Definicin y Objetivos de la Auditora

Presentado por:

Jhancarlo Murillo Barbosa

Universidad cooperativa de Colombia Primer semestre Contadura publica Ibagu- Tolima 2013 CAPTULO VI del cdigo de comercio y las cuentas 14- 15- 16 del puc

Definicin y Objetivos de la Auditora

Presentado por:

Jhancarlo Murillo Barbosa

A el tutor: Samir Cabrera Moreno

Universidad cooperativa de Colombia Primer semestre Contadura publica Ibagu- Tolima 2013

Captulo I Definicin de auditora: Se define como un proceso sistemtico que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carcter econmico; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas.

Auditora de Sistemas: Se encarga de llevar a cabo la evaluacin de normas, controles, tcnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que se procesa a travs de los sistemas de informacin. La auditora de sistemas es una rama especializada de la auditora que promueve y aplica conceptos de auditora en el rea de sistemas de informacin. La auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes. El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica con el fin de lograr mayor eficiencia operacional y administrativa OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS: 1. Participacin en el desarrollo de nuevos sistemas: evaluacin de controles cumplimiento de la metodologa. 2. Evaluacin de la seguridad en el rea informtica. 3. Evaluacin de suficiencia en los planes de contingencia. respaldos, preveer qu va a pasar si se presentan fallas. 4. Opinin de la utilizacin de los recursos informticos. resguardo y proteccin de activos. 5. Control de modificacin a las aplicaciones existentes. Fraudes control a las modificaciones de los programas.

6. Participacin en la negociacin de contratos con los proveedores. 7. Revisin de la utilizacin del sistema operativo y los programas utilitarios. Control sobre la utilizacin de los sistemas operativos programas utilitarios. 8. Auditora de la base de datos. estructura sobre la cual se desarrollan las aplicaciones... 9. Auditora de la red de teleprocesos. 10. Desarrollo de software de auditora. Es el objetivo final de una auditora de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del rea de procesamiento de datos. FINES DE LA AUDITORIA DE SISTEMAS: 1. Fundamentar la opinin del auditor interno (externo) sobre la confiabilidad de los sistemas de informacin. 2. Expresar la opinin sobre la eficiencia de las operaciones en el rea de TI. Similitudes y diferencias con la auditora tradicional: Similitudes: No se requieren nuevas normas de auditora, son las mismas. Los elementos bsicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregacin de funciones. Los propsitos principales del estudio y la evaluacin del control contable interno son la obtencin de evidencia para respaldar una opinin y determinar la base, oportunidad y extensin de las pruebas futuras de auditora. Diferencias: Se establecen algunos nuevos procedimientos de auditora. Hay diferencias en las tcnicas destinadas a mantener un adecuado control interno contable. Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan programas.

El nfasis en la evaluacin de los sistemas manuales esta en la evaluacin de transacciones, mientras que el nfasis en los sistemas informticos, est en la evaluacin del control interno. ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA AUDITORIA Y SUS PROCEDIMIENTOS. Complejidad de los sistemas. uso de lenguajes. metodologas, son parte de las personas y su experiencia. Centralizacin. departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del rea de sistemas. Controles del computador. Controles manuales, hoy automatizados (procedimientos programados) . Confiabilidad electrnica. debilidades de las mquinas y tecnologa. Transmisin y registro de la informacin en medios magnticos, ptico y otros. almacenamiento en medios que deben acceder a travs del computador mismo. Centros externos de procesamiento de datos. Dependencia externa. RAZONES PARA LA EXISTENCIA DE LA FUNCION DE A.S. 1. La informacin es un recurso clave en la empresa para: Planear el futuro, controlar el presente y evaluar el pasado. 2. Las operaciones de la empresa dependen cada vez ms de la sistematizacin. 3. Los riesgos tienden a aumentar, debido a:

Prdida de informacin Prdida de activos. Prdida de servicios/ventas. 4. La sistematizacin representa un costo significativo para la empresa en cuanto a: hardware, software y personal. 5. Los problemas se identifican slo al final. 6. El permanente avance tecnolgico.

REQUERIMIENTOS DEL AUDITOR DE SISTEMAS 1. Entendimiento global e integral del negocio, de sus puntos claves, reas crticas, entorno econmico, social y poltico. 2. Entendimiento del efecto de los sistemas en la organizacin. 3. Entendimiento de los objetivos de la auditora. 4. Conocimiento de los recursos de computacin de la empresa. 5. Conocimiento de los proyectos de sistemas. RIESGOS ASOCIADOS AL AREA DE TI: Hardware - Descuido o falta de proteccin: Condiciones inapropiadas, mal manejo, no observancia de las normas. - Destruccin. Software: - uso o acceso, - copia, - modificacin, - destruccin, - hurto, - errores u omisiones. Archivos: - Usos o acceso, - copia, modificacin, destruccin, hurto.

Organizacin: - Inadecuada: no funcional, sin divisin de funciones. - Falta de seguridad, - Falta de polticas y planes. Personal: - Deshonesto, incompetente y descontento. Usuarios: - Enmascaramiento, falta de autorizacin, falta de conocimiento de su funcin. USO DE ESTRATEGIAS DE RESERVA Si el anlisis de riesgo indica que proteger un recurso es vital para la seguridad de la red, necesitar usar diversas estrategias para hacerlo, lo cual le da a usted la seguridad de que, si una estrategia falla o es alterada, otra puede entrar en accin y seguir protegiendo el recurso de la red. Puede resultar ms econmico y sencillo usar varias estrategias, de fcil implementacin pero eficaces, que seguir una sola estrategia complicada y sofisticada. Este ltimo es el principio del todo o nada. Si el mecanismo elaborado es vencido, no hay ninguno de reserva que proteja al recurso. Ejemplos de controles sencillos son los mdems de devolucin de llamada, que pueden usarse en combinacin con mecanismos tradicionales de conexin. Esto puede reforzarse con tarjetas inteligentes y autentificadotes manuales de un paso. DETECCION Y VIGILANCIA DE ACTIVIDADES NO AUTORIZADAS Si ocurre una intrusin o un intento de intrusin, debe detectarse tan pronto como sea posible. Usted puede implantar varios procedimientos sencillos para detectar el uso no autorizado de un sistema de cmputo. algunos procedimientos se basan en herramientas proporcionadas con el sistema operativo por el proveedor. Tambin se dispone pblicamente de tales herramientas en Internet. INSPECCION DEL USO DEL SISTEMA El administrador del sistema puede realizar peridicamente la inspeccin. Si no, puede usarse software elaborado con este fin. La inspeccin de un sistema implica revisar varias de sus partes y buscar cualquier cosa que sea inusual. En esta seccin se explican algunas de las formas para hacer esto.

La inspeccin debe hacerse con regularidad. No es suficiente hacerla cada mes o cada semana, ya que esto provocara una brecha de seguridad que no seria detectada en mucho tiempo. Algunas violaciones de seguridad pueden detectarse unas cuantas horas despus de haberse cometido, en cuyo caso no tiene sentido la inspeccin semanal o mensual. El objetivo de la inspeccin es detectar la brecha de seguridad en forma oportuna, de modo que se pueda reaccionar adecuadamente a ella. Si usted utiliza herramientas de inspeccin, debe examinar peridicamente la informacin de estas. Si los registros son voluminosos, tal vez necesite usar los scripts awk o perl para analizar la informacin. Estas herramientas tambin estn disponibles para sistemas que no son Unix. MECANISMOS DE INSPECCION Muchos sistemas operativos almacenan la informacin de conexiones en archivos de registro especiales. El administrador del sistema debe examinar regularmente estos archivos de registro para detectar el uso no autorizado del sistema. La siguiente es una lista de mtodos que puede utilizar en su sitio. Puede comparar las listas de los usuarios que estn conectados en ese momento con los registros de las conexiones anteriores. La mayora de los usuarios tienen horarios de trabajo regulares y se conectan y desconectan casi a la misma hora todos los das. Una cuenta que muestre actividad fuera del horario normal del usuario deb e inspeccionarse de cerca. Quiz un intruso este usando esa cuenta. Tambin puede alertarse a los usuarios para que observen el ltimo mensaje de conexin que aparece al momento de hacer su primera conexin. Si notan algn horario inusual, deben avisarle al administrador del sistema. Muchos sistemas operativos llevan registros de contabilidad para efectos de cobranza. Tambin pueden examinarse esos registros para detectar cualquier pauta desacostumbrada de uso del sistema. Los registros de contabilidad inusuales pueden indicar una penetracin ilegal en el sistema. El sistema operativo quiz tenga tambin utileras de registro de conexin, como el syslog usado en Unix. Deben revisarse los registros producidos por dichas herramientas para detectar cualquier mensaje de error desacostumbrado producido por el software del sistema. Por ejemplo, un gran nmero de intentos fallidos de conexin en un periodo corto puede indicar que alguien est tratando de adivinar contraseas. Tambin debe inspeccionar el nmero de intentos de registro de conexin en las cuentas delicadas como root, sysadm, etctera.

Muchos sistemas operativos tienen comandos, como el ps de Unix, que enlistan los procesos que se estn ejecutando en ese momento. Pueden usarse estos comandos para detectar si los usuarios estn ejecutando programas a los cuales no estn autorizados, as como para detectar programas no autorizados que quiz hayan sido iniciados por un intruso. Pueden usarse los gateways de las firewalls para crear un registro del acceso a la red. Esta debe inspeccionarse con regularidad. Ms adelante se explican con detalle las firewalls. Si usted tiene recursos especiales que desee inspeccionar, puede construir sus propias herramientas con las utileras estndar del sistema operativo. Por ejemplo, puede combinar los comandos ls y find de Unix en un script de shell para revisar las configuraciones de propiedades y permisos privilegiados de archivo. Puede guardar la salida de esta actividad de inspeccin en listas que se pueden comparar y analizar mediante herramientas comunes de Unix como diff, awk o perl. Las diferencias en los permisos de archivos importantes pueden indicar modificaciones no autorizadas en el sistema. HORARIO DE INSPECCION Los administradores del sistema deben inspeccionar con frecuencia y regularidad a lo largo de todo el da. Puede resultar muy fastidioso inspeccionar por horarios fijos, pero pueden ejecutarse comandos de inspeccin a cualquier hora, en los momentos desocupados, por ejemplo, cuando usted est hablando de negocios por telfono. Si ejecuta los comandos de inspeccin con frecuencia, se familiarizar rpidamente con la informacin normal de estas herramientas de inspeccin. Esto le ayudar a detectar la informacin inusual. Es posible intentar automatizar este proceso ejecutando herramientas de bsqueda sobre la informacin, y se pueden buscar ciertos patrones fijos, pero generalmente es difcil detectar toda la informacin inusual causada por la intrusin en el sistema. El cerebro humano sigue siendo mejor que la mayora de los programas para detectar sutiles diferencias en los registros de inspeccin. Si ejecuta diversos comandos de inspeccin a diferentes horas del da, ser difcil que un intruso prediga sus acciones. El intruso no puede saber cundo el administrador correr el comando de inspeccin para desplegar a los usuarios conectados, por lo que corre mayor riesgo de ser detectado. Por otra parte, si el intruso sabe que todos los das, a las seis de la tarde, el sistema se revisa para ver que todos se hayan desconectado, esperar a que concluya esta revisin antes de conectarse. La inspeccin es til, pero tambin puede ser alterada. Algunos intrusos pueden darse cuenta de los mecanismos estndar de registro de conexiones que se usen

en el sistema y pueden tratar de desactivarlos. La inspeccin peridica puede detectar a los intrusos, pero no ofrece ninguna garanta de que el sistema esta a salvo. No es un mtodo infalible para detectar a los intrusos. PROCEDIMIENTOS DE REPORTE En caso de que se detecte algn acceso no autorizado, debe haber procedimientos para reportar este acceso y a quin ser informado. Adems, su poltica de seguridad debe cubrir los siguientes aspectos: Procedimientos de administracin de cuentas Procedimientos de administracin de configuracin Procedimientos de recuperacin Procedimiento de reporte de problemas para los administradores del sistema

Captulo II SISTEMAS DE INFORMACION POR COMPUTADORA A. EL USO DE LAS COMPUTADORAS.

Las computadoras actualmente continan revolucionando los negocios y muchas organizaciones dependen cada vez mas del uso de las computadoras, ejemplo de ello lo constituye el reemplazo del montono trabajo de cientos sino es que miles de trabajadores que realizaban arduos procesos de trabajo en donde se inverta mayor tiempo y por consiguiente mayor dinero. Pequeas organizaciones han encontrado inclusive mayores beneficios en el uso de las computadoras. Esto se ha dado particularmente desde hace unos aos cuando las computadoras personales (PCs) incrementaron su capacidad de procesamiento y velocidad, as mismo los precios de las mismas disminuyeron y el software se hizo ms fcil de comprender para el usuario. Sin embargo, para que las organizaciones tengan una ventaja total de las nuevas facilidades que las computadoras ofrecen es importante que sus sistemas puedan ser controlados y que sean confiables. Para ello se requiere que los auditores confirmen y verifiquen dicha situacin, por eso se hace necesario un mayor conocimiento acerca de las computadoras y de los procesos que le afectan a las mismas. La introduccin de las computadoras trajo un cambio fundamental en la forma de procesar datos en las organizaciones, as se tiene que:

 Retienen datos en una forma electrnica, lo cual hace que se torne ms complicado el acceso para el auditor en comparacin con los legajos de trabajo escritos en papel. Traen procesos de datos con mucha menos intervencin manual, de hecho, grandes partes de algunos sistemas actuales procesan datos de una forma totalmente automatizada. Muchas veces sto tiene su justificacin si se desea reducir personal y materiales como papel y otros que implican costos. Los grandes sistemas de computo requieren un nmero considerable de tcnicos con alto nivel de conocimiento para realizar el mantenimiento de los sistemas. Poseen grandes volmenes de datos procesados en forma casi instantnea y de forma similar transmiten los mismos, inclusive a largas distancias, algunas veces entre continentes. Procesan los datos en forma consistente de acuerdo a sus respectivos programas. Como no son humanos, no son sujetos de errores, sino que depender de la forma en que ha sido diseados los diferentes programas. Muchas mini computadoras y servidores son objeto de una concentracin significativa de informacin. Algunas organizaciones confan ms en sus sistemas informticos que en los procesos que se puedan llevar en forma manual, inclusive piensan que la recuperacin de informacin de sus sistemas computarizados es menos difcil. Mucho de lo anterior explica el desarrollo que han tenido en la actualidad los sistemas de informacin por computadora. En muchos casos la computadora representa grandes oportunidades para el auditor. Por ejemplo, permite al auditor usar el poder de la computadora para analizar grandes volmenes de informacin a un menor costo. En un sistema manual el auditor puede necesitar emprender revisiones ms peridicas de las diferentes transacciones para confirmar que las mismas sean procesadas correctamente. En un sistema manual la calidad de los procedimientos de control pueden ser cambiantes, dependiendo de la calidad con que trabaje el personal y su consistencia en el trabajo. En un sistema computarizado el auditor puede ser capaz de confiar en los controles que se realizan dentro de los procesos del sistema computarizado de una manera ms consistente que en un sistema manual.

B.

GENERALIDADES DE LAS COMPUTADORAS Y SUS SISTEMAS

1.

Hardware. Constituido por todos aquellos componentes fsicos que se incluyen en los sistemas de cmputo. Ejemplos: Microprocesadores. Discos duros. Monitores. Mouse. Teclado. Etc. 2. Software.

Constituido por todos aquellos programas de computacin utilizados para la realizacin de determinadas tareas para el logro de un fin especfico. Ejemplos: 3. Programas estadsticos. Programas contables. Programas de dibujo. Sistemas operativos. Utilitarios Etc. Bases de datos

Constituyen un conjunto integrado de datos relacionados entre si, de forma tal que pueden ser usados en mltiples aplicaciones en una compaa a travs de los diferentes programas de computacin. 4. Programas fuente

Programas o sistemas realizados en algn lenguaje de programacin de alto nivel[1], pero que no son entendibles por la mquina. Estos programas pueden ser sujetos de modificaciones pero para ser ejecutados por la computadora necesitan ser compilados. 5. Programas objeto.

Son los programas que han sufrido un proceso de compilacin en donde las instrucciones de lenguajes de alto nivel se convierten a instrucciones entendibles para la computadora. Los programas objeto como tal no pueden sufrir modificaciones. 6. Sistemas de informacin por computadora.

Es un conjunto integrado de personas, procedimientos, hardware y software que tienen como fin el logro de uno o varios objetivos especificados por el usuario. Estos sistemas de informacin realizan operaciones de transformacin de

datos y tienen como ventaja la gran capacidad de procesamiento, en menor costo y tiempo. a. Sistemas de acuerdo a su funcin

Sistemas diseados para un rea especfica de aplicacin y no comparte informacin con otros programas o subprogramas b. Sistemas integrados.

Sistemas que comparten una base comn de datos, la cual minimiza la redundancia de stos y permite una mejor administracin de la informacin. Estos sistemas requieren de controles diseados especficamente para verificar el traslado de informacin entre sistemas. Un ejemplo de este tipo de sistemas puede ser la informacin que posee el sistema de recursos humanos que debe ser compartida con el sistema de contabilidad, en lo referente a la informacin de cada empleado, para que mensualmente le sea calculado su salario neto de deducciones legales.

c.

Sistemas por lote o en lnea

Los sistemas de informacin tambin pueden clasificarse como por lote, en lnea o una combinacin de ambos. En un sistema por lote las transacciones y datos se recolectan y agrupan (por lote) para su procesamiento y la generacin de informes. Por ejemplo existen sistemas contables que esperan al final de cada da para procesar todas las operaciones llevadas acabo, una vez procesadas actualiza la informacin financiera solicitada, tales como el diario mayor general o estados financieros, entre otros. En un sistema en lnea las transacciones se manejan y procesan en el momento en que ocurren. Un ejemplo de ello son los retiros en cajeros automticos, en donde al efectuarse un retiro de una cuenta bancaria automticamente un dbito bancario es realizado. 7. Usos de los sistemas de informacin.

Los sistemas de informacin basados en computadora pueden utilizarse en cualquier rea de la organizacin, no importando a que se dedique la misma. Actualmente es difcil concebir una organizacin que no utilice computadoras. El uso de la computadora involucra reas tales como salud, lneas reas, gentica, fuerzas armadas, sistemas bancarios, etc. De ello se desprende que el Auditor debe poseer los conocimientos necesarios en primer lugar del tipo de organizacin que se auditar, as como de las particularidades de los sistemas informticos. 8. Elementos de un sistema de informacin.

a.

Insumos / entradas

Los insumos o entradas son los datos que se manipularn y transformarn dentro del sistema, estos insumos son la materia prima a partir de la cual obtendr informacin. Ejemplo de insumos podran ser los ingresos de sueldos o salarios sin deducciones segn la ley, de los diferentes empleados de una compaa para que sean procesados en una planilla de sueldos mensual. b. Procesos.

Comprende el conjunto de operaciones que se llevarn a cabo para transformar los ingresos o entradas en la informacin que se desea. Estos procesos se llevan a cabo a travs de programas o software utilizado en una o varias computadoras. Ejemplo de un proceso puede ser el clculo aritmtico del salario neto a devengar por un empleado, que se realiza a travs de una rutina de programacin.

c.

Productos / salidas.

Los productos o salidas son los resultados que se obtienen como consecuencia de haber procesado los datos, que ahora se convierte en informacin y que cumplir un objetivo especfico. Por ejemplo, el producto que se obtendra de haber ingresado los sueldos o salarios sin deducciones ser el salario neto que el trabajador devengar, as como la impresin del cheque correspondiente y los respectivos detalles que requerir la compaa. d. Controles sobre el sistema.

Se encargan de planificar, coordinar y guiar el funcionamiento del sistema, prcticamente supervisa el buen funcionamiento del mismo. A veces muchos errores o fallas sobre el sistema surgen una vez han sido implantados, ejemplo de ello lo constituye un sistema en el cual se descubre que las impresiones de los cheques por medio de la impresora no se realizan de una forma adecuada. Situaciones como sta hacen necesario supervisar en una forma cotidiana el funcionamiento del sistema en su totalidad. e. Mecanismos de autorregulacin

Este elemento se encarga de evaluar constntemente el funcionamiento del sistema, y a partir de sus resultados, retroalimenta al sistema con sugerencias para mejorar el mismo. Es importante indicar que este tipo de mecanismo es caracterstico de sistemas expertos o inteligentes. f. Entorno/ medio ambiente.

El entorno son los recursos o medio ambiente sobre el cual el sistema interacta, est compuesto por todos aquellos elementos externos al sistema, que de una u otra forma determinan la eficiencia en su accionar. Captulo III INTRODUCCIN A LA APLICACIN DE LA AUDITORIA DE SISTEMAS DE INFORMACIN POR COMPUTADORA. Con el advenimiento de los sistemas de informacin por computadora, surge un nuevo concepto de auditora, llamado Auditora de Sistemas de Informacin, el cual tiene como principal objetivo el examinar y evaluar la integridad de un sistema automatizado y sus componentes, para dar una opinin o recomendaciones acerca de si la informacin generada es precisa y confiable. Una auditora de Sistemas de Informacin basado en computadora persigue: Salvaguardar los activos. Exactitud e integridad en la informacin. Efectividad de los sistemas. Eficiencia de los sistemas.

Una auditora de sistemas de informacin que se basa en computadoras, es cambiante en el transcurso del tiempo en cuanto a tcnicas y controles, mas no en su objetivo ya que cada da las computadoras sufren cambios en cuanto a capacidad, tamao y aplicaciones que se le puedan dar. Por ejemplo, actualmente mucha informacin circula a travs de Internet en comparacin a la dcada de 1980 en donde los Piratas Cibernticos[2] eran inimaginables. Estos eventos hacen que cambien o se aadan controles especiales para disminuir riesgos potenciales en el uso de la informacin. Es importante indicar que la auditora de sistemas de informacin tiene como pilares bsicos: el evaluar los riesgos del sistema y proponer los controles necesarios antes de que sucedan acciones en perjuicio de la compaa. Sin embargo, es necesario separar las actividades de la auditora de sistemas en dos campos de accin, los cuales son: La auditora que se aplica al desarrollo de un sistema de informacin. La auditora que se aplica a sistemas de informacin ya implementados.

Ya sea para sistemas en desarrollo como para sistemas ya implementados, el auditor necesita tener conocimiento detallado de los tipos de controles que podran operar en un sistema de cmputo.

A. CONTROLES BSICOS APLICABLES A SISTEMAS DE INFORMACIN EN DESARROLLO Y YA IMPLEMENTADOS. 1. Validacin de datos.

Consiste en la revisin del ingreso de datos a la computadora, para asegurar que se encuentran dentro de los parmetros predeterminados y para chequear que los datos estn libres de errores e irregularidades. Es importante que la validacin de los datos sea descrita para que la misma sea efectiva y permita una reduccin de errores en los archivos y que pueda causar por consiguiente una falla en el sistema. Si el ingreso de datos es incorrecto, stos pueden ser rechazados por el sistema y ponerlos en entredicho en la pantalla con un mensaje de error, detallando por qu no han sido aceptados. El operador puede verificar tal situacin y corregir lo que sea necesario. Algunos ejemplos de validaciones tpicas de datos se describen a continuacin: a. Chequeo del formato de la informacin. El sistema revisa que los datos sean ingresados ya sea del tipo numrico, alfanumrico, fecha, lgicos o del tipo bandera. Ejemplo: un sistema que solicita el ingreso de un nombre de usuario y se ingresa equivocadamente un nombre con nmeros el sistema deber de indicar un error de ingreso. b. Chequeo del lmite del rango.

El sistema revisa que toda la informacin se encuentre dentro de ciertos lmites predeterminados. Por ejemplo, si un sistema solicita el ingreso de la edad de una persona que se encuentre entre 18 a 30 aos y si se ingresase la edad 188, el sistema debe tener la capacidad de detectar que el ingreso no es acorde a lo que efectivamente se esta pidiendo. Este chequeo es usado para confirmar la credibilidad de la informacin. c. Chequeo de secuencia.

El sistema revisa las transacciones de una manera que sigan una secuencia en base a parmetros o a una secuencia automtica. Por ejemplo, si se tiene una orden de compra cuyo nmero corresponde el 100 y se ingresa el 1000, el sistema revisar y determinar que el nmero ingresado es incorrecto.

2.

Controles y niveles de acceso.

Este control es fundamental ya que cada usuario debe ser identificado en forma nica antes de su ingreso al sistema, la razn de esto consiste en el uso de la informacin, ya que mucha de sta puede ser considerada confidencial. Colateralmente al acceso que pueda tener determinado usuario, es recomendable

que se posean bitcoras, que no son ms que subsistemas que mantienen informacin acerca de las actividades que los usuarios realizan. Para la determinacin de los controles de acceso se debe de considerar lineamientos tales como: Qu personas deben examinar el sistema. Qu personas pueden hacer ingresos al sistema. Qu personas pueden hacer consultas al sistema. Qu personas pueden cambiar o eliminar informacin. Qu personas pueden obtener informacin del sistema y quienes pueden emitir reportes del mismo.

El control de acceso generalmente usado son las claves (passwords en ingls). Un usuario con autorizacin tiene una clave de acceso que lo identifica y que es lo nico que lo introduce al sistema, sta debe ser nica para el usuario. Algunas recomendaciones para el control de las claves de acceso son las siguientes: El sistema debe forzar al usuario a cambiar de contrasea regularmente, o si alguien quiere ingresar al sistema e ingresa incorrectamente su clave, se debe permitir un nmero de intentos que bien pueden ser dos o tres, despus de ello el sistema debe de tener la capacidad de auto desconectarse. Las contraseas no deben ser cortas. Las contraseas no deben ser visualizadas en la pantalla de la computadora. Se debe dejar al usuario cambiar su contrasea de acuerdo a sus necesidades. El sistema debe prevenir el uso de contraseas desechadas. El sistema debe de tener una opcin de tiempo para salir del sistema, si el mismo no est siendo utilizado. Una vez el usuario es identificado por el sistema, se debe poseer control sobre los lugares a que tendr acceso, ya que dependiendo de quien sea el usuario se restringir las actividades de ste ya que existe mucha informacin que es sensible y confidencial que solo debe ser utilizada por personal especfico, por consiguiente se deben establecer ciertos niveles en el acceso a la informacin. 3. Rastreo de auditora.

El rastreo de auditora es mas propiamente referido como un rastreo de transacciones, consiste en seguir o rastrear operaciones llevadas a cabo en determinados archivos desde su origen hasta su final a travs de las diferentes etapas de procesamiento del sistema.

4.

Controles sobre las bases de datos.

Debido a que los datos son la materia prima de la informacin, es necesario que el auditor tome en cuenta los siguientes controles aplicables a las bases de datos:

a.

Controles sobre la integridad.

Los controles sobre la integridad buscan mantener la exactitud y confiabilidad de los datos as como la recuperacin de los mismos en casos de emergencia. Ejemplo de ello se tienen: Controles sobre la modificacin de la informacin contenida en las mismas. Controles de calidad, que aseguran la exactitud y consistencia de la informacin incorporada a la base de datos. Controles de recuperacin en caso de desastres (Copias de Seguridad). b. Controles sobre la administracin de las funciones de las bases de datos.

Estos controles son de carcter administrativo determinan la efectividad en el cumplimiento de las diferentes tareas del personal. Ejemplos de estos tipos de controles se mencionan a continuacin: Separacin y delimitacin especfica de funciones. Rotacin de personal que administra la base de datos. Capacitacin en el desarrollo de las funciones de administracin de base de datos. Registro de la actividades (Bitcoras). B. CONOCIMIENTOS Y HERRAMIENTAS NECESARIOS PARA AUDITAR SISTEMAS AUTOMATIZADOS

Asumiendo un tratamiento general de auditora en cualquier organizacin, las siguientes herramientas o conocimientos sern necesarios para auditar sistemas de informacin por computadora: Conocimientos de principios de auditora, ya que el auditor necesita entender como se emprende el plan de auditora, y como funciona la documentacin. Habilidades de comunicacin interpersonales, tanto oral y escrita ya que mucha informacin que es tcnica y compleja debe ser transmita en un lenguaje simple.

 El auditor necesita un buen sentido de juicio, ya que necesita analizar asuntos tcnicos y de negocios complejos, y concluir acerca de las implicaciones de seguridad y control. Conocimientos tcnicos de cmo funcionan los sistemas de computacin.

Conocimientos de anlisis de datos para que el auditor observe y verifique el adecuado diseo y desarrollo de procesos, tales como las tcnicas de anlisis de datos que son extensamente usadas. Herramientas de programacin como las Tcnicas de Auditoria Asistidas por Computadora. Conocimiento en redes para la revisin de comunicaciones de datos.

Conocimientos de sistemas de software, que ayudar a la realizacin de revisiones de toda la infraestructura informtica. Una amplia variedad de herramientas por consiguiente son requeridas. Muchos departamentos de auditora en sistemas informticos son de este modo conformados por personal de auditora con conocimientos en diversas reas. Es necesario que el auditor posea calificativos profesionales para asegurar que sus conocimientos cubran sus estndares profesionales. C. HERRAMIENTAS MANUALES DE APOYO A LA AUDITORIA DE SISTEMAS.

Las herramientas manuales de apoyo a la auditora de sistemas son utilizadas de forma conexa con las herramientas de software, entre ellas se pueden mencionar: Prueba del tiempo de ejecucin. Estas determinan la rapidez de los procesos del sistema Prueba de almacenamiento. Determina la capacidad del sistema para manejar una cantidad grande de informacin. Prueba de recuperacin. Determina el tiempo que le toma al sistema recuperarse en caso de que ocurran problemas que le impidan continuar con la ejecucin de sus rutinas. Pruebas sobre los datos. Determina si las rutinas de validacin del sistema son efectivas, es decir si acepta los datos de acuerdo a las especificaciones predeterminadas. Prueba de carga mxima Determina si el sistema es capaz de manejar el volumen mximo de actividades en su punto de ms alta demanda.

 Prueba de factores humanos. Establece la forma en que los usuarios debern procesar los datos para generar informes. D. TCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADORA

A la utilizacin del computador como herramienta en el proceso de auditora de sistemas se denomina Tcnicas de Auditora Asistidas por Computadora (CAAT por sus siglas en ingls). De acuerdo a su funcin, las herramientas CAAT se clasifican en las tres reas siguientes: Tcnicas asistidas para la auditora de controles generales.

Estas tcnicas incluyen todas aquellas herramientas utilizadas para evaluar el entorno relacionado con el sistema de informacin implantado. Los controles que involucra son: Controles de seguridad en los programas. Controles de seguridad de archivos de datos. Controles de la administracin de operaciones Controles de programas de soportes del sistema Tcnicas asistidas para la auditora de aplicaciones.

Estas tcnicas incluyen todas aquellas herramientas utilizadas para probar los procesos y controles incluidos en los programas de aplicaciones. Ejemplos: Exmenes de mapeo.

Estos programas monitorean la ejecucin de un programa y producen reportes que muestran el nmero de veces que se ejecuta cada lnea de instrucciones del programa analizado. Pruebas integradas.

Consiste en mezclar informacin ficticia con real en un proceso normal. Es utilizado para probar controles en los programas. Operaciones paralelas.

Consiste en procesar los datos reales con duplicados de los programas que estn bajo control o han sido realizados por el auditor. Es usado para probar controles en los programas.

Rutinas incluidas en programas de aplicacin.

Esto involucra uno o mas mdulos o rutinas incluidas en los diferentes programas que tiene por objeto seleccionar y analizar la informacin. Anlisis de base de datos.

Software que le permite al auditor entender la estructura de la base de datos, as como a evaluar la seguridad de los mismos. Tcnicas asistidas que facilitan las funciones de administracin de la auditora de sistemas Estas tcnicas incluyen todas aquellas herramientas utilizadas para concluir e informar acerca de los resultados de una auditora de sistemas a travs de diferentes etapas que bien pueden ser: Planificacin Control sobre la ejecucin de la auditora Documentacin Comunicacin de resultados.

Un incremento se ha dado cada vez ms a la tcnica de transferir datos de las computadoras o sistemas de computo a mini computadoras siempre bajo el total y nico control del auditor. Esto se hace con el fin de analizar los datos en programas especializados para ello. Ejemplos de dichos programas son: ACL ACCESS CASE TOP SECRET ICE IDEA PC- AUDIT

Las facilidades que ofrecen este tipo de programas son: Selecciona registros de acuerdo al criterio del auditor. Compara dos o ms archivos para obtener los que sean fraudulentos. Conlleva operaciones de aritmtica bsica. Procesa ciertas rutinas, por ejemplo: pruebas o ejemplos de rutinas estadsticas y estratificaciones. Es de considerar que es una costumbre de muchos auditores que no poseen software especializado como los mencionados, el utilizar hojas electrnicas como Lotus o Excel para analizar datos. Esta tcnica bsica consiste en que se

obtienen las bases de datos como por ejemplo de Foxpro o Paradox[3], una vez obtenidas son analizadas a travs de las diferentes funciones que pueden ofrecer dichas hojas electrnicas. Las principales ventajas que puede ofrecer el software para auditora a travs del uso de minicomputadoras se presenta a continuacin: El auditor puede interactuar por medio del acceso a archivos, explorar y analizar los datos basados en resultados El auditor puede trabajar en un ambiente autocontenido (fuera del sistema de informacin en donde se realizan las operaciones y transacciones), de tal manera que no puede causar dao a los procesos que se desarrollan en la organizacin. Existe una gran capacidad y rapidez de proceso, lo cual por consiguiente implica en una disminucin de costo en tiempo y dinero. Minimiza la carga de trabajo del procesador central, y el tiempo invertido por programadores.

Algunas Tcnicas Asistidas por Computadora podran presentar ciertas limitaciones que es necesario considerar, ejemplo de ello puede ser: No pueda ser posible entrar a registros largos de variables, sobretodo con los servidores, especialmente los que usan cinta magntica y por eso haya que producir un archivo de extracto para que el auditor lo examine. En lo concerniente a la estructura de archivos de la base de datos, puede suceder que no deje accesar a la misma y por ello el auditor tendra que escribir un programa que lea la base de datos y as producir un archivo convencional. Sistemas cerrados que no tienen conectados PCs lo que dificulta o imposibilita el traslado de la informacin.

CAPITULO Iv

AUDITORIA APLICADA AL DESARROLLO DE SISTEMAS DE INFORMACION Cuando la auditora es aplicada al desarrollo de sistemas, se debe comprender el ciclo de vida del sistema de informacin que se realizar. En esta etapa el auditor participa como asesor en las reas concernientes a riesgos y controles, as como al manejo de informacin, ya que de no ser as se pierde la independencia y

objetividad con las personas encargadas del desarrollo de los sistemas de informacin. El auditor verificar en cada etapa, que el sistema que se desarrolle llene los requisitos que indiquen que la informacin ser exacta, oportuna y confiable.

A.

CICLO DE VIDA DE UN SISTEMA DE INFORMACIN.

Muchas organizaciones todava usan procedimientos tradicionales de desarrollo de sistemas. La mayora de procedimientos de desarrollo circundan en un gran rango de metodologas. Organizaciones grandes y medianas tienen bien definidos los procedimientos de desarrollo de sistemas que sin excepcin debe llevarse a cabo. Dichos procedimientos proveen una importante documentacin que ser entendible por toda la organizacin. Todo sistema de informacin a desarrollar deber incluir la especificacin de una estrategia de control para el sistema, incorporando: Controles de acceso Una estrategia total de control de datos. Requerimientos de auditora.

A continuacin se detalla las etapas del desarrollo de sistemas de una forma genrica: