Está en la página 1de 34

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS ESCUELA DE AUDITORA DCIMO SEMESTRE SEMINARIO **CASOS DE AUDITORA** Lic.

Titular. Carlos Mauricio Garca Lic. Aux. Nicols Gonzalo Jimnez Miranda Edificio S-3 Saln 101.

AUDITORIA INFORMATICA

Integrantes del Grupo No. 3. No. Nombre 1 Jalmar Mariel Prez 2 Victor Porfirio Roldan Muxin 3 Santos Macario Garca ***coordinador*** 4 Joel Armando Citaln 5 Erick Krystian Reyes Ayala 6 Lionel Amilcar Guzmn Osorio 7 Ricardo Amilcar Palacios Grijalva 8 Claribel Saravia Jimnez 9 Victor Edy Quelex Garca 10 Delmis Gudiel Lorenzo Carn 1994-17843 1996-13365 1996-19393 1999-13851 2000-12712 2000-12777 2001-14743 2003-15065 2004-15539 2009-14313

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS ESCUELA DE AUDITORA DCIMO SEMESTRE SEMINARIO **CASOS DE AUDITORA** Lic. Titular. Carlos Mauricio Garca Lic. Aux. Nicols Gonzalo Jimnez Miranda Edificio S-3 Saln 101.

AUDITORIA INFORMATICA

Integrantes del Grupo No. 3. No. Nombre 1 Jalmar Mariel Prez 2 Victor Porfirio Roldan Muxin 3 Santos Macario Garca ***coordinador*** 4 Joel Armando Citaln 5 Erick Krystian Reyes Ayala 6 Lionel Amilcar Guzmn Osorio 7 Ricardo Amilcar Palacios Grijalva 8 Claribel Saravia Jimnez 9 Victor Edy Quelex Garca 10 Delmis Gudiel Lorenzo Carn 1994-17843 1996-13365 1996-19393 1999-13851 2000-12712 2000-12777 2001-14743 2003-15065 2004-15539 2009-14313

AUDITORIA INFORMATICA

Contenido
INTRODUCCIN............................................................................................................................... 3 1. AUDITORA INFORMTICA .......................................................................................................... 3 a. Antecedentes .......................................................................................................................... 4 b. Definicin ................................................................................................................................ 4 c. Objetivos generales ................................................................................................................. 4 d. Objetivos fundamentales de la auditoria informtica ............................................................ 5 e. Revisin de controles de la gestin informtica ..................................................................... 6 f. Alcance ..................................................................................................................................... 7 g. Caractersticas ......................................................................................................................... 8 h. Tipos y clases de auditoras informticas ............................................................................... 8 2. CONTROLES EN INFORMATICA ................................................................................................. 18 a. Definicin .............................................................................................................................. 18 b. Funcin.................................................................................................................................. 18 c. Proceso bsico del control .................................................................................................... 19 d. Requisitos que deben cumplir los controles ......................................................................... 19 e. Clasificacin de los controles ................................................................................................ 19 3. PARTICIPACION DEL AUDITOR EN EL DESARROLLO DE SISTEMAS............................................ 22 a. Su importancia ...................................................................................................................... 22 b. Su oportunidad ..................................................................................................................... 23 c. Aspectos generales................................................................................................................ 23 d. Participacin del auditor interno en desarrollo de sistemas ................................................ 24 4. ESTUDIO Y EVALUACIN DEL CONTROL INTERNO EN INFORMATICA ...................................... 25 a. Organizacin del centro ........................................................................................................ 25 b. Seguros, contratos, mantenimiento y fianzas ...................................................................... 25 c. Manuales de organizacin..................................................................................................... 25 d. Polticas de seguridad ........................................................................................................... 26 e. Sistemas y medidas de seguridad ......................................................................................... 26

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

AUDITORIA INFORMATICA

f. Programas de capacitacin .................................................................................................... 26 g. Recepcin de trabajos ........................................................................................................... 26 h. Control de calidad ................................................................................................................. 27 i. Despacho de trabajo .............................................................................................................. 27 j. Captura de datos .................................................................................................................... 27 k. Proceso de datos ................................................................................................................... 27 l. Cintoteca ................................................................................................................................ 28 5. METODOLOGIA PARA REALIZAR AUDITORIAS DE SISTEMAS COMPUTACIONALES .................. 28 a. Primera etapa: Planeacin de la auditora en sistemas computacionales ........................... 28 b. Segunda etapa: Ejecucin de la auditora en sistemas computacionales ............................ 29 c. Tercera etapa: Dictamen de la auditora en sistemas computacionales .............................. 29 CONCLUSIONES ............................................................................................................................. 30 RECOMENDACIONES ..................................................................................................................... 31 BIBLIOGRAFIA ................................................................................................................................ 32

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

AUDITORIA INFORMATICA

INTRODUCCIN
En el siguiente trabajo se presenta la investigacin sobre la Auditoria Informtica la cual se ha convertido en los ltimos aos en una de las herramientas ms poderosas para la administracin y el control de las operaciones dentro de una organizacin por lo tanto se ha convertido en una de las ramas ms importantes en la cual se darn a conocer los antecedentes, su definicin y los objetivos generales y fundamentales que desea alcanzar dicho trabajo de auditora los tipos y clases de auditora informtica y se conocer los diferentes controles en informtica la definicin de los mismos y los requisitos mnimos que deben cumplir dichos controles y como se clasifican y la importancia de la participacin del auditor en el desarrollo de los sistemas y el estudio y evaluacin del control interno en la informtica y la metodologa que sirve para realizar auditoras de sistemas computacionales y las diferentes etapas de la metodologa.

1. AUDITORA INFORMTICA
Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

AUDITORIA INFORMATICA

a. Antecedentes

A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin de la empresa. La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el "management" o gestin de la empresa. Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la AUDITORIA INFORMTICA.

b. Definicin

La Auditora Informtica es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una empresa al nivel de tecnologas de la informacin. Disciplina incluida en el campo de la auditora que se refiere al anlisis de las condiciones de una instalacin informtica por un auditor externo e independiente que realiza un dictamen sobre diferentes aspectos. Conjunto de procedimientos y tcnicas para evaluar y controlar, total o parcialmente, un sistema informtico, con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informtica y general existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organizacin correspondiente.

c. Objetivos generales

El control de la funcin informtica, El anlisis de la eficacia del Sistema Informtico,

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

AUDITORIA INFORMATICA

La verificacin de la implantacin de la Normativa, La revisin de la gestin de los recursos informticos.

d. Objetivos fundamentales de la auditoria informtica

a) Operatividad La operatividad es una funcin de mnimos consistente en que la organizacin y las maquinas funcionen, siquiera mnimamente. No es admisible detener la maquinaria informtica para descubrir sus fallos y comenzar de nuevo. La auditora debe iniciar su actividad cuando los Sistemas estn operativos, es el principal objetivo el de mantener tal situacin. Tal objetivo debe conseguirse tanto a nivel global como parcial. La operatividad de los Sistemas ha de constituir entonces la principal preocupacin del auditor informtico. Para conseguirla hay que acudir a la realizacin de Controles Tcnicos Generales de Operatividad y Controles Tcnicos Especficos de Operatividad, previos a cualquier actividad de aquel. 1. Controles tcnicos generales: Son los que se realizan para verificar la compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software de base con todos los subsistemas existentes, as como la compatibilidad del Hardware y del Software instalados. Estos controles son importantes en las instalaciones que cuentan con varios competidores, debido a que la profusin de entornos de trabajo muy diferenciados obliga a la contratacin de diversos productos de Software bsico, con el consiguiente riesgo de abonar ms de una vez el mismo producto o desaprovechar parte del Software abonado. Puede ocurrir tambin con los productos de Software bsico desarrollados por el personal de Sistemas Interno, sobre todo cuando los diversos equipos estn ubicados en Centros de Proceso de Datos geogrficamente alejados. Lo negativo de esta situacin es que puede !Final de frmula inesperadoproducir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo trabajando independientemente, pero no ser posible la

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

AUDITORIA INFORMATICA

interconexin e intercomunicacin de todos los Centros de Proceso de Datos si no existen productos comunes y compatibles. 2. Controles tcnicos especficos:

De modo menos acusado, son igualmente necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar mal son parmetros de asignacin automtica de espacio en disco que dificulten o impidan su utilizacin posterior por una Seccin distinta de la que lo gener. Tambin, los periodos de retencin de ficheros comunes a varias Aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de modo que la prdida de informacin es un hecho que podr producirse con facilidad, quedando inoperativa la explotacin de alguna de las Aplicaciones mencionadas. Parmetros de asignacin automtica de espacio en disco: Todas las Aplicaciones que se desarrollan son super-parametrizadas , es decir, que tienen un montn de parmetros que permiten configurar cual va a ser el comportamiento del Sistema. Una Aplicacin va a usar para tal y tal cosa cierta cantidad de espacio en disco. Si uno no analiz cual es la operatoria y el tiempo que le va a llevar ocupar el espacio asignado, y se pone un valor muy chico, puede ocurrir que un da la Aplicacin reviente, se caiga. Si esto sucede en medio de la operatoria y la Aplicacin se cae, el volver a levantarla, con la nueva asignacin de espacio, si hay que hacer reconversiones o lo que sea, puede llegar a demandar muchsimo tiempo, lo que significa un riesgo enorme.

e. Revisin de controles de la gestin informtica

Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditora es la verificacin de la observancia de las normas tericamente existentes en el departamento de Informtica y su coherencia con las del resto de la empresa. Para ello, habrn de revisarse sucesivamente y en este orden: a) Las Normas Generales de la Instalacin Informtica.

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

AUDITORIA INFORMATICA

Se realizar una revisin inicial sin estudiar a fondo las contradicciones que pudieran existir, pero registrando las reas que carezcan de normativa, y sobre todo verificando que esta Normativa General Informtica no est en contradiccin con alguna Norma General no informtica de la empresa.

b) Los Procedimientos Generales Informticos. Se verificar su existencia, al menos en los sectores ms importantes. Por ejemplo, la recepcin definitiva de las mquinas debera estar firmada por los responsables de Explotacin. Tampoco el alta de una nueva Aplicacin podra producirse si no existieran los Procedimientos de Backup y Recuperacin correspondientes.

c) Los Procedimientos Especficos Informticos. Igualmente, se revisara su existencia en las reas fundamentales. Asmismo la explotacin no debera explotar una Aplicacin sin haber exigido a desarrollo la pertinente documentacin. Del mismo modo, deber comprobarse que los

Procedimientos Especficos no se opongan a los Procedimientos Generales. En todos los casos anteriores, a su vez, deber verificarse que no existe contradiccin alguna con la Normativa y los Procedimientos Generales de la propia empresa, a los que la Informtica debe estar sometida.

f. Alcance

El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. a) Control de integridad de registros: Hay Aplicaciones que comparten registros comunes. Si una Aplicacin no tiene integrado un registro comn, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicacin no funcionara como debera.

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

AUDITORIA INFORMATICA

b) Control de validacin de errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.

g. Caractersticas

La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informticas, materia de la que se ocupa la Auditora de Inversin Informtica. Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la auditora de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas. Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma su funcin: se est en el campo de la Auditora de Organizacin Informtica.

h. Tipos y clases de auditoras informticas

El departamento de Informtica posee una actividad proyectada al exterior, al usuario, aunque el "exterior" siga siendo la misma empresa. He aqu, la Auditora Informtica de Usuario. Se hace esta distincin para contraponerla a la informtica interna, en donde se hace la informtica cotidiana y real. En consecuencia, existe una Auditora Informtica de Actividades Internas. El control del funcionamiento del departamento de informtica con el exterior, con el usuario se realiza por medio de la Direccin. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compaa. Una informtica eficiente y eficaz requiere el apoyo continuado de su Direccin frente al "exterior". Revisar estas interrelaciones constituye el objeto de la Auditora Informtica de Direccin. Estas tres auditoras, mas la auditora de Seguridad, son las cuatro reas Generales de la Auditora Informtica ms importantes.
Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

AUDITORIA INFORMATICA

Dentro de las reas generales, se establecen las siguientes divisiones de Auditora Informtica: de Explotacin, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las reas Especificas de la Auditora Informtica ms importantes. a) De Explotacin La Explotacin Informtica se ocupa de producir resultados informticos de todo tipo: listados impresos, ficheros soportados magnticamente para otros informticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc. La explotacin informtica se puede considerar como una fabrica con ciertas

peculiaridades que la distinguen de las reales. Para realizar la Explotacin Informtica se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad. La transformacin se realiza por medio del Proceso informtico, el cual est gobernado por programas. Obtenido el producto final, los resultados son sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente, al usuario. Auditar Explotacin consiste en auditar las secciones que la componen y sus interrelaciones. La Explotacin Informtica se divide en tres grandes reas: Planificacin, Produccin y Soporte Tcnico, en la que cada cual tiene varios grupos. 1. Control de Entrada de Datos: Se analizar la captura de la informacin en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisin de datos entre entornos diferentes. Se verificar que los controles de integridad y calidad de datos se realizan de acuerdo a Norma. 2. Planificacin y Recepcin de Aplicaciones: Se auditarn las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su cumplimiento y su calidad de interlocutor nico. Debern realizarse muestreos selectivos de la Documentacin de las Aplicaciones explotadas. Se inquirir sobre la anticipacin de contactos con Desarrollo para la planificacin a medio y largo plazo. 3. Centro de Control y Seguimiento de Trabajos:
Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

AUDITORIA INFORMATICA

Se analizar cmo se prepara, se lanza y se sigue la produccin diaria. Bsicamente, la explotacin Informtica ejecuta procesos por cadenas o lotes sucesivos (Batch*), o en tiempo real (Tiempo Real *). Mientras que las Aplicaciones de Teleproceso estn permanentemente activas y la funcin de Explotacin se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe una buena parte de los efectivos de Explotacin. En muchos Centros de Proceso de Datos, ste rgano recibe el nombre de Centro de Control de Batch. Este grupo determina el xito de la explotacin, en cuanto que es uno de los factores ms importantes en el mantenimiento de la produccin. *Batch y Tiempo Real: Las Aplicaciones que son Batch son Aplicaciones que cargan mucha informacin durante el da y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la informacin, calcular cosas y obtener como salida, por ejemplo, reportes. O sea, recolecta informacin durante el da, pero todava no procesa nada. Es solamente un tema de "Data Entry" que recolecta informacin, corre el proceso Batch (por lotes), y calcula todo lo necesario para arrancar al da siguiente. Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la informacin correspondiente, inmediatamente procesan y devuelven un resultado. Son Sistemas que tienen que responder en Tiempo Real. 4. Operacin. Salas de Ordenadores: Se intentarn analizar las relaciones personales y la coherencia de cargos y salarios, as como la equidad en la asignacin de turnos de trabajo. Se verificar la existencia de un responsable de Sala en cada turno de trabajo. Se analizar el grado de automatizacin de comandos, se verificara la existencia y grado de uso de los Manuales de Operacin. Se analizar no solo la existencia de planes de formacin, sino el cumplimiento de los mismos y el tiempo transcurrido para cada Operador desde el ltimo curso recibido. Se estudiarn los montajes diarios y por horas de cintas o cartuchos, as como los tiempos transcurridos entre la peticin de montaje por parte del Sistema hasta el montaje real. Se verificarn las lneas de papel impresas diarias y por horas, as como la manipulacin de papel que comportan.
Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

10

AUDITORIA INFORMATICA

5. Centro de Control de Red y Centro de Diagnosis: El Centro de Control de Red suele ubicarse en el rea de produccin de Explotacin. Sus funciones se refieren exclusivamente al mbito de las Comunicaciones, estando muy relacionado con la organizacin de Software de Comunicaciones de Tcnicas de Sistemas. Debe analizarse la fluidez de esa relacin y el grado de coordinacin entre ambos. Se verificar la existencia de un punto focal nico, desde el cual sean perceptibles todas las lneas asociadas al Sistema. El Centro de Diagnosis es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufrido averas o incidencias, tanto de Software como de Hardware. El Centro de Diagnosis est especialmente indicado para informticos grandes y con usuarios dispersos en un amplio territorio. Es uno de los elementos que ms contribuyen a configurar la imagen de la Informtica de la empresa. Debe ser auditada desde esta perspectiva, desde la sensibilidad del usuario sobre el servicio que se le dispone. No basta con comprobar la eficiencia tcnica del Centro, es necesario analizarlo simultneamente en el mbito de Usuario. b) De desarrollo de proyectos de aplicaciones Funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin de Sistemas y Aplicaciones. A su vez, engloba muchas reas, tantas como sectores informatizables de la empresa. Muy escuetamente, una Aplicacin recorre las siguientes fases: Prerrequisitos del Usuario (nico o plural) y del entorno Anlisis funcional Diseo Anlisis orgnico (Pre - programacin y Programacin) Pruebas Entrega a Explotacin y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso contrario, adems del disparo de los costes, podr producirse la insatisfaccin del usuario.
Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

11

AUDITORIA INFORMATICA

Finalmente, la auditora deber comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros. Una auditora de Aplicaciones pasa indefectiblemente por la observacin y el anlisis de cuatro consideraciones: 1. Revisin de las metodologas utilizadas: Se analizaran stas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas.

2. Control Interno de las Aplicaciones: se debern revisar las mismas fases que presuntamente han debido seguir el rea correspondiente de Desarrollo:

Estudio de Vialidad de la Aplicacin. (importante para Aplicaciones largas, complejas y caras).

Definicin Lgica de la Aplicacin. (se analizar que se han observado los postulados lgicos de actuacin, en funcin de la metodologa elegida y la finalidad que persigue el proyecto)

Desarrollo Tcnico de la Aplicacin. (Se verificar que ste es ordenado y correcto. Las herramientas tcnicas utilizadas en los diversos programas debern ser compatibles).

Diseo de Programas. (debern poseer la mxima sencillez, modularidad y economa de recursos).

Mtodos de Pruebas. (Se realizarn de acuerdo a las Normas de la Instalacin. Se utilizarn juegos de ensayo de datos, sin que sea permisible el uso de datos reales).

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

12

AUDITORIA INFORMATICA

Documentacin. (cumplir la Normativa establecida en la Instalacin, tanto la de Desarrollo como la de entrega de Aplicaciones a Explotacin).

Equipo de Programacin. (Deben fijarse las tareas de anlisis puro, de programacin y las intermedias. En Aplicaciones complejas se produciran variaciones en la composicin del grupo, pero estos debern estar previstos)

3. Satisfaccin de usuarios: Una Aplicacin tcnicamente eficiente y bien desarrollada, deber considerarse fracasada si no sirve a los intereses del usuario que la solicit. La aquiescencia del usuario proporciona grandes ventajas posteriores, ya que evitar reprogramaciones y disminuir el mantenimiento de la Aplicacin.

4. Control de Procesos y Ejecuciones de Programas Crticos: El auditor no debe descartar la posibilidad de que se est ejecutando un mdulo que no se corresponde con el programa fuente que desarroll, codific y prob el rea de Desarrollo de Aplicaciones. Se ha de comprobar la correspondencia biunvoca y exclusiva entre el programa codificado y su compilacin. Si los programas fuente y los programa mdulo no coincidieran podrase provocar, desde errores de bulto que produciran graves y altos costes de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje industrial-informativo, etc. Por ende, hay normas muy rgidas en cuanto a las Libreras de programas; aquellos programas fuente que hayan sido dados por bueno por Desarrollo, son entregados a Explotacin con el fin de que ste: Copie el programa fuente en la Librera de Fuentes de Explotacin, a la que nadie ms tiene acceso Compile y monte ese programa, depositndolo en la Librera de Mdulos de Explotacin, a la que nadie ms tiene acceso. Copie los programas fuente que les sean solicitados para modificarlos, arreglarlos, etc. en el lugar que se le indique. Cualquier cambio exigir pasar nuevamente por el punto 1.
Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

13

AUDITORIA INFORMATICA

Como este sistema para auditar y dar el alta a una nueva Aplicacin es bastante ardua y compleja, hoy (algunas empresas lo usarn, otras no) se utiliza un sistema llamado U.A.T (User Acceptance Test). Este consiste en que el futuro usuario de esta Aplicacin use la Aplicacin como si la estuviera usando en Produccin para que detecte o se denoten por s solos los errores de la misma. Estos defectos que se encuentran se van corrigiendo a medida que se va haciendo el U.A.T. Una vez que se consigue el U.A.T., el usuario tiene que dar el Sign Off ("Esto est bien"). Todo este testeo, auditora lo tiene que controlar, tiene que evaluar que el testeo sea correcto, que exista un plan de testeo, que est involucrado tanto el cliente como el desarrollador y que estos defectos se corrijan. Auditora tiene que corroborar que el U.A.T. prueba todo y que el Sign Off del usuario sea un Sign Off por todo. c) De sistemas Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado, aunque formen parte del entorno general de Sistemas. 1. Sistemas Operativos: Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en primer lugar que los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. El anlisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Bsico adquiridos por la instalacin y determinadas versiones de aquellas. Deben revisarse los parmetros variables de las Libreras ms importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el constructor.

2. Software Bsico:

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

14

AUDITORIA INFORMATICA

3. Es fundamental para el auditor conocer los productos de software bsico que han sido facturados aparte de la propia computadora. Esto, por razones econmicas y por razones de comprobacin de que la computadora podra funcionar sin el producto adquirido por el cliente. En cuanto al Software desarrollado por el personal informtico de la empresa, el auditor debe verificar que ste no agrada ni condiciona al Sistema. Igualmente, debe considerar el esfuerzo realizado en trminos de costos, por si hubiera alternativas ms econmicas. 4. Software de Teleproceso (Tiempo Real): 5. No se incluye en Software Bsico por su especialidad e importancia. Las consideraciones anteriores son vlidas para ste tambin. 6. Tunning: Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning deben diferenciarse de los controles habituales que realiza el personal de Tcnica de Sistemas. El tunning posee una naturaleza ms revisora, establecindose previamente planes y programas de actuacin segn los sntomas observados. Se pueden realizar: Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso sus acciones son repetitivas y estn planificados y organizados de antemano.

El auditor deber conocer el nmero de Tunning realizados en el ltimo ao, as como sus resultados. Deber analizar los modelos de carga utilizados y los niveles e ndices de confianza de las observacio-nes. 6. Optimizacin de los Sistemas y Subsistemas:

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

15

AUDITORIA INFORMATICA

Tcnica de Sistemas debe realizar acciones permanentes de optimizacin como consecuencia de la realizacin de tunnings preprogramados o especficos. El auditor verificar que las acciones de optimizacin* fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el plan crtico de produccin diaria de Explotacin. Optimizacin:

Por ejemplo: cuando se instala una Aplicacin, normalmente est vaca, no tiene nada cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicacin se va poniendo cada vez ms lenta; porque todas las referencias a tablas es cada vez ms grande, la informacin que est moviendo es cada vez mayor, entonces la Aplicacin se tiende a poner lenta. Lo que se tiene que hacer es un anlisis de performance, para luego optimizarla, mejorar el rendimiento de dicha Aplicacin. 7. Administracin de Base de Datos: El diseo de las Bases de Datos, sean relaciones o jerrquicas, se ha convertido en una actividad muy compleja y sofisticada, por lo general desarrollada en el mbito de Tcnica de Sistemas, y de acuerdo con las reas de Desarrollo y usuarios de la empresa. Al conocer el diseo y arquitectura de stas por parte de Sistemas, se les encomienda tambin su administracin. Los auditores de Sistemas han observado algunas disfunciones derivadas de la relativamente escasa experiencia que Tcnica de Sistemas tiene sobre la problemtica general de los usuarios de Bases de Datos. La administracin tendra que estar a cargo de Explotacin. El auditor de Base de Datos debera asegurarse que Explotacin conoce suficientemente las que son accedidas por los Procedimientos que ella ejecuta. Analizar los Sistemas de salvaguarda existentes, que competen igualmente a Explotacin. Revisar finalmente la integridad y consistencia de los datos, as como la ausencia de redundancias entre ellos. 8. Investigacin y Desarrollo: Como empresas que utilizan y necesitan de informticas desarrolladas, saben que sus propios efectivos estn desarrollando Aplicaciones y utilidades que, concebidas inicialmente para su uso interno, pueden ser susceptibles de adquisicin por otras empresas, haciendo competencia a las Compaas del ramo. La auditora informtica
Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

16

AUDITORIA INFORMATICA

deber cuidar de que la actividad de Investigacin y Desarrollo no interfiera ni dificulte las tareas fundamentales internas. La propia existencia de aplicativos para la obtencin de estadsticas desarrolladas por los tcnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor experto una visin bastante exacta de la eficiencia y estado de desarrollo de los Sistemas. d) De seguridad informtica Es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. Tambin puede ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin ("piratas") y borra toda la informacin que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin del virus. El uso inadecuado de la computadora comienza desde la utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de programas para fines de comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos. La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc.

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

17

AUDITORIA INFORMATICA

La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin. Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial. Dichos paquetes han sido populares desde hace muchos aos en el mundo de las computadoras grandes, y los principales proveedores ponen a disposicin de clientes

2. CONTROLES EN INFORMATICA
a. Definicin
Es una medida y correccin del desempeo de las actividades de los subordinados para asegurar que los objetivos y planes de la empresa, diseados para lograrlo, se estn llevando a cabo.

b. Funcin

Es aquella que tiene por finalidad asegurar que todos y cada uno de los actos de una organizacin obtengan los objetivos previstos, dentro de los limites prefijados. El control es la suma de factores deliberadamente dispuestos por la organizacin con el fin de: a) Condicionar cada acto, asegurando que sea realizado de un modo determinado. b) Determinar la medida en que cada acto dio el resultado previsto. c) Informar los resultados y las eventuales desviaciones, retroalimentando de esta manera todo el proceso.

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

18

AUDITORIA INFORMATICA

c. Proceso bsico del control


Establecimiento de normas Evaluacin de la actuacin Correccin de las desviaciones

d. Requisitos que deben cumplir los controles


Deben reflejar la naturaleza y necesidades de la empresa Deben reportar prontamente las desviaciones Deben ser futuristas Deben sealar excepciones Deben ser objetivos Deben ser flexibles Deben ser comprensibles Deben conducir a la accin correctiva

e. Clasificacin de los controles


a) Por su naturaleza: Generales (varios sistemas) Manuales (uso de humanware) Automticos (incorporados)

b) Por su estado: Recomendados Descartados Implantados

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

19

AUDITORIA INFORMATICA

c) Por su efecto: Disuasivos De evidencia Preventivos Detectivos Correctivos Recuperativos

1. Controles preventivos Son aquellos que reducen la frecuencia con que ocurren las causas de error. CARACTERISTICAS: Reducen la frecuencia de errores Previenen operaciones no autorizadas Son sutilmente incorporados en los procesos Son los de mas bajo costo Autorizacin Custodia segura Formas prenumeradas Formas preimpresas Documento de retorno Endoso Cancelacin Contraseas Definicin de responsabilidades Confiabilidad del personal Entrenamiento Competencia del personal Mecanizacin

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

20

AUDITORIA INFORMATICA

Segregacin de funciones

2. Controles detectivos Estos no impiden que ocurra una causa de error, sino que acciona la alarma despus de que haya ocurrido. a) Pueden impedir la continuidad de un proceso b) No impiden que ocurra un error, pero dan la alarma despus que haya ocurrido c) Requieren de ciertos gastos operativos moderados Documento de envo Nmeros consecutivos de lote Cifras de control de cantidades Cifras de control de numero de documentos Cifras de control sin significado monetario Totales de lote Verificacin de rebasamiento Verificacin de formato Verificacin de integridad Digito verificador Razonabilidad Verificacin de validez Fechas Verificacin de la digitacin Aprobacin Totales de corrida a corrida Igualizacin / comparacin Clasificacin por antigedad Cuenta de partidas pendientes de procesarse Cotejo

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

21

AUDITORIA INFORMATICA

Auditoria peridica Etiquetas

3. Controles correctivos a) Ayudan a la investigacin y correccin de las causas de los errores que hayan sido detectados. b) La accin correctiva es siempre necesaria. c) Son casi siempre muy costosos. Reportes de discrepancias o inconsistentes Rastro de auditoria Estadsticas de errores y su fuente Correccin automatizada de errores Respaldo y recuperacin Re inclusin en el proceso

3. PARTICIPACION DEL AUDITOR EN EL DESARROLLO DE SISTEMAS


a. Su importancia

La participacin del auditor en el desarrollo de sistemas puede darse: a) Como consultor PED: La participacin del CPA es completa, pues forma parte del equipo de PED a cargo del desarrollo del nuevo sistema, con las responsabilidades inherentes a su funcin. b) Como auditor externo:

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

22

AUDITORIA INFORMATICA

Si nuestra funcin es la de auditor externo, nuestro papel en el desarrollo de sistemas se reduce dado que nuestra responsabilidad sobre los sistemas computarizados de contabilidad se contrae a la que se tiene sobre los sistemas tradicionales de procesamiento de datos y la informacin que la administracin presenta en los estados financieros, pues los sistemas que procesan y producen la informacin contable y financiera son responsabilidad de la administracin y no del auditor, cuyo principal es dictaminar los estados financieros de la empresa. c) Como auditor interno: El auditor interno es por excelencia un experto en control interno, por consiguiente, esta en las mejores condiciones de participar activamente, como una tarea inherente a la funcin que realiza, en el desarrollo de sistemas, y su principal contribucin debe ser asegurar, en forma razonable, que las aplicaciones computarizadas incluyen controles slidos y confiables.

b. Su oportunidad

Como ya se indico, la participacin del auditor interno en el desarrollo de sistemas debe darse precisamente en el desarrollo del mismo, a efecto de que los controles que se consideran necesarios, sean incorporados en las diferentes fases o etapas del desarrollo, ya que una vez funcionando el sistema, es mas difcil y costoso efectuar las modificaciones.

c. Aspectos generales

Normalmente la metodologa utilizada para el desarrollo de sistemas consiste en dividir el esfuerzo. En la construccin del sistema, en etapas o fases que permitan analizar, evaluar, presupuestar y controlar el proyecto total, en una forma sencilla y segura. Tales fases o etapas, claramente definidas, pueden clasificarse as:

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

23

AUDITORIA INFORMATICA

a) Planificacin del sistema Investigacin preliminar Estudio de factibilidad Planificacin inicial

b) Desarrollo de sistemas Desarrollo de modelos solucin Diseo del modelo elegido Programacin y prueba

c) Implantacin del sistema Preparacin de la implantacin Implantacin operativa Revisin post-implantacin y seguimiento

d. Participacin del auditor interno en desarrollo de sistemas

a) Solicitud del usuario: Conocer y verificar la necesidad y sus objetivos. b) Estudio de factibilidad: Conocer el dictamen que justifica el proyecto. Planear la participacin de la auditoria. c) Anlisis del sistema: Determinar los controles de que debe constar el nuevo sistema. d) Diseo del sistema: Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes. e) Programacin: Definir que el programa contemple todos los controles analizados anteriormente.

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

24

AUDITORIA INFORMATICA

f) Implantacin: Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema. g) Documentacin del sistema: Constatar que la documentacin se encuentre completa y debidamente formalizada, revisando las medidas de seguridad adoptadas.

4. ESTUDIO Y INFORMATICA

EVALUACIN

DEL

CONTROL

INTERNO

EN

A continuacin se detallan algunos aspectos a cubrir en el estudio de cada procedimiento a revisar del control interno:

a. Organizacin del centro


Diagrama de organizacin Presupuesto de personal Diagrama de configuracin del sistema PED Control sobre paquetes de software Existencia de reporte de todos los programas y aplicaciones en uso

b. Seguros, contratos, mantenimiento y fianzas


Plizas de seguros Riesgos cubiertos Vigencia de seguros Contratos de proveedores Servicios de mantenimiento

c. Manuales de organizacin
Existencia de manuales de normas y procedimientos

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

25

AUDITORIA INFORMATICA

Separacin de funciones Acceso restringidos a los programadores para operar el sistema

d. Polticas de seguridad
Existencia de planes de contingencia Conocimientos y respaldo de equipos Instrucciones para usos de locales alternos Conocimiento con indicacin de archivos crticos Prioridades para recuperacin de registros

e. Sistemas y medidas de seguridad


Procedimientos escritos del sistema de seguridad Localizacin del centro Acceso al centro Construccin del edificio Registro para el ingreso de personas Uso de gafetes de identificacin

f. Programas de capacitacin

Plan de capacitacin constante para el personal Registro de adiestramiento que se ha dado a cada persona Programas de rotacin de funciones

g. Recepcin de trabajos

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

26

AUDITORIA INFORMATICA

Que la recepcin de trabajo se efecte en base a: ordenes de trabajo, registros adecuados y volantes. Comprueba que los registros de recepcin contengan: Hora de recepcin, numero correlativo de orden de trabajo, descripcin del trabajo y copias en que solicita el reporte.

Existencia de cifras de control

h. Control de calidad

Cotejo de totales entrada/salida Verificacin de listados de errores o inconsistencias Estadsticas por aplicacin de errores detectados

i. Despacho de trabajo

Directorio de usuarios Lista de usuarios autorizados para retirar informacin Controles sobre el envo de reportes

j. Captura de datos

Forma de recepcin de los trabajos Criterios para asignar tareas Formas de reportar los errores detectados en la captura

k. Proceso de datos

Formas de controlar las rdenes de trabajo Existencias de los manuales de operacin de cada aplicacin

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

27

AUDITORIA INFORMATICA

Reportes de tiempos utilizados

l. Cintoteca

Accesos a la cinto teca Control sobre el contenido de cada archivo Uso de etiquetas internas Existencia de un registro de todos los dispositivos de almacenamiento Directorios del contenido de archivos

5. METODOLOGIA PARA REALIZAR AUDITORIAS DE SISTEMAS COMPUTACIONALES


Con el propsito de interpretar adecuadamente las aplicaciones de esta metodologa para realizar auditorias de sistemas, la cual puede ser aplicable para cualquier tipo de auditoria dentro del campo de sistemas, a continuacin presentamos, en forma genrica, todas aquellas fases que se deben considerar en la planificacin.

a. Primera etapa: Planeacin de la auditora en sistemas computacionales

Esta se logra mediante una adecuada planeacin en la cual se deben de identificar claramente las razones por las que se va a realizar la auditoria y la determinacin del objetivo de la misma. Se inicia el estudio de esta etapa de planeacin con los siguientes puntos: Identificar el origen de la auditoria Realizar una visita preliminar al rea que ser evaluada Establecer los objetivos de la auditoria Determinar los puntos que sern evaluados en la auditoria Elaborar planes, programas y presupuestos para realizar la auditoria

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

28

AUDITORIA INFORMATICA

Identificar

seleccionar

los

mtodos,

procedimientos,

instrumentos

herramientas necesarios para la auditoria Asignar los recursos y sistemas computacionales para la auditoria

b. Segunda etapa: Ejecucin de la auditora en sistemas computacionales

El siguiente paso despus de la planeacin de la auditoria es su ejecucin, la cual estar determinada por las caractersticas concretas, los puntos y requerimientos que se estimaron en la etapa de planeacin. Los principales puntos son los siguientes: Realizar las acciones programadas para la auditoria Aplicar los instrumentos y herramientas para la auditoria Identificar y elaborar los documentos de desviaciones encontradas Elaborar el dictamen preliminar y presentarlo a discusin Integrar el legajo de papeles de trabajo de la auditoria

c. Tercera etapa: Dictamen de la auditora en sistemas computacionales

El ltimo paso de la metodologa que ha hecho mencin es emitir el dictamen, el cual es el resultado final de la auditoria de sistemas computacionales. Se presentan los siguientes puntos: Analizar la informacin y elaborar un informe de situaciones detectadas Elaborar el dictamen final Presentar el informe de auditoria

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

29

AUDITORIA INFORMATICA

CONCLUSIONES
La Auditoria Informtica es una rea muy importante para la organizacin ya que se ha convertido en un conjunto de procedimientos y tcnicas para evaluar y controlar, total o parcialmente, un sistema informtico, con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa que la organizacin ha fijado o preestablecido, por lo cual la operatividad de los Sistemas ha de constituir la principal preocupacin del auditor informtico y del conocimiento de los aspectos ms importantes de los trminos informticos, y as poder fomentar controles para asegurar que los objetivos y planes de la empresa diseados para lograrlo se estn llevando a cabo y as definir la importancia de la participacin del auditor en el desarrollo de los sistemas y en la construccin en etapas o fases que permitan analizar, evaluar,

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

30

AUDITORIA INFORMATICA

RECOMENDACIONES

Que la participacin del CPA sea completa, y que forme parte del equipo de Procesamiento Electrnico de Datos a cargo del desarrollo del mismo con las responsabilidades inherentes a su funcin y as participar activamente como una tarea inherente a la funcin que realiza y que su principal funcin deber ser asegurar en forma razonable que las aplicaciones computarizadas incluyen controles slidos y confiables y as poder brindar la asesora correspondiente para beneficio de los objetivos de la organizacin y poder cuidar los activos de la misma y velar porque estos posean seguros, contratos, mantenimiento y fianzas y as poder de crear manuales de organizacin y poder fomentar la segregacin de funciones y accesos restringidos a los programadores para operar el sistema.

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

31

AUDITORIA INFORMATICA

BIBLIOGRAFIA

AUDITORIA EN SISTEMAS COMPUTACIONALES. Carlos Muoz Razo. Editorial Prentice Hall

AUDITORA INFORMTICA EN LA EMPRESA. Juan Jos Archa Itumendi. Ed. Paraninfo.

http://auditoriasistemas.com/auditoria-de-sistemas-informaticos/

Seminario de Casos de Auditora Saln 101, Edificio S-3, Grupo No. 3.

32