UNIVERSIDAD DE COLIMAFACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICALA AUDITORIA EN LA INFORMÁTICA                   ENSAYO   ...
UNIVERSIDAD DE COLIMA         FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA                                                 ...
H. CONSEJO TÉCNICO DE POSGRADO EN COMPUTACIÓN FACULTAD DEINGENIERÍA MECÁNICA Y ELÉCTRICAUNIVERSIDAD DE COLIMA      Por med...
EXPEDIENTE: 510                                                                                     FECHA: 05-04-2003     ...
DEDICATORIAAgradezco,     a mi familia por el apoyo incondicional y el aliciente que meproporcionan para seguir adelante, ...
CONTENIDOINTRODUCCIÓNCAPITULO 1         ANTECEDENTESCAPITULO 2 TERMINOLOGÍA DE LA AUDITORIA           INFORMÁTICA         ...
CAPITULO 5 PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA          5.1 Planeación de la auditoría en informática               ...
CAPITULO 9 EVALUACIÓN DE LA SEGURIDAD              9.1 Seguridad lógica y confidencialidad                    128         ...
Introducción       A finales del siglo XX, los Sistemas Informáticos se han constituido en lasherramientas más poderosas p...
Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionarsus "negocios" de forma rápida y eficiente...
__________________________________________________________________                                                        ...
• impulsando la aparición de nuevos productos.      • propiciando nuevos servicios y de mejor calidad. (en el sector publi...
El mundo no puede sustraerse de este contexto: los futuros niveles debienestar y la viabilidad competitiva, dependen en gr...
principal objetivo es conferir la dimensión justa a cada problemática, convirtiéndolaen un área de oportunidad y orientánd...
asumir la responsabilidad del control y otorgamiento de seguridad permanente alos recursos de informática?      • ¿Los usu...
software (base de datos, procesadores de palabras, hojas de cálculo,    graficadores, etc.) y el hardware (equipos de cómp...
__________________________________________________________________                                                        ...
orientaciones específicas para la administración de la informática y el uso eficientede los recursos de cómputo. Su clasif...
de la rentabilidad y competitividad respecto a la competencia.       Metodología: Es un conjunto de etapas (fases o módulo...
resultados de alta calidad para apoyar el logro de las actividades administrativasrelacionadas con procesos de información...
estimar los resultados obtenidos".       Así como existen normas y procedimientos específicos para la realizaciónde audito...
niveles ejecutivos la certeza de que la información que circula por el   área se maneja con los conceptos básicos de integ...
__________________________________________________________________                                                        ...
las recomendaciones habidas benefician su trabajo.       En una empresa, los responsables de Informática escuchan, orienta...
empresa.  • Los estándares de productividad se desvían sensiblemente de los     promedios conseguidos habitualmente.  [Pue...
teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se   produce la inoperancia de Sistemas en la emp...
auditor; en ellas, éste recoge más información, y mejor matizada, que laproporcionada por medios propios puramente técnico...
clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamenteen los casos en que las respuestas se apar...
adyacente.  <Puntuación: 1 >  -Para la vigilancia interna del edificio, ¿Hay al menos un vigilante por turno  en los aleda...
Obsérvese como en este caso están contestadas las siguientes preguntas:       -¿Se conoce la norma anterior?       <Puntua...
recogen las modificaciones de datos y se pormenoriza la actividad general.      Del mismo modo, el Sistema genera automáti...
facilidad con los polivalentes productos descritos. Con todo, las opiniones másautorizadas indican que el trabajo de campo...
__________________________________________________________________                                                        ...
A. Evaluación administrativa del departamento de informática.      Esto comprende la evaluación de:      - Los objetivos d...
en la computadoras de acuerdo con la organización del centro de computo(personal).       La auditoría en informática debe ...
b) Generales       El control contable comprende el plan de organización y los procedimientosy registros que se refieren a...
3. Objetivo de salvaguarda física.       El acceso a los activos sólo debe permitirse de acuerdo con autorizacionesde la a...
requieren conocimientos de contabilidad, finanzas, recursos humanos,administración, etc. Y un conocimiento profundo y expe...
procedimientos de control y un adecuado plan en caso de desastre, elaboradosdesde el momento en el que se diseña el sistem...
fiabilidad y de la eficacia de los procesos informáticos.       Controles de supervisión: controles de las aplicaciones   ...
• Verificación de la secuencia numérica. Comprobar que los documentos         siguen la secuencia numérica de manera estab...
las medidas correctivas correspondientes.       Con una combinación de procedimientos programados y manuales se debegarant...
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Auditoria informatica (tesis)
Upcoming SlideShare
Loading in...5
×

Auditoria informatica (tesis)

19,444

Published on

Published in: Education
1 Comment
6 Likes
Statistics
Notes
No Downloads
Views
Total Views
19,444
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
1,069
Comments
1
Likes
6
Embeds 0
No embeds

No notes for slide

Transcript of "Auditoria informatica (tesis)"

  1. 1. UNIVERSIDAD DE COLIMAFACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICALA AUDITORIA EN LA INFORMÁTICA ENSAYO QUE PARA OBTENER EL GRADO DE: MAESTRA EN CIENCIAS COMPUTACIONALES PRESENTA: LORENA CARMINA MORENO JIMÉNEZ ASESOR: MC. ANDRÉS GERARDO FUENTES COVARRUBIAS COQUIMATLÁN, COLIMA, ABRIL DE 2003
  2. 2. UNIVERSIDAD DE COLIMA FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA EXPEDIENTE: 510 NUM. 92-5131MORENO JIMÉNEZ LORENA CARMINAAVE. NIÑOS HÉROES #427VILLA DE ÁLVAREZ, COLIMA Informo a usted que ha sido APROBADO por el H. CONSEJO TÉCNICO DE LA MAESTRÍA ENCOMPUTACIÓN, como tema de titulación para obtener el grado de MAESTRA EN CIENCIASCOMPUTACIONALES.El solicitado por usted bajo el título: "LA AUDITORIA EN LA INFORMÁTICA (ENSAYO)"Desarrollado bajo los siguientes puntos: 1. ANTECEDENTES 2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 3. AUDITORIA INFORMÁTICA 4. TIPOS DE AUDITORIAS 5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 7. EVALUACIÓN DE SISTEMAS 8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIÓN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFÍA Al mismo tiempo, informo a usted que ha sido designado como DIRECTOR DE TESIS el C. M.C.ANDRÉS GERARDO FUENTES COVARRUBIAS. En cada uno de los ejemplares de titulación que presente para examen, deberá aparecer en primertermino copia del presente oficio.C.c.p. EXPEDIENTE ALUMNORFC7AGFC/laal*Km 9 Carretera Colima-Coquimatlán, Colima, Colima, México, Cp 28400Tel. 01 (3) 316 1165, Ext. 51451, Ext Fax 51454
  3. 3. H. CONSEJO TÉCNICO DE POSGRADO EN COMPUTACIÓN FACULTAD DEINGENIERÍA MECÁNICA Y ELÉCTRICAUNIVERSIDAD DE COLIMA Por medio del presente conducto informo que la C. MORENO JIMÉNEZLORENA CARMINA, terminó su período de revisión de tesis. El trabajo al cual sehace mención fue denominado: LA AUDITORIA EN LA INFORMÁTICA (ENSAYO) Cuyo contenido es el siguiente: 1. ANTECEDENTES 2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 3. AUDITORIA INFORMÁTICA 4. TIPOS DE AUDITORIAS 5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 7. EVALUACIÓN DE SISTEMAS 8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIÓN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFÍA El cual cumple con los requisitos necesarios para su aprobación, por lo cuallo autorizo para su impresión.C.c.p. Expediente
  4. 4. EXPEDIENTE: 510 FECHA: 05-04-2003 Acta No. :23MORENO JIMÉNEZ LORENA CARMINAAVE. NIÑOS HÉROES #427VILLA DE ÁLVAREZ, COLIMATEL: 01-312-3136872 En cumplimiento a lo dispuesto por los artículos 13 y 14 del reglamento de titulación vigente, alartículo 40, inciso A del reglamento de estudios de posgrado vigente y al artículo 46 de las normascomplementarias al reglamento de posgrado, correspondiente al Posgrado de la Facultad de ingenieríaMecánica y Eléctrica. Informamos a usted que ha sido AUTORIZADO por este Consejo Técnico su tema detesis para obtener el grado de MAESTRA EN CIENCIAS COMPUTACIONALES el denominado: "LAAUDITORIA EN LA INFORMÁTICA (ENSAYO)". Para ser desarrollado bajo los siguientes puntos: 1. ANTECEDENTES 2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 3. AUDITORIA INFORMÁTICA 4. TIPOS DE AUDITORIAS, 5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 7. EVALUACIÓN DE SISTEMAS 8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIÓN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFÍA Así mismo, hacemos de su conocimiento que de acuerdo con la línea de investigación en la cual seenmarca C su proyecto ha sido designado como DIRECTOR DE TESIS el C. M.C. ANDRÉS GERARDOFUENTES COVARRUBIAS. A partir de la fecha de aprobación tendrá como plazo un año para presentar su examen de grado, encaso contrario tendrá usted derecho a una prorroga única de seis meses so pena de perder el registro de suproyecto, lo anterior bajo la consideración del Consejo Técnico y la aprobación de su director de tesis. Una vez concluidos los tramites de revisión de su documento de tesis e integrado su expediente detitulación deberá recoger el oficio que acompañara el visto bueno de su director de tesis, los cualesencabezarán cada uno de los ejemplares de sus tesis.
  5. 5. DEDICATORIAAgradezco, a mi familia por el apoyo incondicional y el aliciente que meproporcionan para seguir adelante, en particular a mi esposo elDr. Nicandro Farias Mendoza, que formo parte importante en laculminación de mi trabajo. A la Universidad de Colima por brindarme la oportunidad deseguir preparándome. A mis maestros por trasmitir sus conocimientos. Al maestro Andrés Gerardo Fuentes Covarrubias porhaberme brindado la oportunidad de trabajar con él en eldesarrollo del trabajo.
  6. 6. CONTENIDOINTRODUCCIÓNCAPITULO 1 ANTECEDENTESCAPITULO 2 TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 2.1 Informática 9 2.2 Auditoria 12 2.3 Tareas principales de la auditoria 13 2.4 Auditoria en informática 13CAPITULO 3 AUDITORIA INFORMÁTICA 3.1 Importancia de la auditoria informática 15 3.2 Formas de llevar a cabo una auditoria informática 15 3.3 Síntomas de necesidad de una auditoría informática 16 3.4 Herramientas y técnicas para la auditoría informática 18 3.4.1 Cuestionarios 18 3.4.2 Entrevistas 18 3.4.3 Checklist 19 3.4.4 Trazas y/o huellas 22 3.4.5 Software de interrogación 23CAPITULO 4 TIPOS DE AUDITORIAS 4.1. Concepto de auditoría en informática 25 4.2. Auditoria interna y auditoría contable/financiera 27 4.2.1 Definición de control interno 27 4.2.2 Objetivos del control interno 27 4.2.3 Clases de controles internos 31 4.2.3.1 Atendiendo al momento que se actúa 31 4.2.3.2 Controles de supervisión 31 4.3. Auditoria administrativa 37 4.4. Concepto de auditoría con informática 38 4.5 Concepto de auditoría de programas 44 4.6 Concepto de auditoria de seguridad 45 4.6.1 Consideraciones inmediatas 45 4.6.2 Consideraciones para elaborar un sistema de seguridad integral 49 4.6.3 Etapas para implementar un sistema de seguridad 50 4.6.4 Etapas para implementar un sistema de seguridad en marcha 51 4.6.5 Beneficios de un sistema de seguridad 51
  7. 7. CAPITULO 5 PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 5.1 Planeación de la auditoría en informática 52 5.1.1 Investigación preliminar 53 5.1.2 Personal participante 56CAPITULO 6 AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 6.1 Recopilación de la información organizacional 58 6.2 Evaluación de la estructura orgánica 59 6.3 Evaluación de los recursos humanos 73 6.4 Entrevistas con el personal de informática 79 6.5 Situación presupuestal y financiera 80CAPITULO 7 EVALUACIÓN DE SISTEMAS 7.1 Evaluación de sistemas 84 7.2 Evaluación del análisis 86 7.3 Evaluación del diseño lógico del sistema 88 7.4 Evaluación del desarrollo del sistema 93 7.5 Control de proyectos 94 7.6 Control de diseño de sistemas de información 96 7.7 Instructivos de operación 99 7.8 Forma de implantación 100 7.9 Equipo y facilidades de programación 100 7.10 Entrevistas a usuarios 100CAPITULO 8 EVALUACIÓN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO 8.1 Controles 104 8.1.1 Controles de los datos fuente y manejo de cifras de control 104 8.1.2 Control de operación 107 8.1.3 Controles de salida 112 8.1.4 Control de asignación de trabajo 112 8.1.5 Control de medios de almacenamiento masivos 114 8.1.6 Control de mantenimiento 117 8.2 Orden en el centro de cómputo 124 8.3 Evaluación de la configuración del sistema de cómputo 125 8.4 Productividad 126
  8. 8. CAPITULO 9 EVALUACIÓN DE LA SEGURIDAD 9.1 Seguridad lógica y confidencialidad 128 9.2 Seguridad en el personal 137 9.3 Seguridad física 137 9.4 Seguros 144 9.5 Seguridad en la utilización de equipo 146 9.6 Procedimiento de respaldo en caso de desastre 150 9.7 Condiciones, procedimientos y controles para otorgar soporte a otras instituciones 155CAPITULO 10 INFORME FINAL 10.1 Técnicas para la interpretación de la información 156 10.1.1 Análisis crítico de los hechos 156 10.1.2 Metodología para obtener el grado de madurez del sistema 157 10.1.3 Uso de diagramas 158 10.2 Evaluación de los sistemas 159 10.3 Evaluación de los sistemas de información 163 10.4 Controles 165 10.5 Confección y redacción del informe final 167CAPITULO 11 DIFERENTES ENFOQUES DE LA AUDITORIA 11.1 Introducción 170CAPITULO 12 CONCLUSIONES 202BIBLIOGRAFÍA 206ANEXOS 207
  9. 9. Introducción A finales del siglo XX, los Sistemas Informáticos se han constituido en lasherramientas más poderosas para materializar uno de los conceptos más vitales ynecesarios para cualquier organización empresarial, los Sistemas de Informaciónde la empresa. La Informática hoy, está subsumida en la gestión integral de la empresa, ypor eso las normas y estándares propiamente informáticos deben estar, por lotanto, sometidos a los generales de la misma. En consecuencia, lasorganizaciones informáticas forman parte de lo que se ha denominado el"management" o gestión de la empresa. Cabe aclarar que la Informática nogestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decidepor sí misma. Por ende, debido a su importancia en el funcionamiento de unaempresa, existe la Auditoria Informática. El término de Auditoría se ha empleado incorrectamente con frecuencia yaque se ha considerado, como una evaluación cuyo único fin es detectar errores yseñalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" comosinónimo de que, en dicha entidad, antes de, realizarse la auditoría, ya se habíandetectado fallas. El concepto de auditoría es mucho más que esto. La palabra auditoría proviene del latín auditorius, y de esta proviene lapalabra auditor, que se refiere a todo aquel que tiene la virtud de oír. Por otra parte, el diccionario Español Sopena lo define como: Revisor deCuentas colegiado. En un principio esta definición carece de la explicación delobjetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia. Si consultamos el Boletín de Normas de auditoría del Instituto mexicano decontadores nos dice: " La auditoría no es una actividad meramente mecánica queimplique la aplicación de ciertos procedimientos cuyos resultados, una vez llevadoa cabo son de carácter indudable." De todo esto sacamos como deducción que la auditoría es un examencrítico pero no mecánico, que no implica la preexistencia de fallas en la entidadauditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de unasección o de un organismo. El auditor informático ha de velar por la correcta utilización de los ampliosrecursos que la empresa pone en juego para disponer de un eficiente y eficazSistema de Información. Claro está, que para la realización de una auditoríainformática eficaz, se debe entender a la empresa en su más amplio sentido, yaque una Universidad, un Ministerio o un Hospital son tan empresas como una 1
  10. 10. Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionarsus "negocios" de forma rápida y eficiente con el fin de obtener beneficioseconómicos y reducción de costos. Por eso, al igual que los demás órganos de la empresa (Balances yCuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos estánsometidos al control correspondiente, o al menos debería estarlo. La importanciade llevar un control de esta herramienta se puede deducir de varios aspectos. Heaquí algunos: • Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoría Informática de Seguridad. • Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoría Informática de Datos. • Un Sistema Informático mal diseñado puede convertirse en una herramienta peligrosa para la empresa: como las máquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados. Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, por eso, la necesidad de la Auditoría de Sistemas. 2
  11. 11. __________________________________________________________________ 1Antecedentes La información es inherente a la existencia de las personas y de lassociedades. Permite conocer la realidad, interactuar con el medio físico, apoyar enla toma de decisiones, y evaluar las acciones de individuos y grupos elaprovechamiento de la información propicia la mejoría de los niveles de bienestary permite aumentar la productividad y competitividad de las naciones. El importante aporte de la información se ha visto acrecentado por laposibilidad que ha traído consigo la informática, surgida de la convergenciatecnológica de la computación, la microelectrónica y las telecomunicaciones, paraproducir información en grandes volúmenes, y para consultarla y transmitirla através de enormes distancias. De hecho, el mundo de fin de siglo XX esta inmerso en una nuevaRevolución tecnológica basada en la informática. Esta encuentra su principalimpulso en el acceso expedito y en la capacidad de procesamiento de informaciónsobre prácticamente todos los temas y sectores. La nueva Revolución tecnológicaha contribuido a que culturas y sociedades se transformen aceleradamente, tantoeconómica como social y políticamente, con el objetivo fundamental de alcanzar laplenitud de sus potencialidades. En el mundo, hoy la informática es de carácter estratégico sus aplicaciones,ya han afectado prácticamente todas las actividades humanas de la manerasiguiente: • permitiendo la comunicación instantánea de conocimiento a distancia. (por ejemplo permitir integrar grupos de personas que radiquen en distintos sitios, con afinidades o necesidades especifica, para resolver problemas que les son comunes, generando los que se denomina inteligencia colectiva, etc..) • ampliando las capacidades intelectuales del hombre. • estableciendo al conocimiento como factor productivo. • facilitando la generación de nuevas tecnologías y la automatización de procesos. • permitiendo la reducción de tiempos y costos de producción. 3
  12. 12. • impulsando la aparición de nuevos productos. • propiciando nuevos servicios y de mejor calidad. (en el sector publico, algunos, como los de salud, enseñanza y seguridad social prestándose en mayor escala y de manera mas eficaz. las computadoras y las telecomunicaciones pueden coadyuvar en el suministro de estos servicios a comunidades marginadas, etc... todo esto se traduce a beneficios tangibles para la población.) • generando nuevos empleos, principalmente en los servicios (mantenimiento, instalación y reparación de equipo, capacitación, etc...) • modificando la composición y estructuras de los sectores productivos. (se efientizan estructuras, se redefinen responsabilidades de los directivos y trabajadores, etc...) • da lugar a la noción del mundo como aldea global. (ya que los avances tecnológicos que se perfilan, hacen posible la transformación de los servicios para acercarlos a las necesidades particulares de las personas. (por ejemplo, la conexión a redes de computadoras nacionales e internacionales.) A estos efectos se están sumando transformaciones igualmenteimportantes, en el ámbito social, al cambiar la manera en que se llevan a caboinnumerables actividades cotidianas. Por la magnitud de sus efectos, esta Revolución tecnológica es comparablea dos importantes acontecimientos históricos de desarrollo tecnológico estratégico: Imprenta (siglo XV) • permitió una mayor comunicación de ideas a distancia en forma impresa. • impulso la generación del conocimiento. • propicio el surgimiento de la escritura y la lectura como habilidad social. • motivo la evolución cultural, social, política y económica. Revolución Industrial (siglo XVIII) • Incremento capacidades productivas y la disponibilidad de satisfactores. • Amplio opciones de empleo y de organización productiva. • Causo desplazamiento del campo a la ciudad. • Motivo desarrollo heterogéneo entre las naciones redefiniendo la arquitectura del mundo. En conclusión las sociedades que han incorporado la informática a su formade vida cuentan con una ventaja económica y social invaluable en el contexto dela globalización debido a ello, múltiples naciones están enfocando sus esfuerzos adiseñar políticas y estrategias en informática. 4
  13. 13. El mundo no puede sustraerse de este contexto: los futuros niveles debienestar y la viabilidad competitiva, dependen en gran medida de una estrategiainformática que permita aprovechar el potencial que representa esta tecnología,haciendo de ella un instrumento eficaz que sirva para resolver problemas y paraenfrentar con optimismo renovado los retos que el presente y el futuro presenten,por lo que es necesario en definitiva, para obtener un buen aprovechamiento evitarque por una falta de estándares y metodologías, y por una falta de formación ycultura generalizada, sobre todo en los aspectos de control y de seguridadinformática, a pesar de los grandes adelantos tecnológicos, se produzca en lasáreas de informática islotes de mecanización y de procesos manuales difíciles decontrolar y caros de mantener por una falta de asimilación de las nuevastecnologías, por una infrautilización de los equipos informáticos, por undescontento generalizado de los usuarios, por una obsolescencia de lasaplicaciones informáticas actuales, por una falta de planificación de los Sistemasde Información, por falta de seguridad física y lógica y por soluciones planteadasparcialmente que, todo esto puede ser resueltos mediante la auditoría enInformática que es válida para cualquier tamaño de empresa y que teniéndolacomo un ejercicio práctico y formal, brindará a sus ejecutantes, así como a losnegocios, un sentimiento de satisfacción justificado por el entendimiento ycompromiso que implica asegurar la utilización correcta de los recursos deinformática para lograr los objetivos de la organización. Todo lo que se planea debe ejecutarse con formalidad y oportunidad, lo quese relaciona con el hecho de que cualquier organización desea mantener susactivos en las mejores condiciones posibles y salvaguardar su integridad. La función de del auditor en informática no es fungir como capataz o policíadel negocio, como tantas veces se ha planteado en forma sarcástica ocostumbrista en las organizaciones. Este profesionista se orienta a funcionar comoun punto de control y confianza para la alta dirección, además de que se busca serun facilitador de soluciones. Por analogía el auditor se asemeja al médico que evalúa al paciente y lerecomienda el tratamiento idóneo para estar en óptimas condiciones de salud.Según la situación del enfermo, recomendará tratamientos ligeros o fuertes yestrictos. Lo importante es que el paciente sepa que puede mejorar su salud. Esa esla orientación del auditor en informática: conducir a la empresa a la búsquedapermanente de la "salud" de los recursos de informática y de aquellos elementosque se relacionan con ella. No hay que pensar que este proceso cambiará la cultura organizacional dela noche a la mañana, los métodos de trabajo, la mala calidad, ni laimproductividad en las áreas relacionadas con la informática; es un elementoestratégico directo que apoya la eliminación de cada una de las debilidadesmencionadas. Sin embargo ha de coexistir con el personal responsable yprofesional, así como con directores ya accionistas comprometidos con laproductividad, calidad y otros factores recomendados para ser empresas de clasemundial. Se espera que cada auditor sea un profesional, un experto, pero sobre todoque sea un ser sensible, humano, que entienda el contesto real del negocio. Su 5
  14. 14. principal objetivo es conferir la dimensión justa a cada problemática, convirtiéndolaen un área de oportunidad y orientándola hacia la solución del negocio. En los años cuarenta empezaron a presentarse resultados relevantes en elcampo de la computación, a raíz de los sistemas de apoyo para estrategiasmilitares; posteriormente se incrementó el uso de las computadoras y susaplicaciones y se diversificó el apoyo a otros sectores de la sociedad: educación,salud, industria, política, banca, aeronáutica, comercio, etc. En aquellos años la seguridad y control de ese medio se limitaba aproporcionar custodia física a los equipos y a permitir la utilización de los mismosal personal altamente calificado (no existía un gran número de usuarios, ya fuerantécnicos o administrativos). En el presente, la informática se ha extendido a todas las ramas de lasociedad, es decir, resulta factible controlar un vuelo espacial por medio de unacomputadora, así como seleccionar las compras del hogar en una computadorapersonal con acceso a internet, por ejemplo. Esta rapidez en el crecimiento de la informática permite deducir que losbeneficios se han incrementado con la misma velocidad, algunos con medicionestangible -como reducción de costos e incremento porcentual en ventas- y otroscon aspectos intangibles -como mejoría en la imagen o satisfacción del cliente-,pero ambos con la misma importancia para seguir impulsando la investigación yactualización constante de la tecnología. La idea de que se obtienen mayores beneficios que antes no se halla muylejos de la realidad; no obstante, también es válido afirmar que los costos han sidoaltos y en muchas ocasiones han rebasado los límites esperados, ocasionandograndes pérdidas y decepciones en los negocios. Las empresas y organismos interesados en que la informática continúecreciendo para beneficio de la humanidad (educación, productividad, calidad,ecología, etc.) desean que este incremento se controle y oriente de maneraprofesional: se debe obtener el resultado planeado y esperado en cada inversiónde esta rama. Asegurar que las inversiones y proyectos inherentes a la función deinformática sean justificados y brinden los resultados esperados es unaresponsabilidad de quien administre dicha función y, de igual manera, esresponsabilidad de la dirección no aprobar proyectos que no aseguren larentabilidad de la inversión. Con el paso de los años la informática y los elementos tecnológicos que larodean han creado necesidades en cada sector social y se han tornado en unrequerimiento permanente para alcanzar soluciones. El incremento persistente de las expectativas y necesidades relacionadascon la informática, al igual que la actualización continua de los elementos quecomponen la tecnología de este campo, obligan a las entidades que la aplican adisponer de controles, políticas y procedimientos que aseguren la alta dirección delos recursos humanos, materiales y financieros involucrados para que se protejanadecuadamente y se oriente a la rentabilidad y competitividad del negocio. Si se pregunta ¿por qué preocuparse de cuidar esa caja etiquetada con elnombre de informática, y la respuesta que brinde a cualquiera de las siguientespreguntas es negativa, le convendría reafirmar o considerar la necesidad de 6
  15. 15. asumir la responsabilidad del control y otorgamiento de seguridad permanente alos recursos de informática? • ¿Los usuarios y la alta dirección conocen la situación actual de la función de informática en la empresa (organización, políticas, servicios, etc.)? • ¿Se aprueba formal y oportunamente el costo / beneficio de cada proyecto relacionado en forma directa con la informática? • ¿La informática apoya las áreas críticas del negocio? • ¿El responsable de la informática conoce los requerimientos actuales y futuros del negocio que necesitan apoyo de los servicios y productos de su área ? • ¿Cada uno de los elementos del negocio conoce las políticas y procedimientos inherentes al control y seguridad de la tecnología informática? • ¿Existen dichas políticas y procedimientos de manera formal? • ¿Hay un plan de seguridad en la informática? • ¿Se ha calculado el alcance e impacto de la informática en la empresa? • ¿Hay un plan estratégico de informática alineado al negocio? • ¿Existen responsables que evalúen formal e imparcialmente la función de informática? • ¿Se cuenta con un control formal de cada proyecto relativo al área? • ¿Es importante para usted la informática? • ¿Evalúa periódica y formalmente dicha función de la informática? • ¿Auditan sólo sistemas de información y no otras áreas de la información? Cada una de las preguntas encierra una importancia específica para el buenfuncionamiento informático de cualquier negocio; están interrelacionadas y lanegación de alguna es una pequeña fuga de gas que, con el tiempo y un pequeñochispazo, puede ocasionar graves daños a los negocios, ya sean fraudes,proyectos cancelados con alto porcentaje de costos no recuperables, rechazo delos servicios de informática por los usuarios clave del negocio, improductividad ybaja calidad de los recursos de informática, planes de informática no orientados alas metas y estrategias del negocio, piratería de software, fuga de informaciónhacia la competencia o proveedores, entre otros daños. La improductividad, el mal servicio y la carencia de soluciones totales de lafunción informática fueron, son y pueden continuar siendo mal de muchasorganizaciones. El problema real radica en que los proyectos prioritarios hacengala del apoyo que obtienen de la informática; entonces, ¿por qué no cuidarla? Algunos de los problemas por las debilidades o fallas de la informática son: • Debilidades en la planeación del negocio al no involucrar la informática generan inconsistencias. • Resultados negativos (improductividad, duplicidad de funciones, etc.) en el desarrollo, operación y mantenimiento de sistemas de información. • Falta de actualización del personal de informática y técnico donde se encuentran instalados los sistemas y las soluciones del negocio. • Mínimo o nulo involucramiento de los usuarios en el desarrollo e implantación de soluciones de informática. • Capacitación deficiente en el usos de los sistemas de información, el 7
  16. 16. software (base de datos, procesadores de palabras, hojas de cálculo, graficadores, etc.) y el hardware (equipos de cómputo, impresoras y otros periféricos, etc.).• Administración de proyectos que no es formal ni completa (no se alinea a los objetivos del negocio)• Carencia de un proceso de análisis costo / beneficio formal previo al arranque de cada proyecto de informática.• Metodologías de planeación y desarrollo de sistemas informales no estandarizadas y en muchos casos inexistentes.• Uso y entendimiento mínimo o inexistente de técnicas formales para el desempeño de funciones en las áreas de informática: • Análisis y diseño de sistemas de información • Entrevistas a usuarios operativos y ejecutivos • Cuestionarios • Modelación de procesos • Modelación de datos • Costo / beneficio, etcétera. • Control de proyectos.• Trabajo en equipo de desempeño.• Involucramiento mínimo o informal de la alta dirección en los proyectos de informática.• Proyectos de auditoría o evaluación de informática esporádicos e informales y en muchos casos inexistente.• Otros. 8
  17. 17. __________________________________________________________________ 2Terminología de la auditoría eninformática 2.1 Informática La informática se desarrolla con base en normas, procedimientos y técnicasdefinidas por institutos establecidos a nivel nacional e internacional. La informática es el campo que se encarga del estudio y aplicación prácticade la tecnología, métodos, técnicas y herramientas relacionados con lascomputadoras y el manejo de información por medios electrónicos, el cualcomprende las áreas de la tecnología de información orientadas al buen uso yaprovechamiento de los recursos computacionales para asegurar que lainformación de las organizaciones fluya(entidades internas y externas de losnegocios) de manera oportuna y veraz; además es el proceso metodológico quese desarrolla de manera permanente en las organizaciones para el análisis,evaluación, selección, implantación y actualización de los recursos humanos(conocimientos, habilidades, normas, etc), tecnológicos (hardware, software, etc.)materiales (escritorios, edificios, accesorios. etc.) y financieros (inversiones)encaminados al manejo de la información, buscando que no se pierdan lospropósitos confiabilidad, oportunidad, integridad y veracidad entre otrospropósitos. Hardware se refiere a los componentes físicos y tangibles de lascomputadoras, generalmente clasificados en cuatro grandes ramas: • computadoras personales • Redes (locales, abiertas, etc.) • Minicomputadoras • Supercomputadoras (mainframes) Software implica la parte no física de las computadoras. Esto significa quees la porción intangible de los equipos de cómputo, es decir, programas con 9
  18. 18. orientaciones específicas para la administración de la informática y el uso eficientede los recursos de cómputo. Su clasificación se puede resumir en los siguientestérminos: Software de aplicaciones (sistemas de información) • Administrativos. • Financieros. • De manufactura. • Otros. Software de paquetes computacionales (paquetería) • Hojas electrónicas. • Procesadores de palabras. • Otros. Software de programación • Lenguajes de tercera generación • Lenguajes de cuarta generación Software de sistemas operativos • Para computadoras personales. • Para minicomputadoras. • Para supercomputadoras. Productos CASE (ComputerAided Software Enaineering) • Para planeación de sistemas de información. • Para análisis de sistemas de información. • Para diseño de sistemas de información. • Para todo ciclo de desarrollo e implantación de sistemas de información (CDISI). Para Propósitos específicos • Arquitectura. • Auditoría. • Ingeniería. • Medicina. • Otras ciencias. Sistemas de información: Son el conjunto de módulos computacionales omanuales organizados e interrelacionados de manera formal para laadministración y uso eficiente de los recursos (humanos, materiales, financieros,tecnológicos, etc.) de un área específica de la empresa (manufactura,administración, dirección, etc.), con la finalidad de representar los procesos realesdel negocio y orientar los procedimientos, políticas y funciones inherentes paralograr las metas y objetivos del negocio de forma eficiente. Los sistemas de información pueden orientarse al apoyo de los siguientesaspectos: - Niveles operativos del negocio - Niveles tácticos del negocio - Niveles estratégicos del negocio Sistemas de información estratégica (SIE): Son aquellos que de manerapermanente proporcionan a la alta dirección una serie de parámetros y accionesencaminadas a la toma de decisiones que apoyarán al negocio en el seguimiento 10
  19. 19. de la rentabilidad y competitividad respecto a la competencia. Metodología: Es un conjunto de etapas (fases o módulos) formalmenteestructurados, de manera que brinden a los interesados los siguientes parámetrosde acción en el desarrollo de sus proyectos: • Plan general y detallado. • Tareas y acciones. • Tiempos. • Aseguramiento de calidad. • Involucrados. • Etapas (fases o módulos). • Revisiones de avance. • Recursos requeridos. • Otros. Una buena metodología debe responder a los siguientes cuestionamientos:¿qué hacer?, ¿Dónde debo hacerlo?,¿cómo plantearlos?, ¿por qué aprobarlo?,¿cuándo revisarlo?, ¿cuándo empezarlo?, ¿quién debe hacerlo?, ¿por qué debohacerlo?, ¿cómo aprobarlo?, ¿quiénes deben comprometerse?, ¿por quérevisarlo?, ¿cuándo terminarlo?, ¿cómo justificarlo?, etcétera. Técnicas: Es el conjunto de procedimientos y pasos ordenados que se usancon el desarrollo de un proyecto con el propósito de finalizar las etapas, fases omódulos definidos en el proceso metodológico. Algunas de las técnicas generalmente aceptadas son: • Análisis estructurado • Diseño estructurado • Gráficas de Pert • Gráficas de Gantt • Documentación • Programación estructurada • Modulación de datos y procesos • Entrevistas • Otras Las técnicas son el conjunto de pasos ordenados lógicamente paraapoyarse en la terminación (cómo hacerlo) de las acciones o tareas estimadas enel proyecto emanado de la metodología. Herramientas: Es el conjunto de elementos físicos utilizados para llevar acabo las acciones y pasos definidos en la técnica. Antes del auge de lascomputadoras, así como de otros elementos tecnológicos relacionados con laingeniería, arquitectura, etc., dichas herramientas eran simples máquinas outensilios manuales que apoyaban el desarrollo de las tareas de cada uno de losproyectos. Herramientas de productividad: Ayudan a optimizar el tiempo de losrecursos en el desarrollo de un proyecto; así mismo, se encaminan a proporcionar 11
  20. 20. resultados de alta calidad para apoyar el logro de las actividades administrativasrelacionadas con procesos de información, por ejemplo; • Procesadores de palabras (documentación, entrevistas y cuestionarios entre otros) • Diagramadores (diagramas de flujo, diagramas organizacionales, etc) • Graficadores (estadísticas, estimación de actividades en tiempo, costos, etcétera) • Productos CASE (modelación de datos, modelación de procesos, validación de datos y procesos, generadores de diccionarios de datos, por citar algunos casos) • Impresoras (láser, por ejemplo) • Computadoras personales • Otros. Las herramientas de productividad no se asocian necesariamente coninversiones elevadas en la compra de hardware y software especializado; serelacionan con los recursos mecánicos o automatizados que apoyan al personalen la obtención de productos de calidad en niveles de productividad aceptados porlos líderes de proyectos, o definidos por los estándares de trabajo del negocio. 2.2 Auditoria Con frecuencia la palabra auditoria se ha empleado incorrectamente y seha considerado como una valuación cuyo único fin es detectar errores y señalarfallas; por eso se ha llegado a acuñar la frase "tiene auditoria" como sinónimo deque, desde antes de realizarse, ya se encontraron fallas y por lo tanto se estahaciendo la auditoria. El concepto de auditoria es más amplio: no sólo detectaerrores, sino que es un examen crítico que se realiza con objeto de evaluar laeficiencia y eficacia de una sección o de un organismo. La palabra auditoría viene del latín auditorius, y de ésta proviene auditor,que tiene la virtud de oír, y el diccionario lo define como "revisor de cuentasauditor". El auditor tiene la virtud de oír y revisar cuentas, pero debe estarencaminado a un objetivo específico que es el de evaluar la eficiencia y eficaciacon que se está operando para que, por medio del señalamiento de recursosalternativos de acción, se tome decisiones que permitan corregir los errores, encaso de que existan, o bien mejorar la forma de actuación. Si consultamos nuevamente el diccionario encontramos que eficacia es:"virtud, actividad, fuerza, para poder obrar" mientras que eficiencia es: "virtud yfacultad para lograr un efecto determinado", por lo que eficiencia es el poder lograrlo planeado con los menores recursos posibles, mientras que eficacia es lograr losobjetivos. El Boletín "C" de Normas de Auditoria del Instituto Mexicano de Contadoresnos dice. "La auditoria no es una actividad meramente mecánica que implique laaplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo,son de carácter indudable. La auditoría requiere el ejercicio de un juicioprofesional, sólido y maduro, para juzgar los procedimientos que debe de seguir y 12
  21. 21. estimar los resultados obtenidos". Así como existen normas y procedimientos específicos para la realizaciónde auditorias contables, debe haber también normas y procedimientos para larealización de auditorias en informática como parte de una profesión . Puedenestar basadas en las experiencias de otras profesiones pero con algunascaracterísticas propias y siempre detección de errores, y además la auditoría debeevaluar para mejorar lo existente, corregir errores y proponer alternativas desolución. 2.3 Tareas principales de la auditoría • Estudiar y actualizar permanentemente las áreas susceptibles de revisión. • Apegarse a las tareas que desempeñen las normas, políticas, procedimientos y técnicas de auditoría establecidas por organismos generalmente aceptados a nivel nacional e internacional. • Evaluación y verificación de las áreas requeridas por la alta dirección o responsables directos del negocio. • Elaboración del informe de auditoría (debilidades y recomendaciones). • Otras recomendadas para el desempeño eficiente de la auditoría. 2.4 Auditoría en informática La auditoría en informática se desarrolla en función de normas,procedimientos y técnicas definidas por institutos establecidos a nivel nacional einternacional; por ello, nada más se señalarán algunos aspectos básicos para suentendimiento. Así, la auditoría en informática es: a) Un proceso formal ejecutado por especialistas del área de auditoría y de informática; se orienta a la verificación y aseguramiento para que las políticas y procedimientos en la organización se realicen de una manera oportuna y eficiente. b) Las actividades ejecutadas por profesionales del área de informática y de auditoría encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección, etc.).Dicha evaluación deberá ser la pauta para la entrega del informe de auditoría en informática, el cual debe contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y optimización permanente de la tecnología de informática en el negocio. c) El conjunto de acciones que realiza el personal especializado en las áreas de auditoría y de informática para el aseguramiento continuo de que los recursos de informática operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta dirección o 13
  22. 22. niveles ejecutivos la certeza de que la información que circula por el área se maneja con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etcétera.d) Proceso metodológico que tiene el propósito principal de evaluar los recursos (humanos, materiales, financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que dicho conjunto opere con un criterio de integración y desempeño de niveles altamente satisfactorios, para que a su vez apoyen la productividad y rentabilidad de la organización. 14
  23. 23. __________________________________________________________________ 3Auditoría informática 3.1 La importancia de la auditoría en informática La tecnología de informática, traducida en hardware, software, sistemas deinformación, investigación tecnológica, redes locales, base de datos, ingeniería desoftware, telecomunicaciones, servicios y organización de informática, es unaherramienta estratégica que brinda rentabilidad y ventajas competitivas a losnegocios frente a sus similares en el mercado, pero puede originar costos ydesventajas si no es bien administrada por el personal encargado. Para darse cuenta si se está administrando de manera correcta la funciónde la informática es necesario que se evalúe dicha función mediante evaluacionesoportunas y completas por personal calificado consultores externos, auditores eninformática o evaluaciones periódicas realizadas por el mismo personal deinformática, entre otras estrategias. 3.2 Formas de llevar a cabo una auditoria en informática La auditoría interna es la realizada con recursos materiales y personas quepertenecen a la empresa auditada. Los empleados que realizan esta tarea sonremunerados económicamente. La auditoría interna existe por expresa decisión dela empresa, o sea, que puede optar por su disolución en cualquier momento. Por otro lado, la auditoría externa es realizada por personas afines a laempresa auditada; es siempre remunerada. Se presupone una mayor objetividadque en la auditoría Interna, debido al mayor distanciamiento entre auditores yauditados. La auditoría en informática interna cuenta con algunas ventajas adicionalesmuy importantes respecto de la auditoría externa, las cuales no son tanperceptibles como en las auditorias convencionales. La auditoría interna tiene laventaja de que puede actuar periódicamente realizando revisiones globales, comoparte de su Plan Anual y de su actividad normal. Los auditados conocen estosplanes y se habitúan a las auditorias, especialmente cuando las consecuencias de 15
  24. 24. las recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informática escuchan, orientan einforman sobre las posibilidades técnicas y los costos de tal sistema. Con voz,pero a menudo sin voto, el área de informática trata de satisfacer lo másadecuadamente, posible aquellas necesidades. La empresa necesita controlar suInformática y ésta; necesita que su propia gestión esté sometida a los mismosprocedimientos y estándares que el resto de aquella. La conjunción de ambasnecesidades cristaliza en la figura del auditor interno en informática. En cuanto a empresas se refiere, solamente las más grandes puedenposeer una auditoría propia y permanente, mientras que el resto acuden a lasauditorias externas. Puede ser que algún profesional informático sea trasladadodesde su puesto de trabajo a la auditoría Interna de la empresa cuando éstaexiste. Finalmente, la propia Informática requiere de su propio grupo de controlinterno, con implantación física en su estructura, puesto que si se ubicase dentrode la estructura Informática ya no sería independiente. Hoy, ya existen variasorganizaciones Informáticas dentro de la misma empresa, y con diverso grado deautonomía, que son coordinadas por órganos corporativos de Sistemas deInformación de las Empresas. Una Empresa o Institución que posee auditoría interna puede y debe enocasiones contratar servicios de auditoría externa. Las razones para hacerlosuelen ser: • Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados. • Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa. • Servir como mecanismo protector de posibles auditorias en informática externas decretadas por la misma empresa. • Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorias externas como para tener una visión desde afuera de la empresa. La auditoría en informática, tanto externa como interna, debe ser unaactividad exenta de cualquier contenido o matiz "político" ajeno a la propiaestrategia y política general de la empresa. La función de auditoria puede actuarde oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, porencargo de la dirección o cliente. 3.3 Síntomas de necesidad de una Auditoria Informática: Las empresas acuden a las auditorias en informática cuando existensíntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse enclases: Síntomas de descoordinación y desorganización: • No coinciden los objetivos de la Informática de la empresa y de la propia 16
  25. 25. empresa. • Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna norma importante] Síntomas de mala imagen e insatisfacción de los usuarios: • No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc. • No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. • No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles. Síntomas de debilidades económico-financiero: • Incremento desmesurado de costos. • Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). • Desviaciones Presupuestarias significativas. • Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición). Síntomas de Inseguridad: Evaluación de nivel de riesgos • Seguridad Lógica • Seguridad Física • Confidencial ¡dad [Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales] • Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia Totales y Locales. • Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, seria prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.* Planes de Contingencia:Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigooperando en otro lugar? Lo que generalmente se pide es que se haganBackups de la información diariamente y que aparte, sea doble, para tener unBackup en la empresa y otro afuera de ésta. Una empresa puede tener unasoficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintosde los de la empresa principal, es decir, si a la empresa principal le proveía 17
  26. 26. teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando. 3.4 Herramientas y Técnicas para la Auditoria Informática: 3.4.1 Cuestionarios: Las auditorias en informática se materializan recabando información ydocumentación de todo tipo. Los informes finales de los auditores dependen desus capacidades para analizar las situaciones de debilidad o fortaleza de losdiferentes entornos. El trabajo de campo del auditor consiste en lograr toda lainformación necesaria para la emisión de un juicio global objetivo, siempreamparado en hechos demostrables, llamados también evidencias. Para esto, suele ser lo habitual comenzar solicitando la complementaciónde cuestionarios preimpresos que se envían a las personas concretas que elauditor cree adecuadas, sin que sea obligatorio que dichas personas sean lasresponsables oficiales de las diversas áreas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalacionesdistintas, sino diferentes y muy específicos para cada situación, y muy cuidados ensu fondo y su forma. Sobre esta base, se estudia y analiza la documentación recibida, de modoque tal análisis determine a su vez la información que deberá elaborar el propioauditor. El cruzamiento de ambos tipos de información es una de las basesfundamentales de la auditoría. Cabe aclarar, que esta primera fase puede omitirse cuando los auditoreshayan adquirido por otro medios la información que aquellos preimpresos hubieranproporcionado. 3.4.2 Entrevistas: El auditor comienza a continuación las relaciones personales con elauditado. Lo hace de tres formas: 1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad, 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales más importante del 18
  27. 27. auditor; en ellas, éste recoge más información, y mejor matizada, que laproporcionada por medios propios puramente técnicos o por las respuestasescritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditory auditado se basa fundamentalmente en el concepto de interrogatorio; es lo quehace un auditor, interroga y se interroga a sí mismo. El auditor informático expertoentrevista al auditado siguiendo un cuidadoso sistema previamente establecido,consistente en que bajo la forma de una conversación correcta y lo menos tensaposible, el auditado conteste sencillamente y con pulcritud a una serie depreguntas variadas, también sencillas. Sin embargo, esta sencillez es soloaparente. Tras ella debe existir una preparación muy elaborada y sistematizada, yque es diferente para cada caso particular. 3.4.3 Checklist: El auditor profesional y experto es aquél que reelabora muchas veces suscuestionarios en función de los escenarios auditados. Tiene claro lo que necesitasaber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis,cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter alauditado a unas preguntas estereotipadas que no conducen a nada. Muy por elcontrario, el auditor conversará y hará preguntas "normales", que en realidadservirán para la complementación sistemática de sus Cuestionarios, de susChecklists. Hay opiniones que descalifican el uso de las Checklists, ya que consideranque leerle una pila de preguntas recitadas de memoria o leídas en voz altadescalifica al auditor informático. Pero esto no es usar Checklists, es una evidentefalta de profesionalismo. El profesionalismo pasa por un procesamiento interno deinformación a fin de obtener respuestas coherentes que permitan una correctadescripción de puntos débiles y fuertes. El profesionalismo pasa por poseerpreguntas muy estudiadas que han de formularse flexiblemente. El conjunto de estas preguntas recibe el nombre de Checklist. Salvoexcepciones, las Checklists deben ser contestadas oralmente, ya que superan enriqueza y generalización a cualquier otra forma. Según la claridad de las preguntas y el talante del auditor, el auditadoresponderá desde posiciones muy distintas y con disposición muy variable. Elauditado, habitualmente informático de profesión, percibe con cierta facilidad elperfil técnico y los conocimientos del auditor, precisamente a través de laspreguntas que éste le formula. Esta percepción configura el principio de autoridady prestigio que el auditor debe poseer. Por ello, aun siendo importante tener elaboradas listas de preguntas muysistematizadas, coherentes y clasificadas por materias, todavía lo es más el modoy el orden de su formulación. Las empresas externas de Auditoría Informáticaguardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada yoportunamente. No debe olvidarse que la función auditora se ejerce sobre basesde autoridad, prestigio y ética. El auditor deberá aplicar el Checklist de modo que el audítado responda 19
  28. 28. clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamenteen los casos en que las respuestas se aparten sustancialmente de la pregunta. Enalgunas ocasiones, se hará necesario invitar a aquél a que exponga con mayoramplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente lapresión sobre el mismo. Algunas de las preguntas de las Checklists utilizadas para cada sector,deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formularápreguntas equivalentes a las mismas o a distintas personas, en las mismasfechas, o en fechas diferentes. De este modo, se podrán descubrir con mayorfacilidad los puntos contradictorios; el auditor deberá analizar los matices de lasrespuestas y reelaborar preguntas complementarias cuando hayan existidocontradicciones, hasta conseguir la homogeneidad. El entrevistado no debepercibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomarálas notas imprescindibles en presencia del auditado, y nunca escribirá cruces nimarcará cuestionarios en su presencia. Los cuestionarios o Checklists responden fundamentalmente a dos tipos defilosofía" de calificación o evaluación: a. Checklist de rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo) Ejemplo de Checklist de rango: Se supone que se está realizando una auditoria sobre la seguridad física de una instalación y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Cálculo. Podrían formularse las preguntas que figuran a continuación, en donde las respuestas tiene los siguientes significados: 1 : Muy deficiente. 2 : Deficiente. 3 : Mejorable. 4 : Aceptable. 5 : Correcto. Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un pequeño guión. La complementación del Checklist no debe realizarse en presencia del auditado. -¿Existe personal específico de vigilancia externa al edificio? -No, solamente un guarda por la noche que atiende además otra instalación 20
  29. 29. adyacente. <Puntuación: 1 > -Para la vigilancia interna del edificio, ¿Hay al menos un vigilante por turno en los aledaños del Centro de Cálculo? -Si, pero sube a las otras 4 plantas cuando se le necesita. <Puntuación: 2> -¿Hay salida de emergencia además de la habilitada para la entrada y salida de máquinas? -Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan. <Puntuación: 2> -El personal de Comunicaciones, ¿Puede entrar directamente en la Sala de Computadoras? -No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente salvo causa muy justificada, y avisando casi siempre al Jefe de Explotación. <Puntuación: 4> El resultado sería el promedio de las puntuaciones: (1 + 2 + 2 + 4) 14 = 2,25 Deficiente.b. Checklist Binaria Es la constituida por preguntas con respuesta única y excluyente: Si o No. Aritméticamente, equivalen a 1 (uno) o 0(cero), respectivamente. Ejemplo de Checklist Binaria: Se supone que se está realizando una Revisión de los métodos de pruebas de programas en el ámbito de Desarrollo de Proyectos. -¿Existe Normativa de que el usuario final compruebe los resultados finales de los programas? <Puntuación: 1> -¿Conoce el personal de Desarrollo la existencia de la anterior normativa? <Puntuación: 1> -¿Se aplica dicha norma en todos los casos? <Puntuación: 0> -¿Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia de Bases de Datos reales? <Puntuación: 0> 21
  30. 30. Obsérvese como en este caso están contestadas las siguientes preguntas: -¿Se conoce la norma anterior? <Puntuación: 0> -¿Se aplica en todos los casos? <Puntuación: 0> Los Checklists de rango son adecuados si el equipo auditor no es muygrande y mantiene criterios uniformes y equivalentes en las valoraciones. Permitenuna mayor precisión en la evaluación que en los checklist binarios. Sin embargo,la bondad del método depende excesivamente de la formación y competencia delequipo auditor. Los Checklists Binarios siguen una elaboración inicial mucho más ardua ycompleja. Deben ser de gran precisión, como corresponde a la suma precisión dela respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidaddel equipo auditor y el inconveniente genérico del <si o no> frente a la mayorriqueza del intervalo. No existen Checklists estándar para todas y cada una de las instalacionesinformáticas a auditar. Cada una de ellas posee peculiaridades que hacennecesarios los retoques de adaptación correspondientes en las preguntas arealizar. 3.4.4 Trazas y/o Huellas: Con frecuencia, el auditor informático debe verificar que los programas,tanto de los sistemas como de usuario, realizan exactamente las funcionesprevistas, y no otras. Para ello se apoya en productos Software muy potentes ymodulares que, entre otras funciones, rastrean los caminos que siguen los datos através del programa. Muy especialmente, estas «Trazas" se utilizan para comprobar la ejecuciónde las validaciones de datos previstas. Las mencionadas trazas no debenmodificar en absoluto el Sistema. Si la herramienta auditora produce incrementosapreciables de carga, se convendrá de antemano las fechas y horas másadecuadas para su empleo. Por lo que se refiere al análisis del Sistema, los auditores informáticosemplean productos que comprueban los valores asignados por Técnica deSistemas a cada uno de los parámetros variables de las Librerías más importantesdel mismo. Estos parámetros variables deben estar dentro de un intervalomarcado por el fabricante. A modo de ejemplo, algunas instalacionesdescompensan el número de iniciadores de trabajos de determinados entornos otoman criterios especialmente restrictivos o permisivos en la asignación deunidades de servicio según cuales tipos carga. Estas actuaciones, en principioútiles, pueden resultar contraproducentes si se traspasan los límites. No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en ladescripción de la auditoría informática de Sistemas: el auditor informático empleapreferentemente la amplia información que proporciona el propio Sistema: Así, losficheros de <Accounting> o de <contabilidad>, en donde se encuentra laproducción completa de aquél, y los <Log*> de dicho Sistema, en donde se 22
  31. 31. recogen las modificaciones de datos y se pormenoriza la actividad general. Del mismo modo, el Sistema genera automáticamente exacta informaciónsobre el tratamiento de errores de maquina central, periféricos, etc. [La auditoría financiero-contable convencional emplea trazas con muchafrecuencia. Son programas encaminados a verificar lo correcto de los cálculos denóminas, primas, etc.].*Log: El log vendría a ser un historial que informa que fue cambiando y cómo fuecambiando (información). Las bases de datos, por ejemplo, utilizan el log paraasegurar lo que se llaman las transacciones. Las transacciones son unidadesatómicas de cambios dentro de una base de datos; toda esa serie de cambios seencuadra dentro de una transacción, y todo lo que va haciendo la Aplicación(grabar, modificar, borrar) dentro de esa transacción, queda grabado en el log. Latransacción tiene un principio y un fin, cuando la transacción llega a su fin, sevuelca todo a la base de datos. Si en el medio de la transacción se cortó por xrazón, lo que se hace es volver para atrás. El log te permite analizarcronológicamente que es lo que sucedió con la información que está en el Sistemao que existe dentro de la base de datos. 3.4.5 Software de Interrogación: Hasta hace ya algunos años se han utilizado productos software llamadosgenéricamente <paquetes de auditoría>, capaces de generar programas paraauditores escasamente cualificados desde el punto de vista informático. Más tarde, dichos productos evolucionaron hacia la obtención de muestreosestadísticos que permitieran la obtención de consecuencias e hipótesis de lasituación real de una instalación. En la actualidad, los productos de software especiales para la auditoríainformática se orientan principalmente hacia lenguajes que permiten lainterrogación de ficheros y bases de datos de la empresa auditada. Estosproductos son utilizados solamente por los auditores externos, por cuanto losinternos disponen del software nativo propio de la instalación. Del mismo modo, la proliferación de las redes locales y de la filosofía"Cliente-Servidor", han llevado a las firmas de software a desarrollar interfaces detransporte de datos entre computadoras personales y mainframe, de modo que elauditor informático copia en su propia PC la información más relevante para sutrabajo. Cabe recordar, que en la actualidad casi todos los usuarios finales poseendatos e información parcial generada por la organización informática de laCompañía. Efectivamente, conectados como terminales al "Host", almacenan los datosproporcionados por este, que son tratados posteriormente en modo PC. El auditorse ve obligado (naturalmente, dependiendo del alcance de la auditoría) a recabarinformación de los mencionados usuarios finales, lo cual puede realizar con suma 23
  32. 32. facilidad con los polivalentes productos descritos. Con todo, las opiniones másautorizadas indican que el trabajo de campo del auditor informático deberealizarse principalmente con los productos del cliente. Finalmente, ha de indicarse la conveniencia de que el auditor confeccionepersonalmente determinadas partes del Informe. Para ello, resulta casiimprescindible una cierta soltura en el manejo de Procesadores de Texto,paquetes de Gráficos, Hojas de Cálculo, etc. 24
  33. 33. __________________________________________________________________ 4Tipos de auditorias 4.1. Concepto de auditoria en informática Después de analizar los conceptos de auditoría y de informática, losdiferentes tipos de auditoría, así como su interrelación con informática, noshacemos las preguntas: ¿Qué es auditoría en informática? ¿Y cual es su campode acción? Auditoría en informática es la revisión y evaluación de los controles,sistemas, procedimientos de informática, de los equipos de computo, suutilización, eficiencia y seguridad, de la organización que participan en elprocesamiento de la información, a fin de que por medio del señalamiento decursos alternativos se logre una utilización más eficiente y segura de lainformación que servirá para una adecuada toma de decisiones. La auditoría en informática deberá comprender no sólo la evaluación de losequipos de computo o de un sistema o procedimiento específico, sino que ademáshabrá de evaluar los sistemas de información en general desde sus entradas,procedimientos, controles, archivos, seguridad y obtención de información. Ellodebe incluir los equipos de computo como la herramienta que permite obtener lainformación adecuada y la organización específica (departamento de computo,departamento de informática, gerencia de procesos electrónicos, etc) que haráposible el uso de los equipos de computo. Su campo de acción será: A. La evaluación administrativa del departamento de proceso electrónicos. B. La evaluación de los sistemas y procedimientos, y de la eficacia que se tiene en el uso de la informática. C. La evaluación del proceso de datos y de los equipos de computo. Para lograr los puntos antes señalados necesitas: 25
  34. 34. A. Evaluación administrativa del departamento de informática. Esto comprende la evaluación de: - Los objetivos de departamento, dirección o gerencia. - Metas, planes, políticas y procedimientos de procesos electrónicos estándar. - Organización del área y su estructura orgánica. - Funciones y niveles de autoridad y responsabilidad del área de procesos electrónicos. - Integración de los recursos materiales y técnicos. - Dirección costos y controles presupuéstales. - Controles administrativos del área de procesos electrónicos. B. Evaluación de los sistemas v procedimientos, y de la eficiencia que se tienen en el uso de la información que comprende: - Evaluación del análisis de los sistemas y sus diferentes etapas - Evaluación del diseño lógico del sistema - Evaluación del desarrollo físico del sistema. - Control de proyectos. - Control de sistemas y programación - Instructivos y documentación - Formas de implantación - Seguridad física y lógica de los sistemas - Confidencialidad de los sistemas - Controles de mantenimiento y forma de respaldo de los sistemas. - Utilización de los sistemas. C. Evaluación del proceso de datos y de los equipos de computo que comprende: - Controles de los datos fuente y manejo de cifras de control - Control de operación - Control de salida - Control de asignación de trabajo. - Control de medios de almacenamiento masivos. - Control de otros elementos de computo - Orden en el centro de computo - Seguridad física y lógica - Confidencialidad - Respaldos. La interrelación que debe existir entre la auditoría en informática y losdiferentes tipos de auditoría en la siguiente: El núcleo o centro de la informática son los programas, los cuales puedenser auditados por medio de la auditoría de programas. Estos programas se usan 26
  35. 35. en la computadoras de acuerdo con la organización del centro de computo(personal). La auditoría en informática debe evaluar el todo (informática, organizacióndel centro de computo, computadoras y programas) con auxilio de los principios deauditoría administrativa, auditoría interna, auditoría contable/financiera y, a su vez,puede proporcionar información a esos tipos de auditoría, y las computadorasdeben ser una herramienta para la realización de cualquiera de las auditorias. Como se ve, la evaluación a desarrollar para la realización de la auditoríaen informática deben hacerla personas con alto grado de conocimiento eninformática y con mucha experiencia en el área. 4.2 Auditoria interna y auditoria contable/financiera El boletín E-02 del Instituto Mexicano de Contadores, señala con respectoal control interno: "El estudio y evaluación del control interno se efectúa con el objeto decumplir con la norma de ejecución del trabajo que requiere que: el auditor debeefectuar un estudio y evaluación adecuados del control interno existente, que lessirvan de base para determinar el grado de confianza que va a depositar en el, asímismo, que el permita determinar la naturaleza, extensión y oportunidad que va adar a los procedimientos de auditoria". 4.2.1 Definición de control interno. "El control interno comprende el plan de organización y todos los métodos yprocedimientos que en forma coordinada se adoptan en un negocio parasalvaguardar sus activos, verificar la razonabilidad y confiabilidad de suinformación financiera, promover la eficiencia operacional y provocar la adherenciaa las políticas prescriptas por la administración". 4.2.2 Objetivos del control interno. a) Los básicos son: (1) La protección de los activos de la empresa. (2) La obtención de información financiera veraz, confiable y oportuna. (3) La promoción de la eficiencia en la operación del negocio. (4) Lograr que en la ejecución de las operaciones se cumplan las políticas establecidas por los administradores de la empresa. Se ha definido que los dos primeros objetivos abarcan el aspecto decontroles internos contables y los dos últimos se refieren a controles internosadministrativos. 27
  36. 36. b) Generales El control contable comprende el plan de organización y los procedimientosy registros que se refieren a la protección de los activos y a la confiabilidad de losactivos y la confiabilidad de los registros financieros. Por lo tanto, el control internocontable está diseñado en función de los objetivos de la organización para ofrecerseguridad razonable de que: las operaciones se realizan de acuerdo con lasnormas y políticas señalados por la administración. Cuando hablamos de los objetivos de los controles contables internospodremos identificar dos niveles. a) Objetivos generales de control interno aplicables a todos los sistemas y b) Objetivos de control interno aplicables a ciclos de transacciones Los objetivos generales de control aplicables a todos los sistemas sedesarrollan a partir de los objetivos básicos de control interno enumeradosanteriormente, siendo más específicos para facilitar su aplicación. Los objetivos decontrol de ciclos se desarrollan a partir de los objetivos generales de control desistema, para que se aplique a las diferentes clases de transacciones agrupadasen un ciclo. Los objetivos generales de control interno de sistema pueden resumirse acontinuación: 1. Objetivos de autorización. Todas las operaciones deben realizarse de acuerdo con autorizacionesgenerales o especificaciones de la administración. Las autorizaciones deben estar de acuerdo con criterios establecidos por elnivel apropiado de la administración. Las transacciones deben ser válidas para conocerse y ser sometidasoportunamente a su aceptación. Todas aquellas que reúnan los requisitosestablecidos por la administración deben reconocerse como tales y procesarse atiempo. Los resultados del procedimiento de transacciones deben comunicarseoportunamente y estar respaldados por archivos adecuados. 2. Objetivos del procesamiento y clasificación de transacciones Todas las operaciones deben registrarse para permitir la preparación deestados financieros en conformidad con los principios de contabilidadgeneralmente aceptados o con cualquier otro criterio aplicable a los estados y paramantener en archivos apropiados los datos relativos a los activos sujetos acustodia. Las transacciones deben clasificarse en forma tal que permitan lapreparación de estados financieros en conformidad con los principios decontabilidad generalmente aceptados y el criterio de la administración. Las transacciones deben quedar registradas en el mismo periodo contable,cuidando especialmente que se registren aquellas que afectan más de un ciclo. 28
  37. 37. 3. Objetivo de salvaguarda física. El acceso a los activos sólo debe permitirse de acuerdo con autorizacionesde la administración. 4. Objetivo de verificación y evaluación. Los datos registrados relativos a los activos sujetos a custodia debencompararse con los activos existentes a intervalos razonables y tomar las medidasapropiadas respecto a las diferencias que existan. Así mismo, deben existir controles relativos a la verificación y evaluaciónperiódica de los saldos que se incluyen en los estados financieros, ya que esteobjetivo complementa en forma importante los mencionados anteriormente. Estos objetivos generales del control interno de sistemas son aplicables atodos los ciclos. No se trata de que se usen directamente para evaluar las técnicasde control interno de una organización, pero representan un base para desarrollarobjetivos específicos de control interno por ciclos de transacciones que seanaplicables a una empresa individual. El área de informática puede interactuar de dos maneras en el controlinterno. La primera es servir de herramienta para llevar a cabo un adecuadocontrol interno y la segunda es tener un control interno del área y deldepartamento de informática. En el primer caso se lleva el control interno por medio de la evaluación deuna organización, utilizando la computadora como herramienta que auxiliará en ellogro de los objetivos del control interno, lo cual se puede hacer por medio depaquetes de auditoria. Y esto debe ser considerado como parte del control internocon informática. En el segundo caso se lleva a cabo el control interno de informática. Esdecir, como se señala en los objetivos del control interno, se deben protegeradecuadamente los activos de la organización por medio del control para que seobtengan la información en forma veraz, oportuna y confiable, se mejore laeficiencia de la operación de la organización mediante la informática y en laejecución de las operaciones de informática se cumplan las políticas establecidaspor la administración de todo ello debe ser considerado como control interno deinformática. Al estudiar los objetivos del control interno podemos ver en primer lugarque, aunque en auditoria en informática el objetivo es más amplio, se deben teneren cuenta los objetivos generales del control interno aplicables a todo ciclo detransacciones. La auditoria en informática debe tener presentes los objetivos deautorización, procesamiento y clasificación de transacciones, así como los desalvaguarda física, verificación y evaluación de los equipos y de la información. Ladiferencia entre los objetivos de control interno desde un punto de vista contablefinanciero es que, mientras éstos están enfocados a la evaluación de unaorganización mediante la revisión contable financiera y de otras operaciones, losobjetivos del control interno a informática están orientados a todos los sistemas engeneral, al equipo de computo y al departamento de informática, para lo cual se 29
  38. 38. requieren conocimientos de contabilidad, finanzas, recursos humanos,administración, etc. Y un conocimiento profundo y experiencia en informática. La auditoria interna debe estar presente en todas y cada una de las partesde la organización. Ahora bien, la pregunta que normalmente se plantea es, ¿cuáldebe ser su participación dentro del área de informática? Como ya vimos, la informática es en primer lugar una herramienta muyvaliosa para tener un adecuado control y un auxiliar de la auditoria interna. Pero,según este concepto, la auditoria interna puede considerarse como un usuario delárea de informática. Se ha estudiado que los objetivos generales del control interno son: • Autorización • Procesamiento y clasificación de las transacciones • Salvaguarda física • Verificación y evaluación Con base en los objetivos y responsabilidades del control interno podemoshacer otras dos preguntas: ¿De qué manera puede participar el personal de control interno en el diseñode los sistemas? y ¿qué conocimientos debe tener el personal de control internopara poder cumplir adecuadamente sus funciones dentro del área de informática? Las respuestas a estas preguntas dependerán del nivel que tenga el controlinterno dentro de la organización, pero en el diseño general y detallado de lossistemas se debe incluir a personal de la contraloría interna, que habrá de tenerconocimientos de informática, pero no se requerirá que sea especialistas ya quesólo intervendrán en el diseño general del sistema, diseño de controles, sistemasde seguridad, respaldo y confidencialidad del sistema, sistemas se verificación.Habrá de comprobar que las fórmulas de obtención del impuesto sobre el productodel trabajo, el cálculo del pago del seguro social, etc., pero no deberán interveniren la elaboración de los sistemas, bases de datos o programación. Y tendrán quecomprobar que lo señalado en el diseño general sea igual a lo obtenido en elmomento de implantación, para que puedan dar su autorización a la corrida enparalelo. El auditor interno, en el momento de que se están elaborando los sistemas,debe participar en estas etapas, para: 1. Asegurarse de verificar que los requerimientos de seguridad y de auditoría sean incorporados, y participar en la revisión de puntos de verificación. 2. Revisar la aplicación de los sistemas y de control tanto con el usuario como en el centro de informática. 3. Verificar que las políticas de seguridad y los procedimientos estén incorporados al plan en caso de desastre. 4. Incorporar técnicas avanzadas de auditoría en los sistemas de computo. Los sistemas de seguridad no pueden llevarse a cabo a menos que existan 30
  39. 39. procedimientos de control y un adecuado plan en caso de desastre, elaboradosdesde el momento en el que se diseña el sistema. El auditor interno desempeña una importante función al participar en losplanes a largo plazo y en el diseño detallado de los sistemas y su implantación, detal manera que se asegure de que los procedimientos de auditoría y de seguridadsean incorporados a todas y cada una de las fases del sistema. 4.2.3 Clase de controles internos ● 4.2.3.1 Atendiendo al momento en que se actúa, pueden ser: a) Controles preventivos: establecen las condiciones necesarias para que el error no se produzca. Como ejemplos de controles preventivos tenemos la segregación de funciones, la estandarización de procedimientos, las autorizaciones, los passwords, o los formularios prenumerados. b) Controles detectivos: Identifican el error pero no lo evitan, actuando como alarmas que permiten registrar el problema y sus causas. Sirven como verificación del funcionamiento de los procesos y de sus controles preventivos. Como ejemplos tenemos la validación de los datos de entrada, cuando se realiza con posterioridad al procesamiento de dichos datos, los totales de control, los controles cruzados, o los controles de supervisión, estos últimos se componen de tres tipos de controles: 1. Controles de aplicaciones. 2. Controles de tecnologías de la información. 3. Controles de usuario c) Controles correctivos: Permiten investigar y rectificar los errores y sus causas, están destinados a procurar que las acciones necesarias para su solventación sean tomadas. Como ejemplos tenemos los listados de errores, las evidencias de auditoria o las estadísticas de causas de errores. ● 4.2.3.2. Los controles de supervisión Son procedimientos utilizados por la dirección para poder alcanzar losobjetivos del negocio y así controlarlo. Este tipo de controles proporcionan a ladirección (y por lo tanto, a los auditores) seguridad en cuanto a la fiabilidad de lainformación financiera. Dichos controles pueden estar incluido, de un modo intrínseco, en lasactividades recurrentes de una entidad o consistir en una evaluación periódicaindependiente, llevada a cabo normalmente por la dirección. La frecuencia deestas evaluaciones depende del juicio de la dirección. Mediante estos controlespodremos detectar errores significativos y realizar un control continuo de la 31
  40. 40. fiabilidad y de la eficacia de los procesos informáticos. Controles de supervisión: controles de las aplicaciones Son un conjunto de procedimientos programados y manuales diseñadosespecialmente para cada aplicación con el fin de cumplir con objetivos específicosde control utilizando una o más técnicas. Los podemos clasificar en: a) Controles sobre captura de datos: sobre altas de movimientos, modificaciones de movimientos, consultas de movimientos, mantenimiento de los ficheros. b) Controles de proceso de datos: normalmente se incluyen en los programas. Se diseñan para detectar o prevenir los siguientes tipos de errores (entrada de datos repetidos, procesamiento y actualización de ficheros o ficheros equivocados, entrada de datos ilógicos, pérdida o distorsión de datos durante el proceso). c) Controles de salida y distribución: Los controles de salida se diseñan para asegurarse de que el resultado del proceso es exacto y que los informes y demás salidas solo las personas que estén autorizadas, lo reciben. Para solucionar deficiencias de control de una aplicación será necesarioretroceder a las etapas iniciales teniendo en cuenta que: 1. Los controles deben contemplar la secuencia de los procesos (manuales y programados) de una aplicación. Muchos controles de aplicación serán efectuados por personas, pero dependerán del ordenador, siendo una combinación de procedimientos de control programados y controles de los usuarios. Dado que muchos controles de aplicación dependen de procedimientos contables y/o de controles programados y el correspondiente procesamiento informático, la eficacia de los controles de las aplicaciones, y, en consecuencia, el logro de los objetivos de control de las mismas, casi siempre dependerán de los controles informáticos. 2. Las técnicas aplicadas se diseñan para cubrir toda la vida de una transacción o documento, desde su inicio hasta su destino final en el ordenador. 3. La extensión y rigidez de los controles pueden ser diferentes dependiendo de que los datos sean permanentes o transitorios. 4. Prestar especial consideración al objetivo verdadero de cada control, evaluando el costo de operación del control y las pérdidas que podría generar su omisión. Totalidad de las entradas Las técnicas de control utilizadas para asegurar la totalidad de las entradas son: a) Conciliación de totales: Un ejemplo de conciliación de totales sería comprobar que el auxiliar de proveedores coincide con el saldo de proveedores en el sistema central. Otro ejemplo sería comprobar que el saldo con el banco según extracto bancario coincide con el saldo según contabilidad, y si no es así buscar las partidas conciliatorias. 32
  41. 41. • Verificación de la secuencia numérica. Comprobar que los documentos siguen la secuencia numérica de manera establecida de manera que no falte ningún documento. • Confrontación de ficheros. • Comprobación uno por uno. Exactitud de la entrada Las técnicas de control utilizadas para asegurar la exactitud de las entradas son: • Conciliación de totales. • Confrontación de ficheros. • Comprobación uno por uno. • Controles de validación o edición: a) Prueba de existencia: ¿la información introducida concuerda con información similar existente en un fichero maestro (como ejemplo de documento maestro de una empresa tenemos el fichero con los datos de todos nuestros clientes) o de referencia? b) Prueba de pantalla: los detalles correspondientes a un código o a un número de partida se visualizan en pantalla para que el usuario pueda comprobar dichos detalles c) Prueba de dependencia: ¿tienen sentido los datos introducidos? El ordenador puede comprobar una relación predeterminada entre los datos. d) Prueba de sintaxis o de formato: se comprueba que únicamente se introduzcan datos numéricos cuando el campo sea numérico o datos alfanuméricos, cuando el campo sea alfanumérico. e) Prueba de razonabilidad: consiste en verificar si el valor de un dato está comprendido entre los límites lógicos previamente definidos. Autorización de las entradas Las técnicas de control utilizadas para asegurar la autorización de lasentradas son: • Momento de la autorización. • Confrontación programada. • Autorización manual. • Autorización en línea Los controles sobre las entradas de datos deben contemplarprocedimientos de actuación con las transacciones erróneas que son rechazadaspor los controles preventivos. En sistemas de autorización en línea los errores se detectan en el momentode su entrada, las medidas correctivas se pueden iniciar inmediatamente. Existen,sin embargo, ocasiones en que determinados errores pueden ser detectados enuna fase posterior del proceso. Estos errores deben ser comunicados, tomándose 33
  42. 42. las medidas correctivas correspondientes. Con una combinación de procedimientos programados y manuales se debegarantizar la investigación inmediata de las causas de los rechazos, la correcciónadecuada de los errores, el registro y seguimiento de las transacciones pendientesde corregir y la existencia de una nueva autorización de las correcciones hechas alos datos claves o sensibles. Con todos estos controles conseguiremos que todoslos rechazos vuelvan a entrar en el ordenador de forma exacta y autorizada. Totalidad y exactitud de la actualización Las técnicas de control utilizadas para asegurar la totalidad y exactitud delas actualizaciones son principalmente: • Controles de totalidad y exactitud de las entradas. • Conciliación manual de los totales. • Controles de proceso a proceso que incluyen: a) Totales de los ficheros b) Listados de detalle. c) Transacciones generadas por la aplicación En cuanto a este último tipo de controles: En toda aplicación informática los datos contenidos en los ficheros debenser tratados por ciertos procesos antes de la emisión de la información de salida.Los más comunes son: • Cálculo: Generación de información utilizando datos de uno o más ficheros en base a rutinas predeterminadas. • Resumen: Acumulación de los valores de las transacciones de un fichero para generar totales. • Clasificación: Acumulación de totales de un fichero en base al análisis de cuentas, códigos o campos de las transacciones. Para este tipo de procesos, la aplicación debe tener controles que permitanasegurar: • El funcionamiento adecuado y continuo de los programas que efectúan los procesos • El proceso de la totalidad de las transacciones. • La integridad (totalidad y exactitud) de los ficheros utilizados en los procesos. • Que la generación o versión de los ficheros procesados ha sido la correcta. • La comprobación manual de la corrección de la información generada por los procesos. Segregación de funciones El objetivo principal de la segregación de funciones es imposibilitar el fraudepor parte de los empleados, de tal manera que un empleado que tenga laoportunidad de hurtar activos no pueda ocultar el fraude mediante la manipulación 34

×