy buenas relaciones humanas, respetuoso de la opinión de los demás, analítico, crítico y buen oidor. Amable, objetivo, de espíritu científico, con habilidad y capacidad para

trabajar bajo presión, con un amplio sentido de responsabilidad social y por sobre todo, que goce de un comportamiento ético a toda prueba.

TIPOS DE AUDITORIA DESDE EL PUNTO DE VISTA DEL CLIENTE

Auditoría Interna: Obedece a la necesidad de la administración de asegurar el resultado económico planeado.

Auditoría Externa: Satisface la necesidad de información de terceros.

Revisoría Fiscal: Obedece básicamente a exigencias legales.

ENFOQUES DE LA AUDITORIA INFORMATICA

AUDITORIA ALREDEDOR DEL COMPUTADOR

En este enfoque de auditoría, los programas y los archivos de datos no se auditan.

La auditoría alrededor del computador concentra sus esfuerzos en la entrada de datos y en la salida de información. Es el más cómodo para los auditores de sistemas, por cuanto únicamente se verifica la efectividad del sistema de control interno en el ambiente externo de la máquina. Naturalmente que se examinan los controles desde el origen de los datos para protegerlos de cualquier tipo de riesgo que atente contra la integridad, completitud, exactitud y legalidad.

La auditoría alrededor del computador no es tan simple como aparentemente puede presentarse, pues tiene objetivos muy importantes como:

1. Verificar la existencia de una adecuada segregación funcional.

2. Comprobar la eficiencia de los controles sobre seguridades físicas y lógicas de los datos.

3. Asegurarse de la existencia de controles dirigidos a que todos los datos enviados a proceso estén autorizados.

4. Comprobar la existencia de controles para asegurar que todos los datos enviados sean procesados.

5. Cerciorarse que los procesos se hacen con exactitud.

6. Comprobar que los datos sean sometidos a validación antes de ordenar su proceso.

7. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la posterior realimentación de los datos corregidos al proceso.

8. Examinar los controles de salida de la información para asegurar que se eviten los riesgos entre sistemas y el usuario.

9. Verificar la satisfacción del usuario. En materia de los informes recibidos.

10. Comprobar la existencia y efectividad de un plan de contingencias, para asegurar la continuidad de los procesos y la recuperación de los datos en caso de desastres.

Se puede apreciar la ambición de los objetivos planteados, pues solamente faltarían objetivos relacionados con el examen de los archivos y los programas, lo cual es parte de otro enfoque.

Informe de esta Auditoría: deberá redactarse en forma sencilla y ordenada, haciendo énfasis en los riesgos más significativos e indicando el camino a seguir mediante recomendaciones económicas y operativamente posibles.

Pasos que se deben seguir en la auditoría:

- Metodología de la auditoría.

- Objetivos de la auditoría.

- Evaluación del sistema de control interno.

- Procedimientos de auditoría.

- Papeles de trabajo.

- Deficiencias de control interno.

- Informe de auditoría.

AUDITORIA A TRAVES DEL COMPUTADOR

Este enfoque está orientado a examinar y evaluar los recursos del software, y surge como complemento del enfoque de auditoría alrededor del computador, en el sentido de que su acción va dirigida a evaluar el sistema de controles diseñados para minimizar los fraudes y los errores que normalmente tienen origen en los programas.

Este enfoque es más exigente que el anterior, por cuanto es necesario saber con cierto rigor, lenguajes de programación o desarrollo de sistemas en general, con el objeto de facilitar el proceso de auditaje.

Objetivos de esta auditoría

1. Asegurar que los programas procesan los datos, de acuerdo con las necesidades del usuario o dentro de los parámetros de precisión previstos.

2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los programas.

3. Verificar que los programadores modifiquen los programas solamente en los aspectos autorizados.

4. Comprobar que los programas utilizados en producción son los debidamente autorizados por el administrador.

5. Verificar la existencia de controles eficientes para evitar que los programas sean modificados con fines ilícitos o que se utilicen programas no autorizados para los procesos corrientes.

6. Cerciorarse que todos los datos son sometidos a validación antes de ordenar su proceso correspondiente.

Informe de Auditoría: deberá orientarse a opinar sobre la validez de los controles, en este caso de software, para proteger los datos en su proceso de conversión en información.

AUDITORIA CON EL COMPUTADOR

Este enfoque va dirigido especialmente, al examen y evaluación de los archivos de datos en medios magnéticos, con el auxilio del computador y de software de auditoría generalizado y /o a la medida. Este enfoque es relativamente completo para verificar la existencia, la integridad y la exactitud de los datos, en grandes volúmenes de transacciones.

La auditoría con el computador es relativamente facil de desarrollar porque los programas de auditoría vienen documentados de tal manera que se convierten en instrumentos de sencilla aplicación. Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin avanzados conocimientos de informática. Los paquetes de auditoría permiten desarrollar operaciones y prueba, tales como:

1- recálculos y verificación de información, como por ejemplo, relaciones sobre nómina, montos de depreciación y acumulación de intereses, entre otros.

2- Demostración gráfica de datos seleccionados.

3- Selección de muestras estadísticas.

4- Preparación de análisis de cartera por antigüedad.

Informe de Auditoría: Este informe deberá versar sobre la confiabilidad del sistema de control interno para proteger los datos sometidos a proceso y la información contenida en los archivos maestros.

Los tres (3) enfoque de auditoría vistos, son complementarios, pues ninguno de los tres, es suficiente para auditar aplicaciones en funcionamiento.

Algunos paquetes de Auditoría:

- S/2190 por Peat Mawick, Mitchell & Co.

- Cars por Cullinet International

- EDP-Auditor/3 por Cullinet International

- Audex por Arthur Anderson & Co.

- Cinfex para Bancos

- Audap por Auditoría Informática Ltda. (Colombiano)

CONOCIMIENTOS GENERALES DEL CONTADOR PRINCIPIANTE

CONOCIMIENTO DEL COMPUTADOR

Entrada Proceso Salida:

Es la colección de interfaces que usan las distintas unidades funcionales (subsistemas) de un sistema de procesamiento de información para comunicarse unas con otras, o las señales (información) enviadas a través de esas interfaces. Las entradas son las señales recibidas por la unidad, mientras que las salidas son las señales enviadas por ésta.

TARJETA MADRE (MAIN BOARD)

HARDWARE: Término en inglés que significa ferretería, se emplea con una fina y poco disimulada ironía, para referirse a los elementos tangibles del equipo, como la tarjeta madre, la memoria, el disco duro y otros dispositivos de almacenamiento.

SOFTWARE: Conjunto de instrucciones que ponen en comunicación los diferentes dispositivos del PC y le permiten realizar cualquier tarea. Ej. El sistema operativo, los programas, los archivos de configuración, etc.

UNIDAD CENTRAL DE PROCESO Llamada CPU: Tradicionalmente se ha dicho que la CPU engloba las partes del hardware de mayor importancia, como la tarjeta madre, el chip, la memoria o el disco duro en el que se almacenan los datos. Realmente la CPU (conocida por sus siglas en inglés, CPU), es un circuito microscópico que interpreta y ejecuta instrucciones. La CPU se ocupa del control y el proceso de datos en las computadoras. Generalmente, la CPU es un microprocesador fabricado en un chip, un único trozo de silicio que contiene millones de componentes electrónicos. El microprocesador de la CPU está formado por una unidad aritmético-lógica que realiza cálculos y comparaciones, y toma decisiones lógicas por una serie de registros donde se almacena información temporalmente, y por una unidad de control que interpreta y ejecuta las instrucciones. Para aceptar órdenes del usuario, acceder a los datos y presentar los resultados, la CPU se comunica a través de un conjunto de circuitos o conexiones llamado bus. El bus conecta la CPU a los dispositivos de almacenamiento (por ejemplo, un disco duro), los dispositivos de entrada (por ejemplo, un teclado o un mouse) y los dispositivos de salida (por ejemplo, un monitor o una impresora).

RAM (Random Access memory) Chip de almacenamiento temporal. Entre mas RAM los programas trabajan a mayor velocidad. Su unidad de medida es el Byte y su capacidad de almacenamiento actual esta dado en mega bytes (MB). La memoria RAM almacena instrucciones, variables y otros parámetros de los programas que el usuario haya activado. Su contenido se pierde cuando el PC es apagado.

ROM BIOS (Read only memory) Chip que almacena en forma permanente instrucciones y datos del PC que son solo de lectura, necesarios para activar el sistema operativo y reconocer los periféricos conectados al sistema.

MEMORIA VIRTUAL Truco tecnológico que permite al PC tomar parte del disco duro como prolongación de la RAM. Ayuda a salir del paso en una situación apurada, pero no puede considerarse como una panacea. Al tener que leer y escribir en el disco duro, con un acceso mucho más lento, la ejecución de los programas se resiente, y acaba siendo considerablemente lenta.

MICROPROCESADOR es el cerebro del PC. Chip que ejecuta las instrucciones y procesa los datos con los que trabaja el computador. Su unidad de medida es el hertz y su capacidad de almacenamiento actual esta dado en mega hertz (MHz). El intenso ritmo de investigación ha conseguido duplicar la capacidad de estos chips cada año y medio, aproximadamente.

TARJETAS DE EXPANSION con chips y otros componentes electrónicos que sirven para ampliar las capacidades del PC o para controlar algunos periféricos. Estas tarjetas se instalan en ranuras de expansión.

RANURAS DE EXPANSION comunicadas con el procesador a través del BUS. Permiten la inserción de chips de memoria, aceleradoras gráficas, tarjetas de sonido o dispositivos de red.

BUS avenida electrónica por medio de la cual se comunica el procesador, la memoria, los periféricos y otros componentes del PC. Esta formado por líneas de circuito paralelas que transportan datos e instrucciones entre los dispositivos instalados en la tarjeta madre. De su capacidad para asimilar el flujo de información depende en gran medida el rendimiento del sistema.

BUS LOCAL autopista de alta capacidad y velocidad que comunica al procesador con algunos dispositivos sin tener que usar el BUS principal..

TARJETA MADRE plástica sobre la que están montados los principales componentes del PC: Procesador, Ram, Rom, Ranuras de expansión, Bus. Si se escoge una tarjeta madre inadecuada para el equipo, probablemente se producirá el efecto de cuello de botella: el chip central del PC o sus periféricos llegarán a trabajar con un volumen de datos superior al que los circuitos de la placa pueden soportar, los datos quedarían atrapados en un trancón y el PC procesaría la información a una velocidad inferior al límite para el cual ha sido diseñado.

TARJETA DE SONIDO da al PC la capacidad de reproducir sonido, grabar o utilizar programas de reconocimiento de voz. Los PC que no son multimedia, no tienen Tarjeta de Sonido.

TARJETA GRÁFICA de aquí parte la imagen que se refleja en el monitor y de ella depende el grado de fineza de la imagen resultante. Se complementa con un acelerador gráfico.

DISCO DURO almacena información y programas de computador de modo estable, su capacidad se mide en MB o GB.

UNIDAD DE DISQUETE almacena y permite leer información. 1.44 MB

UNIDAD DE CD-ROM Disco de metal recubierto por una capa plástica para almacenar datos. Su sistema de lectura es por láser: un haz de luz recorre la superficie del disco, mientras que otro dispositivo se encarga de analizar el reflejo del láser sobre el soporte. Los computadores multimedia (que pueden manejar

video, sonido y animaciones) usan esta unidad para leer CD-ROM. 650-700 MB (486 disquetes), que pueden almacenar video, sonido, animación, texto, gráfica, etc. Actualmente se consiguen unidades de grabación de CD.

DVD (Digital Video Disc) supera con creces la capacidad y rapidez del CD-ROM. Actualmente superan los 4 GB de capacidad (7 CD) y usados en cinematografía por su calidad de imagen, sonido digital de última generación y diálogos locutados en diferentes idiomas.

SISTEMAS DE COMPRESION Apoyados por estudiadas rutinas, logran reducir el espacio de memoria necesario para almacenar un documento. Existen dos tipos de compresores: destructivo y no destructivo. La diferencia principal entre ambos sistemas hace referencia a la pérdida de calidad en el archivo resultante, después de la compresión.

CHIP pieza de silicio que contiene millones de componentes electrónicos (transistores y resistores).

SILICIO (SILICON) material que se encuentra en estado natural en al arena y en las rocas.

TRANSISTOR dispositivo semiconductor que funciona como una especie de PUERTA que se abre o cierra al paso de impulsos eléctricos. Un CHIP como el pentium, agrupa + 3.3 millones de transistores en una superficie de menos de 2 Cm cuadrados.

BYTE es una medida de la capacidad de almacenamiento de datos del PC. 1 byte equivale a un caracter. Los textos, dibujos y sonidos están representados por Bytes.

MEGABYTE (MB) = a 1.000.000 de bytes.

GIGABYTE (GB) = A 1.000 MB.

TERABYTE (TB) = A 1.000 GB.

EXABYTE (EB)=A 5.000.000 TB.

HERTZ (Hz) medida de cuantas vibraciones eléctricas (ciclos) se producen en 1 segundo. 1 Hz = a un ciclo por segundo.

MEGAHERTZ (MHz) = a 1.000.000 de Hz son la unidad de medida del procesador.

PC computador personal. Son el tipo de computadores más difundidos. Por unidades vendidas representan + del 90% del mercado.

PERIFERICOS son todos los dispositivos que se conectan al computador: Ratón, Teclado, Impresora, Monitor, Audífonos, MODEM, Unidad de CD, etc.

COMPOSICION DE UN DEPARTAMENTO DE PROCESAMIENTO ELECTRONICO DE DATOS P.E.D.

Debe existir un organigrama y una asignación clara de responsabilidades. Aunque los cargos varían según el centro de procesos, las descripciones siguientes, abreviadas y generales de puestos de trabajo, cubren la mayor parte de los puestos de proceso de datos en los niveles que no sean de dirección.

ORGANIGRAMA

Un organigrama es la representación gráfica de la estructura de una empresa u organización. Representa las estructuras departamentales y, en algunos casos, las personas que las dirigen, hacen un esquema sobre las relaciones jerárquicas y competenciales de vigor en la organización.

El organigrama es un modelo abstracto y sistemático, que permite obtener una idea uniforme acerca de la estructura formal de una organización.

Tiene una doble finalidad:

Desempeña un papel informativo. Obtener todos los elementos de autoridad, los diferentes niveles de

jerarquía, y la relación entre ellos.

En el organigrama no se tiene que encontrar toda la información, para conocer como es la estructura total de la empresa.

Todo organigrama tiene que cumplir los siguientes requisitos:

Tiene que ser fácil de entender y sencillo de utilizar. Debe contener únicamente los elementos indispensables.

Tipos de organigrama:

1. Vertical: Muestra las jerarquías según una pirámide, de arriba a abajo.

2. Horizontal: Muestra las jerarquías de izquierda a derecha.3. Mixto: Es una combinación entre el horizontal y el vertical.4. Circular: La autoridad máxima está en el centro, alrededor de

él se forman círculos concéntricos donde se nombran a los jefes inmediatos.

5. Escalar: Se usan sangrías para señalar la autoridad, cuanta mayor es la sangría, menor es la autoridad de ese cargo.

6. Tabular: Es prácticamente escalar, solo que mientras el escalar lleva líneas que unen los mandos de autoridad el tabular no.

CARGO DESCRIPCION

Director del PED Como coordinador del Depto. De PED, le corresponde:

Ejecutar la autorización de ampliaciones o cambio en los sistemas principales.

Revisión, posterior a la instalación, del costo y eficacia reales de los proyectos de sistemas.

Revisión de los proyectos de organización y control del PED. Revisión del rendimiento.

Su responsabilidad consiste en presentar cada ampliación o cambio principal con una propuesta, para ser evaluada desde el punto de vista del Costo Beneficio que ocasionará, ya que la adquisición o introducción de mejoras, equivale a una gran inversión en la ampliación del Activo Fijo y debe estudiarse minuciosamente antes de comprometer recursos en el proyecto.

Analista de Sistemas Analiza las necesidades de información, evalúa el sistema existente y diseña procedimientos de procesos de datos nuevos o mejorados. Describe el sistema y prepara las especificaciones que sirven de guía al programador.

ProgramadorHace diagramas de la lógica de los programas del PC, especificados por el sistema diseñado por el analista de Sistemas. Codifica la lógica para su traducción al lenguaje del PC. Elimina errores del programa resultante. Prepara la documentación.

Operador del PC Opera el PC de acuerdo con los procedimientos de instalación y los específicos para cada programa descrito en las instrucciones del funcionamiento del PC.

Operador de Textos Prepara información para su proceso en el PC, tecleando en un dispositivo que lo traduce a lenguaje de máquina.

TECNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR TAAC.

1- OPERACIONES EN PARALELO: Confrontación de resultados, mediante el proceso de los mismos datos reales, entre un sistema nuevo que

sustituye a uno ya auditado. Los programas y procedimientos actuales no se abandonarán hasta cuando los nuevos arrojen los resultados esperados.

2- EVALUACION DE UN SISTEMA CON DATOS DE PRUEBA: Comúnmente llamada lotes de prueba. Se ensaya la aplicación con datos de prueba contra resultados obtenidos inicialmente en las pruebas del programa para detectar resultados no válidos. Los datos de prueba deben representar la aplicación que se examina con todas las posibles combinaciones de transacciones que se lleven a cabo en situaciones reales. Esta técnica se utiliza en la fase de prueba del programa, antes de ser enviada a producción y cuando se llevan a cabo modificaciones a un programa, por tanto, los programas utilizados para digitar los datos de prueba deben ser los mismos que se encuentran en producción y que se utilizan para procesar los movimientos diarios. Cuando esta técnica se mantiene en el tiempo para ser, consistente y cotidianamente, aplicada al sistema en producción, toma el nombre de EVALUACION DEL SISTEMA DEL CASO BASE ESCB, en tal caso, la prueba es más completa y requiere de un alto grado de cooperación entres usuarios, auditores y personal de sistemas.

3- PRUEBAS INTEGRALES: Permite examinar el proceso de la aplicación en su ambiente normal de producción, pues se procesan datos de prueba en la misma aplicación en producción junto con los datos reales, para lo cual se crea una compañía de prueba con fines de auditoría dentro de la aplicación, lo cual permite disponer de los mismos archivos maestros. Los resultados de la prueba se comparan contra resultados precalculados o predeterminados para examinar la lógica y precisión de los procesos. Se presenta un proceso de información simultáneo para comparar contra resultados predeterminados.

4- SIMULACION: Se desarrolla un programa de aplicación para determinada prueba y se compara el resultado con los arrojados por la aplicación real.

5- REVISIONES DE ACCESO: Consiste en conservar un registro computarizado de todos los accesos a determinados archivos (información del usuario y terminal) Software de Auditoría.

6- REGISTROS EXTENDIDOS: Agregar un campo de control a un registro - Software de Auditoría.

7- TOTALES ALEATORIOS DE CIERTOS PROGRAMAS: Consiste en obtener totales de datos en alguna parte del sistema, para verificar su exactitud en forma parcial - Software de Auditoría.

8- SELECCION DE DETERMINADO TIPO DE TRANSACCIONES COMO AUXILIAR EN EL ANÁLISIS DE UN ARCHIVO HISTORICO: Con el fin de analizar en forma parcial el archivo histórico de un sistema, el cual sería casi imposible verificar en forma total - Software de Auditoría.

9- RESULTADOS DE CIERTOS CÁLCULOS PARA COMPARACIONES POSTERIORES: Con el fin de comparar en el futuro los totales en diferentes fechas - Software de Auditoría.

La TAAC anteriormente descritas, ayudan al AUDITOR a establecer una metodología para la revisión de los sistemas de aplicación de una institución, empleando como herramienta EL MISMO EQUIPO DE COMPUTO.

El COMPUTADOR le facilita al AUDITOR realizar tareas como:

a- Trasladar los datos del sistema a un ambiente de control del auditor.

b- Llevar a cabo la selección de datos.

c- Verificar la exactitud de los datos.

d- Hacer muestreo estadístico.

e- Visualización de datos.

f- Ordenamiento de la información.

g- Producción de reportes e histogramas.

Lo anterior implica una metodología que garantiza una revisión más extensa e independiente, que podría consistir en los siguientes pasos:

1- Selección del sistema de información a revisar.

2- Obtención de la documentación de los archivos que incluye: Nombre del archivo y descripción, nombre de los campos y descripción (longitud, tipo), codificación empleada, etc.

3- Trasladar el archivo de datos a un PC con gran capacidad de almacenamiento.

4- Llevar a cabo con un software de auditoría las verificaciones que se mencionan anteriormente.

5- Participación del Auditor en el desarrollo de sistemas.

En resumen: El Auditor debe tener la habilidad para revisar y probar la integridad de los sistemas y sus ACTIVIDADES PRINCIPALES SERÁN:

a- Verificar los controles y procedimientos de autorización de la utilización y captura de los datos, su proceso y salida de información, así como los programas que las generan. Es importante revisar los procedimientos para el mantenimiento de los programas y las modificaciones a los sistemas.

b- Revisar las transacciones realizadas para asegurarse de que los archivos reflejan la situación actual.

c- Revisar las transacciones y los archivos para detectar posibles desviaciones de las normas establecidas.

d- Asegurarse de que las aplicaciones cumplan con los objetivos definidos en la planeación.

e- Revisar todos los cambios hechos a los programas y sistemas para verificar la integridad de las aplicaciones.

CONCEPTO DE SISTEMAS AVANZADOS

SISTEMAS EN LÍNEA

Las operaciones son procesadas al momento de registrarlas, en ves de acumularla en lotes. Los datos pueden ser registrados en una terminal remota de entrada conectada a la unidad central de proceso por líneas de comunicación. Se refiere a un sistema operativo con terminales, sin implicar su modo de operación. Un sistema en línea acepta y almacena datos desde varias terminales, pero no necesariamente implica la actualización de archivo maestro.

SISTEMA EN TIEMPO REAL

Se refiere al tiempo requerido para que una acción, actividad o decisión tenga lugar. El término se usa para referirse a sistemas de respuestas rápidas en los cuales los archivos son actualizados tan pronto como las operaciones son registradas y en los cuales los datos de salida son proporcionados inmediatamente al ser solicitados. Los sistemas en tiempo real, son siempre en línea.

Un sistema de tiempo real es aquel en el que para que las operaciones computacionales estén correctas no depende solo de que la lógica e implementación de los programas computacionales sea correcto, sino también en el tiempo en el que dicha operación entregó su resultado. Si las restricciones de tiempo no son respetadas el sistema se dice que ha fallado; Por lo tanto, es

esencial que las restricciones de tiempo en los sistemas sean cumplidas. El garantizar el comportamiento en el tiempo requerido necesita que el sistema sea predecible.

SISTEMAS INTEGRADOS

Diseñados para minimizar las operaciones y los registros duplicados. El sistema se diseña de tal manera, que los registros para las funciones diferentes con información similar, sean combinados en un solo registro que los incluya a todos. Algunas características son:

1- Una vez iniciado el sistema, un solo documento fuente, con la descripción de la operación o proporcionando otros datos inicia la actualización de todos los registros asociados con la operación o con la partida de datos.

2- Las partes del sistema están interrelacionadas y se eliminan los registros duplicados.

Un Sistema Integrado, no necesita ser un sistema en Tiempo Real. Un sistema puede estar completo o parcialmente integrado.

BASES DE DATOS

ES cualquier conjunto de datos organizados para su almacenamiento en la memoria de un ordenador o computadora, diseñado para facilitar su mantenimiento y acceso de una forma estándar. La información se organiza en campos y registros. Un campo se refiere a un tipo o atributo de información, y un registro, a toda la información sobre un individuo. Por ejemplo, en una base de datos que almacene información de tipo agenda, un campo será el NOMBRE, otro el TEL, otro la DIRECCION..., mientras que un registro viene a ser como la ficha en la que se recogen todos los valores de los distintos campos para un individuo, esto es, su nombre, teléfono, dirección... Los datos pueden aparecer en forma de texto, números, gráficos, sonido o vídeo. Normalmente las bases de datos presentan la posibilidad de consultar datos, bien los de un registro o los de una serie de registros que cumplan una condición.

PROCESO DE DATOS DISTRIBUIDOS

Hace mención a una red de ordenadores locales; es decir, que los datos están distribuidos en los PC que conforman la red. A menudo se trata de mini-ordenadores conectados en Línea a uno central. Los sistemas distribuidos pueden consistir en diversos servidores que alojen datos, de forma que el cliente no tiene por qué conocer exactamente dónde se encuentran, simplemente hace una

petición de servicio, y es el sistema servidor el encargado de localizarlos y proporcionar el resultado de la consulta al usuario que hizo la petición

SISTEMAS EXPERTOS

Es un sistema informático que incorpora en forma operativa el conocimiento de una persona experimentada, de forma que es capaz tanto de responder como esa persona, como de explicar y justificar sus respuestas. Actúan como ayudantes inteligentes de los expertos humanos y como consultores cuando no se tiene ninguna otra posibilidad de acceder a la experiencia y al conocimiento. Este sistema adopta decisiones o resuelve problemas de un determinado campo, como las finanzas o la medicina, utilizando los conocimientos y las reglas analíticas definidas por los expertos en dicho campo. Los expertos solucionan los problemas utilizando una combinación de conocimientos basados en hechos y en su capacidad de razonamiento. En los sistemas expertos, estos dos elementos básicos están contenidos en dos componentes separados, aunque relacionados: una base de conocimientos y una máquina de deducción, o de inferencia. La base de conocimientos proporciona hechos objetivos y reglas sobre el tema, mientras que la máquina de deducción proporciona la capacidad de razonamiento que permite al sistema experto extraer conclusiones. Los sistemas expertos facilitan también herramientas adicionales en forma de interfaces de usuario y los mecanismos de explicación. Las interfaces de usuario, al igual que en cualquier otra aplicación, permiten al usuario formular consultas, proporcionar información e interactuar de otras formas con el sistema. Los mecanismos de explicación, la parte más fascinante de los sistemas expertos, permiten a los sistemas explicar o justificar sus conclusiones, y también posibilitan a los programadores verificar el funcionamiento de los propios sistemas.

MATRIZ DE PLANEACION

Es un documento que sirve de guía para seguir una secuencia lógica en la realización de la auditoría. En este documento, se informa el personal a cargo de cada labor de auditoría, las pruebas a realizar, los procedimientos a seguir, el tiempo estimado e invertido, el riesgo y la referencia a papeles de trabajo con el fin de permitir el seguimiento y control del desarrollo de la auditoría. (Ver modelo propuesto).

SEGURIDAD EN LA UTILIZACION DEL EQUIPO

La tendencia en los programas y equipos, son ser más sofisticados y solo algunas personas del centro PED conocen el detalle el diseño, lo cual puede provocar deterioro de los sistemas, para lo cual se deberán tomar medidas como:

1- Restringir el acceso a los programas y archivos

2- Los operadores deben trabajar con poca supervisión y sin la participación de los programadores, y no deben modificar los programas ni los archivos.

3- Asegurar en todo momento que los datos y archivos usados sean los adecuaros, procurando no usar respaldos inadecuados.

4- No debe permitirse entrar a la red a personas no autorizadas, ni usar las terminales.

5- La información confidencial debe usar formas codificadas o encriptadas.

6- Revisión periódica física del uso de terminales y de los reportes obtenidos.

7- Auditoria periódica sobre el área de operación y utilización de terminales.

8- Asegurar el proceso completo de los datos.

9- Debe existir registros de transferencia de información ente las funciones de un sistema.

10- Debe controlarse la distribución de las salidas (reportes, cintas, etc.)

11- Guardar copia de archivos fuera del Depto, de PED y en instalaciones de alta seguridad (Bancos)

12- Control estricto en el transporte de cintas y discos del PED al local de almacenaje distante.

13- Identificar y controlar perfectamente los archivos.

14- Estricto control en el acceso físico a los archivos.

SE DEBE TENER UN ESTRICTO CONTROL EN EL MANEJO DE LA INFORMACION;

Por tanto se debe:

1- Cuidar que no se obtengan copias de información sin la debida autorización.

2- Solo el personal autorizado debe tener acceso a la información confidencial.

3- Controlar el destino final de los listados correctos e incorrectos.

4- Controlar el # de copias y la destrucción de información y del papel carbón de la información confidencial.

EL FACTOR + IMPORTANTE EN LA ELIMINACION DEL RIESGO EN LA PROGRAMACION es que todos los programas y archivos estén debidamente documentados; por lo cual, se debe tener alto grado de seguridad desde el momento del diseño preliminar del sistema.

EL SIGUIENTE PUNTO EN IMPORTANCIA ES CONTAR CON LOS RESPALDOS Y DUPLICADOS DE LOS SISTEMAS, PROGRAMAS, ARCHIVOS Y DOCUMENTACION necesaria para que pueda funcionar el plan de emergencia.

SEGURIDAD AL RESTAURAR EL EQUIPO

Cuando ocurre una contingencia, es esencial conocer el motivo que la generó y el daño causado, lo que permite recuperar en el menor tiempo posible el proceso perdido. Se debe analizar el impacto futuro en el funcionamiento de la organización y prevenir implicaciones negativas.

En una situación ideal, se debe elaborar planes para manejar cualquier contingencia que se presente.

Se debe definir planes de recuperación y reanudación, para asegurar que los usuarios se afecten lo menos posible en caso de falla o siniestro. Entre ellas tenemos:

a- No realizar ninguna acción y reanudar el proceso

b- Con copias periódicas de los archivos reanudar un proceso a partir de una fecha determinada.

c- Cambiar el proceso normal por uno alterno de emergencia (Manual, en otro equipo, en equipo paralelo, en otra instalación, etc.)

Cualquier procedimiento a usar deberá ser planeado y probado previamente.

PROCEDIMIENTO DE RESPALDO EN CASO DE DESASTRE

Debe elaborarse en cada Depto. De PED un plan de emergencia, el cual debe ser aprobado por el Depto. De Informática y definir los procedimientos e información para ayudar a la recuperación de información en caso de interrupciones en la operación del sistema de cómputo.

El plan de emergencia debe ser probado y utilizado en condiciones anormales para en caso de usarse en condiciones de emergencia se tenga la seguridad de que funcione. Se debe considerar:

-Que la emergencia existe

-Utilizar respaldos (en otros sitios)

-Cambiar la configuración

-Usar métodos manuales

La desventaja de un plan de emergencia es su costo, pero al igual que un seguro, solo se puede evaluar la ventaja del plan de emergencia si el desastre ocurre.

Una vez aprobado el plan de emergencia, se debe distribuir entre el personal responsable de su operación y es conveniente guardar copia fuera del Depto. PED.

La información que contiene el plan de emergencia es confidencial o de acceso restringido.

El plan debe permitir su revisión constante y su actualización y a cada responsable debe asignársele su tarea y una persona de respaldo para cada uno de ellos, con anotación de su nombre, dirección y # telefónico.

EN LOS DESASTRES PUEDE SUCEDER LO SIGUIENTE:

a- Completa destrucción del centro de cómputo

b- Destrucción parcial del centro de cómputo

c- Destrucción o mal funcionamiento de los equipos auxiliares del centro de cómputo (electricidad, aire acondicionado, etc)

d- Destrucción parcial o total de los equipos descentralizados

e- Pérdida total o parcial de información, manuales o documentos

f- Pérdida de personal clave

g- Huelga o problemas laborales

EL PLAN DE DESASTRE DEBE INCLUIR

a- La documentación de programas y de operación

b- El acuerdo de soporte recíproco, para lo cual se debe tener en cuenta:

i. Configuración de equipos

ii. Configuración de equipo de captación de datos

iii. Sistemas operativos

iv. Configuración de equipos periféricos

c- Los equipos

i. El equipo completo

ii. El ambiente de los equipos

iii. Datos y archivos

iv. Papelería y equipo accesorio

v. Sistemas (operativo, base de datos, programas, programas de utilería)

CUANDO EL PLAN SEA REQUERIDO EN EMERGENCIA, el grupo deberá:

a- Asegurar que todos los miembros sean notificados

b- Informar al director de informática (Jefe de sistemas)

c- Cuantificar el daño o pérdida del equipo, archivos y documentos para definir qué parte del plan debe ser activada

d- Determinar el estado de todos los sistemas en proceso

e- Notificar a los proveedores del equipo cual fue el daño

f- Establecer la estrategia para llevar a cabo las operaciones de emergencia tomando en cuenta:

a. Elaborar lista con métodos disponibles para llevar a cabo la recuperación

b. Señalar la posibilidad de alternar los procedimientos de operación (cambio en dispositivos, sustituir procesos en línea por lotes)

c. Señalar la necesidad para agrupar y transportar al lugar de respaldo los archivos, programas, etc, que se requieran

d. Estimación del tiempo de computadora para periodo largo.

e. Posponer las aplicaciones de prioridad más baja

f. Cambiar la frecuencia del proceso de trabajos

g. Suspender las aplicaciones en desarrollo

CONDICIONES, PROCEDIMIENTOS Y CONTROLES PARA OTORGAR SOPORTE A OTRAS INSTITUCIONES

La idea es establecer convenios con otros centros de PED para utilizar su equipo en caso de fallas mayores o de desastre, a fin de evitar interrupciones de los servicios de procesamiento por largo período.

Es importante la intervención de la administración de las empresas o centros que hacen el convenio PARA ASEGURAR LA SERIEDAD DEL COMPROMISO y para esto se debe considerar:

a- Calidad de la persona a la que se le otorga el respaldo

b- Condiciones en las que se otorga el respaldo

c- Procedimientos y controles para el uso del lugar y equipos de respaldo

d- Tiempo durante el cual se otorga el respaldo

e- Periodicidad para otorgar el respaldo

f- Costo del servicio de respaldo

DISEÑO DE CONTROLES

En los sistemas de información, el control interno se materializa básicamente en controles de dos tipos.

1- CONTROLES MANUALES: Realizados normalmente por el personal del área usuaria. Son controles previstos para asegurar que se preparan, autorizan y procesan todas las operaciones, se subsanan adecuadamente todos los errores, son coherentes los resultados de salida.

2- CONTROLES AUTOMÁTICOS: Incorporados a los programas de la aplicación que sirven de ayuda para tratar de asegurar que la información se registre y mantenga completa y exacta, los procesos de todo tipo sean correctos y su utilización por parte de los usuarios respete la confidencialidad y permita la aplicación de la segregación de funciones.

Según su finalidad, los controles son:

1- CONTROLES PREVENTIVOS: Se diseñan patrones de formatos y estructura (dato numérico, fecha válida, valores válidos, dígitos de control para códigos de identificación, de documentos, nomenclaturas etc.) para evitar los errores a base de exigir el ajuste de los datos a formatos prediseñados

2- CONTROLES DETECTIVOS: con el fin de descubrir errores que no hayan sido posible evitar.

3- CONTROLES CORRECTIVOS: para asegurar que se subsanen los errores identificados mediante controles detectivos.

Los controles anteriores pueden ser utilizados en las transacciones de recogida o toma de datos, en los procesos de información de la aplicación y en la generación de informes y resultados de salida.

CONTROL EN EL ORIGEN DE LAS TRANSACCIONES

En el origen de las transacciones deben establecerse controles básicamente, sobre la AUTORIZACION y PROCESAMIENTO DE DOCUMENTOS FUENTE. Como ejemplo tenemos:

- PROCEDIMIENTOS EN EL ÁREA USUARIA: Se debe trabajar con base en procedimiento escritos y aprobados por la dirección, en el proceso de iniciación, revisión y autorización de las transacciones de entrada, y se utilizan principalmente para las siguientes actividades operativas:

o Preparar documentos fuente.

o Regular el flujo de documentos.

o Establecer la necesidad de ceñirse a los programas de trabajo, como por ejemplo, las fechas de corte.

o Controlar el uso de códigos espaciales, como los passwords entre otros.

o Describir los requisitos claves de entrada de datos.

o Precisar las correcciones que en nombre de los usuarios pueden hacer el personal de sistemas.

- FORMULARIOS PREIMPRESOS: Guían el registro inicial de las transacciones en un formato uniforme. El diseño de formularios es un eficiente control preventivo para los sistemas en funcionamiento, en la etapa de entrada de datos. Un buen diseño de formularios permite que los datos sean completos y precisos, evitando de esta forma errores y omisiones, logrando un sistema correcto de autorizaciones y apoyando la objetividad de la contabilidad o de otras aplicaciones, de las organizaciones. Los formularios diseñados a la medida del sistema facilitan el registro de transacciones y el establecimiento de controles a través de:

o Bloques de autorización

o Totales de control

o Totalizaciones verticales u horizontales

o Fechas de retención de datos

Los documentos fuente pre-impresos permiten la serialización de los mismos, esto es, verificar la secuencia del procedimiento de entrada de datos. La identificación y serialización de los documento fuente facilitan el rastreo de las transacciones hacia delante y hacia atrás, cuando se hace el trabajo de auditoría.

- IDENTIFICACION DE TRANSACCIONES: Toda operación que se registre en un proceso computarizado, debe estar suficientemente identificada como norma de control interno; Ej. Número de serie, número de secuencia, código de la transacción.

- REFERENCIA CRUZADA: En el computador, las transacciones incluyen generalmente un campo, que tiene por objeto identificar el documento fuente. Si este número hace parte de la identificación de la transacción, entonces se convertirá en una referencia cruzada que sirve para rastrear la información hacia delante y hacia atrás. En el registro de CxC, existe un campo para el número de la factura; esta referencia puede utilizarse para recuperar los documentos fuente cuando sea necesario.

- LOG DE SECUENCIA: Normalmente se identifican las transacciones con números de secuencia y lleva además, un LOG interno de los números de secuencia que sirve para asegurarse de que los datos de entrada estén completos, y como pista de auditoría.

- ACCESO RESTRINGIDO A LOS FORMULARIOS EN BLANCO: Los documentos y formularios en blanco deben estar adecuadamente controlados para evitar uso fraudulento, en la entrada de datos. Esta restricción incluye los documentos negociables.

- CUSTODIA DOBLE DE FORMULARIOS: Se acostumbra básicamente para controlar formularios contables de alto nivel de criticidad. Se requiere que un miembro del Depto. De usuario y otro del Depto. De PED autoricen conjuntamente la entrega de formularios prenumerados. El control exige hacer seguimiento riguroso a los formularios en blanco para que sean devueltos y archivados oportunamente.

- SEGREGACION FUNCIONAL: Este control en sistemas computarizados requiere por lo menos de:

o Separación del Depto. de PED de los Depto. Usuarios.

EJEMPLO DE AUDITORIA DE SISTEMA EN UNA EMPRESA

1. PLANTEAMIENTO

Para AVELLANEDA (2003), la gestión ambiental más que un ejercicio administrativo sobre la cantidad y calidad de los recursos que se explotan y se conservan, es una situación de perspectiva ética. En la reunión mundial sobre el ambiente llevada a cabo en Estocolmo

(Suecia) en el año 1972, se trató el tema de la contaminación ambiental provocada por la industrialización. Posteriormente, en 1992, se llevó a cabo en Río de Janeiro (Brasil), la más importante conferencia sobre Ambiente llamada Cumbre de la Tierra; que contó con la participación de la Organización Internacional para la Estandarización (ISO), la cual se compromete a crear normas ambientales internacionales, después denominadas ISO 14000.

Actualmente, la ISO 14001 es una norma que especifica y describe los requisitos para implementar un sistema de gestión ambiental, destinados a permitir que una empresa desarrolle e implemente una política y unos objetivos acordes a los requisitos legales, además, de los empresariales que quiera adoptar, y a la

información relativa a los aspectos ambientales significativos. Una de las mayores ventajas de las normas ISO 14000, como instrumento de gestión ambiental, es que pueden ser evaluadas, certificadas y autodeclaradas, es decir, la empresa pueden afirmar y declarar que produce en armonía con el ambiente, previacertificación de FONDONORMA, aportando mejoras sociales, participando en el desarrollosustentable y añadiendo valor agregado, todo lo cual se revierte como beneficio inmediatopara lograr una sana competitividad, necesaria para entrar en el mercado nacional einternaciona

2. OBJETIVO

Auditar el sistema de gestión ambiental de una empresa cementera venezolana siguiendo los lineamientos de la norma venezolana COVENIN ISO 14001:2005 para determinar los porcentajes de adecuación a la norma.

3. METODOLOGÍA

El siguiente trabajo está enmarcado en la modalidad de proyecto técnico y estudio de casos, debido a que se identifica una situación actual y se analiza para lograr el diagnóstico del problema real que presenta la empresa. PÉREZ (2003) define el proyecto técnico como trabajos de formulación de carácter tecnológico en las diferentes áreas del conocimiento, orientado a la solución de los problemas en el ámbito empresarial. La unidad de estudio corresponde a los trabajadores de Cementos Carora C. A. involucrados directamente con la gestión ambiental.

Cuadro 1: Unidad de Análisis

Por lo tanto, se siguieron los siguientes pasos para lograr el objetivo enunciado:

1) Exhaustiva revisión bibliográfica y legal sobre los sistemas de gestión ambiental (SGA) en Venezuela.

2) Análisis de la NVC ISO 14001:2005.

3) Se utilizó el método PHVA, establecido en la referida norma, para efectuar la auditoría al

SGA de la empresa.

4) Se seleccionaron y aplicaron las técnicas de evaluación y de auditoría del SGA de la empresa cementera: observación directa, entrevista no estructurada, diagrama de flujos del proceso, diagrama de enfoque de proceso (caja negra), auditoría diagnóstica, lista de verificación, cuadro resumen de lista de verificación, tabla de no conformidades, tormenta de ideas, tabla de causas de no conformidades y diagrama causa – efecto.

5) Se recabaron y evaluaron las evidencias.

6) Finalmente, se redactaron las conclusiones y recomendaciones del diagnóstico.

La NVC ISO 14001:2005 contiene cinco principios: (1) Política Ambiental, (2) Planificación

Ambiental, (3) Implementación y Operación (4) Verificación y (5) Revisión por la Dirección. Al ser desarrollados en forma sistemática, permiten mantener un SGA dentro de un proceso de mejora continua. Esta norma se basa en el método: Planificar-Hacer-Verificar-Actuar (PHVA).

4. ANÁLISIS DE RESULTADOS

Se utilizó una lista de verificación siguiendo los lineamientos de la NVC ISO 14001:2005, con la cual se logro determinar el porcentaje de las conformidades y no conformidades, para a su vez concluir si la empresa cumple o no con los requerimientos mínimos establecidos en la referida norma ambiental.

Esta lista de verificación consta de 102 preguntas, donde se incluyen todos los requisitos exigidos por la norma, las cuales fueron aplicadas, específicamente, al técnico, jefe del departamento de gestión y al ingeniero, geólogo, jefe del departamento de geología. A continuación, se presentan en los cuadros 3 y 4 los elementos que conforman la lista de verificación y sus respectivas ecuaciones.

Donde:

%C = porcentaje de conformidad. % NC = porcentaje de no conformidad.

% I = porcentaje incompleto. T = número total de preguntas realizadas.

% CA = porcentaje de cumplimiento total para cada una de las cláusulas.

N = número de sub-cláusulas.

Luego de aplicar la lista de verificación y de revisar los requerimientos según la NVC ISO

14001:2005, se muestran los porcentajes obtenidos de los elementos evaluados (cuadro 5)

Los datos recopilados en la auditoría diagnóstica y presentados en el cuadro anterior, indican que existe un 35,97% de requerimientos incompletos y un 51,88% de No Conformidades; lo que demuestra un 87,85% de no adecuación con respecto a la NVC ISO 14001:2005. Por lo tanto, la empresa cementera sólo tiene un 12,15% de conformidad. En el cuadro 6, se detallan las No Conformidades encontradas y en el cuadro 7, las posibles causas – efectos que las originan.

5. CONCLUSIONES Y RECOMENDACIONES

Cementos Carora C. A. es una empresa industrial de tipo manufacturero altamente contaminante por lo que es de vital importancia que su alta gerencia se aboque al establecimiento de un sistema de gestión ambiental eficaz, siguiendo los lineamientos establecidos en la norma venezolana COVENIN ISO 14001:2005.

Los datos recopilados en la auditoría diagnóstica reflejaron que existe un 35,97 por ciento de requerimientos incompletos y un 51,88 por ciento de No Conformidades; lo que demuestra un 87,85 por ciento de no adecuación con respecto a la NVC ISO 14001:2005, resultando sólo un 12,15 por ciento de conformidad.

Las actividades productivas desarrolladas en esta empresa son de tipo industrial altamente riesgosas y contaminantes e implican la explotación de los yacimientos con un alto impacto ambiental en la zona; por lo tanto, es fundamental dar al área de control ambiental la importancia que reviste para una empresa de este tipo. Entre las recomendaciones se puede mencionar

Reestructurar la gerencia ambiental, la cual debe existir en forma específica y constante, con la inclusión de especialistas y analistas de gestión ambiental. Donde se evalúen los métodos para controlar el desarrollo de procesos productivos altamente contaminantes; se diseñen indicadores de gestión ambiental para cada área del proceso productivo, y se establezca la política, objetivos y metas ambientales los cuales son vitales para la dirección del sistema de gestión ambiental.

Establecer técnicas que permitan minimizar la cantidad de residuos generados en las operaciones productivas mediante una efectiva y completa gestión de residuos.

Desarrollar estrategias dirigidas a la utilización de tecnología, materia prima e insumos alternativos disminuyendo en un alto porcentaje la concurrencia de factores negativos sobre el ambiente natural y social.

INTRODUCCIÓN

La Informática hoy, está integrando en la gestión de la empresa, y por eso las normas y estándares propiamente informáticos deben estar sometidos a los generales de la misma. Debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática. La Auditoría Informática es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una empresa al nivel del tecnologias de la información.

Auditoría.Casos reales de problemas solucionados por nosotros, clientes representativos de auditorias informáticas, Control interno según los objetivos empresariales. E seleccionado una extensa información para la presantacion del siguiente trabajo.

BIBLIOGRAFIA

Auditores y consultores en seguridad, disponibilidad, continuidad, integridad y confidencialidad informatica. (2011, Junio 26). Pagina web en línea. Disponible: http://auditoriasistemas.com/auditoria-informatica/seguridad-informatica/

Carolina H, luis G.(2011,Disiembre 02). Pagina web en línea. Disponible: http://www.slideshare.net/ certificaciones-de-seguridad-informatica

Instituto Universitario de la Frontera

Ministerio de Educación para la Educación superior

Mérida edo Mérida

Auditoria de Sistema

Edson Rolando Alizo Bracho

CI: 19752231