Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mag Parte Viii - Auditoria Informatica PDF
Mag Parte Viii - Auditoria Informatica PDF
PARTE N VIII
AUDITORIA INFORMATICA
PROYECTO BID/CGR
MANAGUA NICARAGUA
JULIO, 2009
INDICE
Captulo XXVI
Visin general de la Auditora Informtica
1.
2.
3.
4.
3
3
3
5
Captulo XXVII
Fase I. Planeacin y Programacin de Auditora
1. Planificacin Previa
2. Informacin preliminar que se debe recopilar
2.1 Informacin general
2.2 Seguridad
2.3 Integridad, confiabilidad y disponibilidad de los sistemas de informacin
2.4 Desarrollo, adquisicin, mantenimiento, de los sistemas de informacin
3. Evaluacin de los Sistemas
4. Comprensin del Control Interno
4.1 Evaluacin de los controles
5. Desarrollo de la estrategia de la Auditora
5.1 Establecimiento de trminos de referencia
5.2 Hechos y transacciones de significacin
5.3 Seguimiento de hallazgos y recomendaciones
5.4 Programacin de la estrategia de auditora
5.5 Ajustes a la planeacin de la estrategia
6. Personal participante
7. Programas de auditora
7.1 Evaluacin de poltica y procedimientos
7.2 Evaluacin del diseo lgico de sistemas
7.3 Evaluacin del diseo, control de los sistemas
7.4 Evaluacin de las medidas de seguridad y control de los sistemas
7.5 Respaldo en casos de desastre
7.6 Contratos de mantenimiento
8. Cronograma
Captulo XXVIII
Fase II. Ejecucin de Auditoria Informtica
1. Tcnicas de auditora Informtica
1.1 Tcnica y procedimientos
1.2 Tcnica de auditora asistido por el computador
8
10
10
11
11
11
12
13
13
16
16
18
19
19
20
20
21
22
23
24
24
25
26
27
28
29
29
30
41
42
42
43
43
Captulo XXIX
Fase III. Informe de Auditora Informtica
1. Evaluacin de los hallazgos y conclusiones de auditora
2. Tipos de informe
3. Discusin de Informe
45
47
48
48
Anexos
Modelos de Cuestionarios y programas
1. Cuestionarios
1.1 Revisin de Control Interno general
1.2 Cuestionario sobre planes generales
1.3 Evaluacin del diseo y pruebas de los sistemas
1.4 Cuestionario sobre control de informacin
1.5 Cuestionarios sobe control de operaciones
1.6 Cuestionario sobre controles de salida
1.7 Cuestionario sobre control de medios de almacenamiento
1.8 Cuestionario sobre control de mantenimiento
1.9 Cuestionario sobre orden y cuidado de centro de cmputo
1.10 Cuestionario sobre evaluacin de configuracin del sistema
1.11 Cuestionario sobre evaluacin de la seguridad fsica
1.12 Cuestionario sobre control de inventario
1.13 Cuestionario sobre control de activo fijo
1.14 Cuestionario sobre uso de correo electrnico
2. Programas de auditora
2.1 Programa de anlisis de software
2.2 Programa de apoyo al Software del sistema
2.3 Programa de verificacin del Hardware
2.4 Programa de evaluacin del diseo lgico
2.5 Programa de evaluacin del desarrollo de los sistemas
2.6 Programa de evaluacin de los instructivos de operacin
2.7 Programa de evaluacin de los controles
2.8 Programa de verificacin de la seguridad fsica
2.9 Programa de verificacin de la seguridad en la utilizacin de equipos
2.10 Programa de verificacin de la seguridad al restaurar el equipo
2.11 Programa de verificacin de la seguridad de la informacin
50
51
51
53
55
56
59
64
65
68
70
71
72
79
80
81
82
82
86
87
88
90
91
92
93
95
97
98
CAPITULO XXVI
VISION GENERAL DE LA AUDITORIA INFORMATICA
Captulo
1
MAG 2009
Captulo XXVI
Visin General de la Auditora Informtica
Captulo
2
MAG 2009
2. Objetivos
La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de
informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y
con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros
de informacin, hardware y software).
El objetivo general de la auditora informtica recae en emitir una opinin sobre los procesos
claves de control de los sistemas informticos, utilizando como criterios de comparacin los
Principios Generales y Normas Bsicas de Controles Estndares, disposiciones legales,
reglamentarias, normativas y/o polticas aplicables a la Entidad u Organismo auditado, as como
la evaluacin de a efectividad de sus sistemas de informacin que integran y conforman el control
interno computarizado.
Los objetivos generales de la auditoria de tecnologas de la informacin, son:
Comprobar el control interno de la entidad, verificando sus puntos fuertes y dbiles.
Verificar el cumplimiento de las polticas, normas y procedimientos que rigen las tecnologas de
la informacin.
Comprobar una seguridad razonable de los recursos (datos, tecnologas, instalaciones, personal y
aplicaciones), cumpliendo con los objetivos de control y los objetivos generales del negocio.
Captulo
3
MAG 2009
3.
Normas de Auditora
Captulo
4
MAG 2009
Captulo
5
MAG 2009
CAPITULO XXVII
PLANEACION Y PROGRAMACION DE AUDITORIA
6
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA
MAG 2009
Captulo XXVII
Planeacin y programacin de la auditora
El plan de auditora debe estar basado en la comprensin de las actividades de las entidades, sus
sistemas de administracin y control, la naturaleza de las transacciones que realiza y las leyes y
reglamentos que le aplican. Debe ser documentado como parte integral de los papeles de trabajo
y modificado, cuando sea necesario durante el transcurso de la auditoria.
La planeacin es imprescindible para todo tipo de trabajo, cualquiera sea su tamao. Sin una
adecuada planeacin es prcticamente imposible obtener efectividad y eficiencia en la ejecucin
de los trabajos, debe ser cuidadosa y creativa, positiva e imaginativa y tener en cuenta
alternativas para realizar las tareas, seleccionando lo mtodos ms apropiados, es decir,
determinando un enfoque de auditora adecuado y prctico, acorde con las circunstancias.
Las Normas de Auditoras Gubernamentales de Nicaragua (NAGUN) establecen que Para cada
auditora se elaborar un plan de trabajo especfico y en lo particular a la auditora Informtica
indican:
NAGUN 10.10
Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de
pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del
organismo a auditar, sus sistemas, organizacin y equipo.
En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla
desde el punto de vista de los dos objetivos:
a)
b)
1. Para que un proceso de auditora de tecnologa de la informacin tenga xito debe comenzar
por obtener un diagnostico con informacin verdadera y a tiempo de lo que sucede en la
organizacin bajo anlisis, esta obtencin de la informacin debe ser planeada en forma
estructurada para garantizar una generacin de datos que ayuden posteriormente su anlisis.
Es un ciclo continuo en el cual se planea la recoleccin de datos, se analiza, se retroalimentan
y se da un seguimiento.
2. Se deber obtener informacin general sobre la organizacin y
informtica a evaluar. Para ello es preciso hacer una investigacin
entrevistas previas, con base en esto planear el programa de trabajo,
tiempo, costo, personal necesario y documentos auxiliares a solicitar
desarrollo de la misma.
sobre la funcin de
preliminar y algunas
el cual deber incluir
o formular durante el
7
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA
MAG 2009
3. Se deber obtener una comprensin suficiente del ambiente total que revisar. Este
conocimiento debe incluir una comprensin general de las diversas prcticas, el diseo
conceptual, polticas de gestin, formas de registro, niveles de seguridad y uso de las
comunicaciones para la gestin de la informacin y funciones de la auditora, as como los
tipos de sistemas de informacin que se utilizan.
El proceso de planeacin comprende las siguientes etapas:
1. Planeacin Previa
2. Evaluacin de los sistemas
3. Comprensin del Control interno
4. Desarrollo de la estrategia de la auditoria
5. Personal
6. Programas de auditora
1. Planeacin previa
Dentro del proceso de planeacin se debe obtener o actualizar el conocimiento acerca de la
actividad de la Entidad u Organismo para establecer:
a) Alcance de trabajo;
b) Actividad y riesgo inherente computarizados;
d) Ambiente de control;
e) Polticas significativas.
Se deber efectuar una investigacin preliminar para observar el estado general del rea, su
situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y
la fecha de su ltima actualizacin.
Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una
de las reas basndose en los siguientes puntos:
Administracin:
Se recopila la informacin para obtener una visin general del rea de informtica por medio
de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el
objetivo y alcances de la auditora.
La informacin a solicitar puede ser:
8
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA
MAG 2009
Estudios de viabilidad.
Nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por
instalar y programados)
Fechas de instalacin de los equipos y planes de instalacin.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuracin de los equipos y capacidades actuales y mximas.
Planes de expansin.
Ubicacin general de los equipos.
Polticas de operacin.
Polticas de uso de los equipos.
Sistemas
Descripcin general de los sistemas instalados y de los que estn por instalarse que
contengan volmenes de informacin.
Manual de formas.
Manual de procedimientos de los sistemas.
Descripcin genrica.
Diagramas de entrada, archivos, salida.
Salidas.
Fecha de instalacin de los sistemas.
Proyecto de instalacin de nuevos sistemas.
MAG 2009
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin
fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.
MAG 2009
2.2 Seguridad
Conocer el perodo de los reportes facilitados para las gerencias de los sistemas de
aplicacin.
MAG 2009
MAG 2009
En lo referente a la consulta a los usuarios, el plan estratgico debe definir los requerimientos
de informacin de la dependencia.
Qu estudios van a ser realizados al respecto?
Qu metodologa se utilizar para dichos estudios?
Quin administrar y realizar dichos estudios?
En el rea de auditora interna debe evaluarse cul ha sido la participacin del auditor y los
controles establecidos.
13
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA
MAG 2009
14
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA
MAG 2009
g) Controles de existencia:
Sirven para asegurar la continua disponibilidad de los recursos del sistema; como por
ejemplo: vaciados de la base de datos, bitcora estatus de recursos, procedimientos de
recuperacin, mantenimiento preventivo, puntos de verificacin, puntos de reinicio,
duplicacin de hardware, etc.
h) Controles de proteccin de activos
Sirven para asegurarse que todos los recursos del sistema estn protegidos contra
destruccin o deterioro; como por ejemplo: extinguidores, barreras fsicas, passwords,
cajas fuertes contra incendio, semforos, etc.;
i) Controles de efectividad:
Sirven para asegurar que los sistemas logran su objetivos; como por ejemplo: encuestas de
satisfaccin de usuarios, monitoreo de la influencias de uso, medicin de los niveles de
servicios, estudios de factibilidad auditorias post-implementacin, etc.;
j) Controles de eficiencia:
Sirven para asegurarse que en los sistemas se hace un uso ptimo de sus recursos al lograr
sus objetivos; como por ejemplo: bitcora de uso de recursos, programas monitores,
anlisis costo-beneficio, cargos medidos a usuarios, etc.
4.2 Comprensin de la legislacin aplicable
Est relacionada con el uso adecuado de la tecnologa de la informacin, entre ellos:
a. Propiedad intelectual
b. Contrato de licencia
c. Copia no autorizada
d. Piratera
e. Equipos personales y servidores,
f. Accesorios, unidades disponibles de disco,
g. software
15
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA
MAG 2009
16
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA
MAG 2009
5.2
Las informaciones obtenidas en esta etapa debern servir de base para que a manera de
sntesis en el Memorando de Planeacin ilustre la informacin sobre antecedentes con nfasis
en los cambios ocurridos en el ltimo ao, al menos lo siguiente:
a) Comprensin de la Entidad y de sus Ambiente
Al planificar una auditora, el Auditor Informtico debe tener una comprensin suficiente del
ambiente total que revisar. Este conocimiento debe incluir una comprensin general de las
diversas prcticas y funciones de la auditora, as como los tipos de sistemas de informacin
que se utilizan. Tambin, debe comprender el ambiente normativo del negocio. Ejemplo: A
un banco se le exigir requisitos de integridad de sistemas de informacin y de control que no
estn presente en una empresa comercial.
Los pasos que puede llevar a cabo un Auditor Informtico para obtener una comprensin de la
Entidad pueden incluir:
MAG 2009
18
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA
MAG 2009
MAG 2009
Personal participante
Una de las partes ms importantes dentro de la planeacin de la auditora en informtica es la
designacin del personal que deber participar y sus caractersticas. Se debe considerar las
caractersticas de conocimientos, prctica profesional y capacitacin que debe tener el
personal que intervendr en la auditora.
En primer lugar se debe pensar que hay personal asignado por la organizacin, con el
suficiente nivel para poder coordinar el desarrollo de la auditora, proporcionar toda la
informacin que se solicite y programar las reuniones y entrevistas requeridas.
Tambin se debe contar con personas asignadas por los usuarios para que en el momento que
se solicite informacin o bien se efecte alguna entrevista de comprobacin de hiptesis, nos
proporcionen aquello que se est solicitando, y complementen el grupo multidisciplinario, ya
que se debe analizar no slo el punto de vista de la direccin de informtica, sino tambin el
del usuario del sistema.
Para completar el grupo, como colaboradores directos en la realizacin de la auditora se
deben tener personas con las siguientes caractersticas:
Tcnico en informtica.
Experiencia en el rea de informtica.
Experiencia en operacin y anlisis de sistemas.
Conocimientos de los sistemas ms importantes.
20
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA
MAG 2009
Programas de auditora
PROGRAMAS DE AUDITORIA
MAG 2009
22
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA
MAG 2009
La auditora en sistemas debe evaluar los documentos y registros usados en la elaboracin del
sistema, as como todas las salidas y reportes, la descripcin de las actividades de flujo de la
informacin y de procedimientos, los archivos almacenados, su uso y su relacin con otros
archivos y sistemas, su frecuencia de acceso, su conservacin, su seguridad y control, la
documentacin propuesta, las entradas y salidas del sistema y los documentos fuentes a
usarse. Con la informacin obtenida podemos contestar a las siguientes preguntas:
7.2
Entradas.
Salidas.
Procesos.
Especificaciones de datos.
Especificaciones de proceso.
Mtodos de acceso.
Operaciones.
Manipulacin de datos (antes y despus del proceso electrnico de datos).
Proceso lgico necesario para producir informes.
Identificacin de archivos, tamao de los campos y registros.
Proceso en lnea o lote y su justificacin.
Frecuencia y volmenes de operacin.
Sistemas de seguridad.
Sistemas de control.
Responsables.
23
MAG 2009
Nmero de usuarios.
Evaluacin del diseo, control de los sistemas
7.3
Se debern auditar los programas, su diseo, el leguaje utilizado, interconexin entre los
programas y caractersticas del hardware empleado (total o parcial) para el desarrollo del
sistema. Al evaluar un sistema de informacin se tendr presente que todo sistema debe
proporcionar informacin para planear, organizar y controlar de manera eficaz y oportuna,
para reducir la duplicidad de datos y de reportes y obtener una mayor seguridad en la forma
ms econmica posible. Es importante considerar las variables que afectan a un sistema:
ubicacin en los niveles de la organizacin, el tamao y los recursos que utiliza.
7.4 Evaluacin de las medidas de seguridad y control de los sistemas
Se debern disear programas de auditora para evaluar las medidas de seguridad fsica, de
respaldo, seguridad lgica, en la utilizacin del equipo, en la recuperacin de equipos de
cmputos.
En tal sentido se debern incluir procedimientos para evaluar lo siguiente:
Todo riesgo
24
MAG 2009
a.
Daos determinados
Seguro contra averas
Seguro de fidelidad
Seguro contra interrupcin del negocio; cubre las perdidas que sufriran la empresa
en el caso que las actividades informticas se interrumpiesen.
Plan de desastre, respaldo y recuperacin.
25
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA
MAG 2009
MAG 2009
Cronograma
El control del avance de la auditora es fundamental para el logro eficiente de la misma por
lo que se deber elaborar un cronograma de ejecucin que defina las reas y tiempos
asignados para su cumplimiento, lo cual permitir el seguimiento a los procedimientos de
control y asegurarnos que el trabajo se est llevando a cabo de acuerdo con el programa de
auditora, con los recursos estimados y en el tiempo sealado en la planeacin.
27
Captulo XXVII PLANEACION DE LA AUDITORIA INFORMATICA
MAG 2009
CAPITULO XXVIII
EJECUCION DE LA AUDITORIA DE INFORMATICA
28
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA
MAG 2009
Captulo XXVIII
Ejecucin de la Auditora informtica
Esta etapa de la auditora consiste en el desarrollo de los procedimientos contenidos en los
programas de auditora a travs de tcnicas de auditora.
Evidencias de auditoras y papeles de trabajo
Las Normas de Auditora Gubernamental de Nicaragua indican la obligatoriedad de Obtener
Evidencia Suficiente, Competente y Pertinente para sustentar los hallazgos de auditora.
Los papeles de trabajo de una auditora de sistemas constituyen el sustento del trabajo llevado a
cabo por el auditor especialista, as como de los comentarios, conclusiones y recomendaciones
incluidos en su informe, representado por la evidencia en ellos contenida.
La organizacin de centros de cmputos, seguridad de los sistemas de control y practicas de
control, la administracin de los sistemas de informacin, los procesos mismos de datos, la
integridad, confiabilidad, confidencialidad y disponibilidad que brindan los sistemas
computacionales, el desarrollo, adquisicin y mantenimiento de los sistemas son tpicos y casi
seguro de la importancia para el control de los registros que soporta la cifras y controles de
cualquier reporte importante para una entidad, en su sentido amplio, constituyen un conjunto de
aseveraciones o declaraciones formuladas por la administracin en torno a los resultados de su
gestin.
Los papeles de trabajo de la auditora debern mostrar los detalles de la evidencia, la forma de su
obtencin, las pruebas a que fue sometido y las conclusiones sobre su validez.
Los papeles de trabajo son propiedad absoluta del auditor condicionando su uso nicamente a los
propsitos de su revisin y soporte de los resultados obtenidos.
1. Tcnicas de Auditora
Para la obtencin de evidencias se pueden utilizar diversos tipos de tcnicas y procedimientos de
auditora, de los cuales destacan el anlisis de datos, ya que para las organizaciones el conjunto
de datos o informacin son de tal importancia que es necesario verificarlos y comprobarlos;
utilizando diversas tcnicas para el anlisis de datos, las cuales se describen a continuacin:
1.1 Tcnicas y procedimientos
a) Cuestionarios
El trabajo de campo del auditor consiste en lograr toda la informacin necesaria para la
emisin de un juicio global objetivo, siempre amparado en hechos demostrables, llamados
tambin evidencias.
29
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA
MAG 2009
Se envan cuestionarios preimpresos a las personas concretas que el auditor cree adecuadas,
sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas
reas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis
determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de
ambos tipos de informacin es una de las bases fundamentales de la auditora. Se recomienda
solo hacer preguntas necesarias, que permitan alcanzar el objetivo; preguntas sencillas y
directas, no hacerlas abiertas, porque dificultan el anlisis.
b) Entrevistas
El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres
formas:
La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste
recoge ms informacin, y mejor matizada, que la proporcionada por medios propios
puramente tcnicos o por las respuestas escritas a cuestionarios.
Para el caso del auditor informtico, siempre tienen que ser su entrevista preparada y con
preguntas sistematizadas, que en un ambiente de cordialidad le permita al usuario dar la
informacin que el auditor requiere, de una manera sencilla.
c) Checklist
Adems del chequeo de los Sistemas, el auditor somete al auditado a una serie de
cuestionario. Dichos cuestionarios, llamados Check List, tienen que ser comprendidas por el
auditor al pie de la letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a
obtener resultados distintos a los esperados.
30
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA
MAG 2009
La Check List puede llegar a explicar cmo ocurren los hechos pero no por qu ocurren. El
cuestionario debe estar subordinado a la regla, a la norma, al mtodo.
El profesionalismo para utilizar los checklist, pasa por un procesamiento interno de
informacin a fin de obtener respuestas coherentes que permitan una correcta descripcin de
puntos dbiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que
han de formularse flexiblemente. Salvo excepciones, las Checklists deben ser contestadas
oralmente, ya que superan en riqueza y generalizacin a cualquier otra forma.
El auditado, habitualmente informtico de profesin, percibe con cierta facilidad el perfil
tcnico y los conocimientos del auditor, precisamente a travs de las preguntas que ste le
formula. Esta percepcin configura el principio de autoridad y prestigio que el auditor debe
poseer.
Tipos de Check List:
Rango
Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido. Despus
se hacen preguntas, mismas a las que se les dio una ponderacin y despus bajo promedio
aritmtico, se relacionado con el rango preestablecido.
Los Checklists de rango son adecuados si el equipo auditor no es muy grande y mantiene
criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisin en la
evaluacin que en los checklist binarios. Sin embargo, la bondad del mtodo depende
excesivamente de la formacin y competencia del equipo auditor.
Binaria
Es la constituida por preguntas con respuesta nica y excluyente: Si o No. Aritmticamente,
equivalen a 1(uno) o 0(cero), respectivamente. Los Checklists Binarios siguen una
elaboracin inicial mucho ms ardua y compleja.
Deben ser de gran precisin, como corresponde a la suma precisin de la respuesta. Una vez
construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el
inconveniente genrico del <si o no> frente a la mayor riqueza del intervalo.
d) Comparacin de programas
Esta tcnica se emplea para efectuar una comparacin de cdigo (fuente, objeto o comandos
de proceso) entre la versin de un programa en ejecucin y la versin de un programa piloto
que ha sido modificado en forma indebida, para encontrar diferencias.
31
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA
MAG 2009
32
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA
MAG 2009
l) Log
Consiste en el historial que informa que fue cambiando y cmo fue cambiando la
informacin.
i) Software de auditora
Los productos Software especiales para la auditora informtica se orientan principalmente
hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la empresa
auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los
internos disponen del software nativo propio de la instalacin.
Del mismo modo, la proliferacin de las redes locales y de la filosofa "Cliente-Servidor",
han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre
computadoras personales y mainframe, de modo que el auditor informtico copia en su
propia PC la informacin ms relevante para su trabajo.
33
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA
MAG 2009
Informe de Excepciones.
Un mismo programa puede seleccionar diversos tipos de excepciones. Algunos
ejemplos de informes de excepciones incluyen:
- Impresin de las cuentas por cobrar que supera un determinado monto o que estn
vencidas;
- Impresin de pagos posteriores a una fecha determinada;
- Impresin de items potencialmente obsoletos, de baja rotacin o de aquellos con
existencia excesiva.
34
MAG 2009
Seleccin de muestras.
Las muestras pueden ser seleccionadas automticamente entre diversas alternativas,
incluyendo muestreos estratificados, seleccin sistemtica o seleccin con
probabilidad proporcional al tamao. Los ejemplos de aplicacin de muestreo
incluyen:
- Confirmaciones de cuentas por cobrar, cuentas de ahorro, cuentas de prstamos y
cuentas por pagar-,
- Anlisis de desembolsos;
- Seleccin de existencias para su inspeccin fsica.
Prueba o ejecucin de clculos.
Los programas de recuperacin y anlisis pueden ser utilizados para probar los
clculos, ya sea rehaciendo los mismos, o mediante comprobaciones globales de
razonabilidad Los ejemplos de clculos que pueden ser probados incluyen:
Prueba de imputaciones.
Los programas de recuperacin y anlisis pueden ser utilizados para verificar el
registro de transacciones en las cuentas del mayor general, acumulando las
transacciones detalladas para su conciliacin con los totales resultantes del
procesamiento real, como por ejemplo la distribucin de:
- Compras a cuentas por pagar y a rubros de activos, existencia y/o gastos;
- Anlisis de ventas;
- Remuneraciones a las correspondientes cuentas de costos;
Totales de archivos.
Los programas de recuperacin y anlisis pueden ser utilizados para revisar las sumas
y multiplicaciones en los registros individuales contenidos en los archivos, a fin de que
los montos puedan ser comparados con los registros externos. Algunos ejemplos son:
- Suma de saldos de los registros individuales de cuentas de deudores para su
conciliacin con el saldo del libro mayor;
- Producto de las unidades de existencias por su costo para su conciliacin con el
monto de existencia registrada.
35
MAG 2009
MAG 2009
La mayora de los sistemas con captura interactiva estn diseados para rechazar
transacciones invlidas sin dejar huellas de dicho rechazo;
37
MAG 2009
- Es fcil de usar y las pruebas en ser instaladas con un mnimo de interrupcin en los
sistemas de aplicacin;
Las pruebas en lneas pueden ser usadas para evaluar los controles en contra de
accesos no autorizados.
38
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA
MAG 2009
MAG 2009
MAG 2009
-Procedimientos de muestreo;
41
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA
MAG 2009
Documentacin.
Manuales de usuario, tcnicos y procedimientos.
Cambios en los programas.
Solicitud por escrito.
Pruebas por parte de los usuarios.
42
MAG 2009
MAG 2009
d) Privilegios solicitados;
e) Identificacin para la terminal;
e) Tiempo de inicio y de fin de la seccin;
f) Nmero de intentos antes de lograrse conectarse;
g) Recursos proporcionados y negados;
h) Privilegios proporcionados y negados.
44
Captulo XXVIII EJECUCION DE LA AUDITORIA INFORMATICA
MAG 2009
CAPITULO XXIX
INFORME DE AUDITORIA INFORMATICA
45
Captulo XXIX
MAG 2009
Captulo XXIX
Informe de Auditora
Las normas relativas al informe de auditora definen que se prepare un informe por escrito que
contenga los resultados obtenidos por la auditora, con sus conclusiones, observaciones,
recomendaciones y comentarios procedentes, especificando los criterios tcnicos para su
elaboracin, contenido y presentacin.
Siendo el informe el documento formal, y el producto final de la Auditoria de SI, en el cual se
establecen la naturaleza, alcance y resultados de nuestros procedimientos de auditoria, su
importancia es fundamental, pues resulta ser el documento que le interesa a la Entidad Auditada.
Las Normas de Auditora Gubernamental de Nicaragua en lo que respecta a la Auditora de
Informtica indican:
NAGUN 10.30
INFORME DE AUDITORIA
Carta de envo
2.
MAG 2009
1.
47
Captulo XXIX
MAG 2009
Tipos de informes
Por los objetivos de la auditora practicada los informes pueden emitirse:
3.
Discusin de informes
48
Captulo XXIX
MAG 2009
49
Captulo XXIX
MAG 2009
ANEXOS
50
ANEXOS
MAG 2009
ANEXOS
Esta seccin presenta modelos de cuestionarios y programas de auditora que el Auditor
Informtico puede utilizar como gua en la preparacin de Cuestionarios, entrevistas y programas
a la medida.
1. Cuestionarios
1.1 Revisin de Control Interno General
REF
PREGUNTAS
1. Actualmente se cuenta con una grfica de la
organizacin?
2.
SI
NO N/A OBSERVACIONES
51
ANEXOS
MAG 2009
52
ANEXOS
MAG 2009
PREGUNTAS
SI
NO
N/A OBSERVACIONES
MAG 2009
54
ANEXOS
MAG 2009
PREGUNTAS
SI
NO
N/A
MAG 2009
ANEXOS
MAG 2009
57
ANEXOS
MAG 2009
MAG 2009
) NO (
) NO ( )
SI (
) Anual (
SI (
SI (
) NO ( )
) NO ( )
8. Existe un control que asegure la justificacin de los procesos en el computador? (Que los
procesos que se estn autorizados y tengan una razn de ser procesados.
SI ( ) NO ( )
9. Cmo programan los operadores los trabajos dentro del departamento de cmputo? Primero
que entra, primero que sale, se respetan las prioridades, Otra (especifique)
59
ANEXOS
MAG 2009
10. Los retrasos o incumplimiento con el programa de operacin diaria, se revisa y analiza?
SI ( ) NO (
MAG 2009
26. Verificar que exista un registro de funcionamiento que muestre el tiempo de paros y
mantenimiento o instalaciones de software.
________________________________________________________________________
________________________________________________________________________
27.Existen procedimientos para evitar las corridas de programas no autorizados?
SI (
)
NO (
)
28. Existe un plan definido para el cambio de turno de operaciones que evite el descontrol y
discontinuidad de la operacin.
________________________________________________________________________
________________________________________________________________________
29. Verificar que sea razonable el plan para coordinar el cambio de turno.
________________________________________________________________________
________________________________________________________________________
30. Se hacen inspecciones peridicas de muestreo?
SI (
) NO (
)
61
ANEXOS
MAG 2009
34. Verifique que los privilegios del operador se restrinjan a aquellos que le son asignados a la
clasificacin de seguridad de operador.
________________________________________________________________________
________________________________________________________________________
35. Existen procedimientos formales que se deban observar antes de que sean aceptados en
operacin, sistemas nuevos o modificaciones a los mismos?
SI (
) NO (
)
________________________________________________________________________
________________________________________________________________________
36. Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con las
versiones anteriores?
SI (
) NO (
)
________________________________________________________________________
________________________________________________________________________
37. Durante cuanto tiempo?
________________________________________________________________________
________________________________________________________________________
38. Que precauciones se toman durante el periodo de implantacin?
________________________________________________________________________
________________________________________________________________________
39. Quin da la aprobacin formal cuando las corridas de prueba de un sistema modificado o
nuevo estn acordes con los instructivos de operacin.
________________________________________________________________________
________________________________________________________________________
40. Se catalogan los programas liberados para produccin rutinaria?
SI (
) NO (
)
________________________________________________________________________
________________________________________________________________________
41. Mencione que instructivos se proporcionan a las personas que intervienen en la operacin
rutinaria de un sistema.
________________________________________________________________________
________________________________________________________________________
42. Indique que tipo de controles tiene sobre los archivos magnticos de los archivos de datos,
que aseguren la utilizacin de los datos precisos en los procesos correspondientes.
________________________________________________________________________
________________________________________________________________________
62
ANEXOS
MAG 2009
43. Existe un lugar para archivar las bitcoras del sistema del equipo de cmputo? SI ( ) NO ( )
________________________________________________________________________
________________________________________________________________________
44. Indique como est organizado este archivo de bitcora.
Por fecha (
) por fecha y hora (
) por turno de operacin (
) Otros (
63
ANEXOS
MAG 2009
MAG 2009
) NO (
MAG 2009
SI (
) NO (
SI (
) NO (
SI (
) NO (
SI (
) NO (
MAG 2009
) NO (
23. En los procesos que manejan archivos en lnea, Existen procedimientos para recuperar los
archivos?
SI (
) NO (
)
24. Estos procedimientos los conocen los operadores?
SI (
) NO (
) ANUAL (
SI (
)
)
) NO (
) NO (
SI (
67
ANEXOS
MAG 2009
68
ANEXOS
MAG 2009
PREGUNTAS
1. Especifique el tipo de contrato de mantenimiento que se tiene (solicitar copia del contrato).
___________________________________________________________________________
___________________________________________________________________________
SI (
) NO (
) NO (
5. Solicite el plan de mantenimiento preventivo que debe ser proporcionado por el proveedor.SI (
) NO (
)
6. Cmo se notifican las fallas?
___________________________________________________________________________
___________________________________________________________________________
69
ANEXOS
MAG 2009
)
)
)
Quincenalmente (
Bimestralmente (
Otra (especifique) (
)
)
)
SI (
) NO (
) NO (
4. Son funcionales los muebles asignados para el archivo de a cintas, discos y otros?
SI (
) NO (
) NO ( )
70
ANEXOS
MAG 2009
) NO ( )
4. De ser negativa la respuesta al inciso anterior, explique las causas por las que no puede ser
cancelado o cambiado. _______________________________________________________
5. El sistema de cmputo tiene capacidad de teleproceso?
SI (
) NO ( )
SI (
) NO ( )
7. En caso negativo, exponga los motivos por los cuales no utiliza el teleproceso? SI ( ) NO ( )
7. Cuntas terminales se tienen conectadas al sistema de cmputo?
___________________________________________________________________________
8.
SI (
) NO ( )
71
ANEXOS
MAG 2009
) NO (
SI (
(
(
SI (
) NO (
SI (
) NO (
)
)
72
ANEXOS
MAG 2009
SI (
) NO (
SI (
) NO (
9. Se registran las acciones de los operadores para evitar que realicen algunas pruebas que
puedan daar los sistemas?.
SI (
) NO (
)
10. Existe vigilancia en el departamento de cmputo las 24 horas?
SI (
) NO (
11. Existe vigilancia a la entrada del departamento de cmputo las 24 horas? a) Vigilante ? ( )
b) Recepcionista? (
) c) Tarjeta de control de acceso ? (
) d) Nadie? (
)
12. Se permite el acceso a los archivos y programas a los programadores, analistas y
operadores?
SI (
) NO (
)
13. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda
entrar sin autorizacin?
SI (
) NO (
)
14. El edificio donde se encuentra la computadora est situado a salvo de:
a) Inundacin?
(
)
b) Terremoto?
(
)
c) Fuego?
(
)
d) Sabotaje?
(
)
15. El centro de cmputo tiene salida al exterior al exterior?
SI (
) NO (
) NO (
MAG 2009
)
)
SI (
) NO (
SI (
) NO (
(
(
(
)
)
)
NO
)
)
)
(
(
(
)
)
)
) NO ( )
30. Si es que existen extintores automticos son activador por detectores automticos de fuego?
SI ( ) NO (
)
31. Si los extintores automticos son a base de agua Se han tomado medidas para evitar que el
agua cause ms dao que el fuego?
SI (
) NO (
)
32. Si los extintores automticos son a base de gas, Se ha tomado medidas para evitar que el
gas cause mas dao que el fuego?
SI (
) NO (
)
74
ANEXOS
MAG 2009
33. Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automticos para
que el personal
a) Corte la accin de los extintores por tratarse de falsas alarmas?
b) Pueda cortar la energa Elctrica
c) Pueda abandonar el local sin peligro de intoxicacin
d) Es inmediata su accin?
SI (
SI (
SI (
SI (
) NO (
) NO (
) NO (
) NO (
)
)
)
)
34. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para
alcanzarlos?
SI (
) NO (
)
35. Saben que hacer los operadores del departamento de cmputo, en caso de que ocurra una
emergencia ocasionado por fuego?
SI ( ) NO (
)
36. El personal ajeno a operacin sabe que hacer en el caso de una emergencia (incendio)?
SI (
) NO (
SI (
(
(
(
) NO (
)
)
)
39. Se revisa frecuentemente que no est abierta o descompuesta la cerradura de esta puerta y de
las ventanas, si es que existen?
SI (
) NO (
)
40. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en
caso de emergencia?
SI (
) NO (
)
41. Se ha tomado medidas para minimizar la posibilidad de fuego:
a) Evitando artculos inflamables en el departamento de cmputo? ( )
b) Prohibiendo fumar a los operadores en el interior? ( )
c) Vigilando y manteniendo el sistema elctrico? ( )
d) No se ha previsto ( )
42. Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del
departamento de cmputo para evitar daos al equipo?
SI (
) NO (
)
43. Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? SI (
) NO ( )
75
ANEXOS
MAG 2009
SI (
) NO ( )
49. Indique el nmero de copias que se mantienen, de acuerdo con la forma en que se clasifique
la informacin:
___________________________________________________________________________
___________________________________________________________________________
50. Existe departamento de auditoria interna en la institucin?
SI (
) NO (
51. Este departamento de auditoria interna conoce todos los aspectos de los sistemas?
SI ( ) NO (
SI (
) NO ( )
SI (
) NO ( )
)
)
)
76
ANEXOS
MAG 2009
)
)
60.Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado?
SI (
) NO (
)
)
)
) NO (
MAG 2009
(
(
(
(
(
(
(
(
) Archivos Magnticos_______________________________________________
) Operacin del equipo de computacin__________________________________
) En cuanto al acceso de personal_______________________________________
) Identificacin del personal___________________________________________
) Policia___________________________________________________________
) Seguros contra robo e incendio_______________________________________
) Cajas de seguridad_________________________________________________
) Otras (especifique)_________________________________________________
78
ANEXOS
MAG 2009
PREGUNTAS
1. Se almacenan
sistemtica?
2.
las
existencias
SI
en
una
NO N/A OBSERVACIONES
forma
8.
9.
MAG 2009
1.13
REF
PREGUNTAS
SI
NO N/A OBSERVACIONES
MAG 2009
1.14
REF
PREGUNTAS
1. . Cul es su categora profesional?
Alto mando, medio mando, operativo,
analista, secretaria, otro?
SI
NO N/A OBSERVACIONES
adecuada
justificada
su
MAG 2009
2. Programas de auditora
2.1 Programa de anlisis de Software
HECHO INDICE
FECHA
I. Objetivos
Verificar la seguridad, control de los sistemas, seguridad,
calidad de la informacin y sistemas en uso para
determinar la efectividad y eficiencia de los mismos.
II.
Procedimientos
Software del Sistema
3.
82
ANEXOS
MAG 2009
5. Efecte
revisin
de
los
equipos
microcomputadores existentes y compruebe:
de
MAG 2009
f.
Programacin
Online,
permite
a
los
programadores trabajar desde puntos remotos del
equipo central
7.
8.
9.
MAG 2009
13.
85
ANEXOS
MAG 2009
I.
FECHA
Objetivos
II.
Procedimientos
1.
2.
3.
Compruebe
la
aprobacin
implementacin del software de
nuevos y/o modificaciones al
existente (v. gr., nuevas versiones
software)
de
la
sistemas
software
de dicho
4.
5.
86
ANEXOS
MAG 2009
FECHA
I. Objetivos
Comprobar la seguridad, calidad y uso eficiente de los
Hardware de la Entidad
II. Procedimientos
1. Para el sistema central de la computadora y
Marca, modelo
Sistema Operativo, versin
Ubicacin
Aos de instalacin
de la computadora?
3. Asegrese de que cualesquier cambios a los
sistemas de aplicacin se documenten
adecuadamente.
4. Que
87
ANEXOS
MAG 2009
2.4
I.
FECHA
Objetivos
Procedimientos
88
ANEXOS
MAG 2009
2.
3.
4.
5.
89
ANEXOS
MAG 2009
2.5
FECHA
Objetivos
Procedimientos
1.
2.
3.
MAG 2009
2.6
I.
FECHA
Objetivos
Evaluar los instructivos de operacin de los
sistemas para evitar que los programadores
tengan acceso a los sistemas en operacin, y el
contenido mnimo de los instructivos de
operacin se puedan verificar mediante el
siguiente cuestionario.
II.
Procedimientos
91
ANEXOS
MAG 2009
FECHA
Objetivos
II.
Procedimientos
1.
2.
3.
4.
5.
92
ANEXOS
MAG 2009
6.
7.
8.
ANEXOS
MAG 2009
FECHA
Objetivos
Procedimientos
1.
2.
Verifique lo siguiente:
94
ANEXOS
MAG 2009
FECHA
Objetivos
Procedimientos
MAG 2009
96
ANEXOS
MAG 2009
2.10
FECHA
Objetivos
1.
Procedimientos
de los procedimientos de
recuperacin y reinicio de la informacin, se
contemplar los procedimientos operativos de
los recursos fsicos como hardware y
comunicaciones, planeando la utilizacin de
equipos que permitan seguir operando en
caso de falta de la corriente elctrica,
caminos alternos de comunicacin y
utilizacin de instalaciones de cmputo
similares.
97
ANEXOS
MAG 2009
Describa brevemente los procesos del cliente para autorizar el acceso a la informacin y para
asignar los privilegios de acceso a los usuarios:
98
ANEXOS
MAG 2009
Quin es el responsable de asignar los privilegios de acceso a los usuarios (es decir, de
fijar los parmetros de software que restringen o permiten ciertos tipos de acceso a
cierta informacin)?
MAG 2009
En la tabla siguiente, relacione todos los grupos (internos y externos) cuyo acceso fsico est
permitido a este ambiente de procesamiento de la computadora. Por cada grupo, indique si se le
ha otorgado acceso completo o restringido e indique la naturaleza de las restricciones.
Grupo
Fuente
100
ANEXOS
MAG 2009
En la tabla siguiente, relacione el software de administracin de la base de datos usado por los
sistemas de aplicacin soportados por este ambiente de procesamiento de la computadora y los
sistemas de aplicacin correspondientes.
Software de Administracin de la Base Sistemas de Aplicacin
de Datos
la
Apoyo a la Red
Describa brevemente el uso de redes del cliente, incluyendo las ubicaciones conectadas a la red,
los ciclos y actividades de negocios y que estn soportados por los sistemas de aplicacin en la
red, y las interrelaciones dentro de la red. Considere adjuntar un diagrama general de la red, si
hay alguno disponible.
En la tabla siguiente, relacione el software del sistema de administracin de la red usado por el
cliente:
Software del Sistema de Administracin de la Red
101
ANEXOS
MAG 2009