Auditoria de Sistemas –IS-547

Ingeniería de Sistemas

AUDITORIA DE LOS PROCESOS DE DATOS SEM

5

PROCESAMIENTO DE DATOS

 Es la técnica que consiste en la recolección de los datos primarios de entrada,

que son evaluados y ordenados, para obtener información útil. Que luego serán
analizados por el usuario final, para que pueda tomar las decisiones o realizar
las acciones que estime conveniente
 Los pasos a seguir para el procesamiento de datos son:
 En primer lugar el objetivo es graficar el Procesamiento de Datos,
elaborando un diagrama que permita identificar las entradas, archivos,
programas y salidas de cada uno de los procesos (BPM).
 Su antecedente es el Diagrama de flujo.
 Los elementos claves son los programas.
 Se confecciona el Diagrama de Procesamiento de Datos.
 Este Diagrama no se podrá elaborar por completo desde un primer
momento ya que depende del flujo de información.
 En este primer paso solo se identifican las Salidas y Programas. Los
elementos restantes se identifican en forma genérica.
 ¿Qué son los Datos? Son los hechos que describen sucesos y entidades. La
importancia de los datos está en su capacidad de asociarse dentro de un
contexto para convertirse en información.
 ¿Qué es la Información? Es una colección de hechos significativos y
pertinentes, para el organismo u organización que los percibe.
 El trabajo del auditor, tradicionalmente se ha caracterizado por la gran cantidad
de tiempo que consume, sin embargo, esa gran cantidad de tiempo en muchos
casos es dedicada a actividades muy laboriosas y sobre todo repetitivas.

PROCESAMIENTO ELECTRONICO DE DATOS El proceso electrónico de

datos (PED) representa el principal avance técnico logrado en el mundo de los
negocios. Los sistemas PED pueden manejar un gran número de diversas
tareas, desde procesar una sencilla nómina hasta simular los efectos que
diferentes alternativas de decisión producirían en todas las operaciones de una
empresa.
Un sistema de PED consta de los siguientes elementos:
1. Un procesador electrónico de datos
EGM Página 1 de 6
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

2. El equipo periférico asociado, formado por dispositivos de preparación de

datos, de su entrada y salida, etc.
3. Procedimientos para indicar que datos se necesitan y cuando, así como
donde obtenerlos y en que forma utilizarlos.
4. Rutinas de instrucción para el procesador.
5. Personal para operar, conservar y mantener el equipo, para analizar y
establecer procedimientos, para preparar instrucciones, proporcionar datos de
entrada, utilizar informes, revisar resultados y supervisar la operación en su
totalidad.
CONTROLES DEL SISTEMA DE PROCESAMIENTO DE DATOS
El Control Interno: Es el plan de organización y todos los métodos
coordinados y medidas adaptadas dentro de un negocio para salvaguardar sus
activos, verificar la exactitud y confiabilidad de sus datos, mejorar la eficiencia
de las operaciones y alentar el apego a las políticas directivas. La utilización
del PED requiere emplear nuevos controles y talvez ha disminuido ciertas
medidas tradicionales de control.
El mejor punto de partida para evaluar el control interno es la documentación,
después de observar las actividades de procesamiento de datos, e interrogar a
las personas encargadas de desempeñar esas actividades. Esta revisión es
necesaria para determinar la existencia de un sistema, así como para evaluar
los controles empleados para respetar las normas y el logro de eficiencia en las
operaciones. El auditor tiene que probar el sistema de procesamiento de datos
para determinar la existencia y efectividad de los procedimientos del cliente, así
como de los controles programados. Al probar los sistemas, el auditor deberá
elaborar los datos de prueba para determinar con exactitud como reaccionará
un sistema de procesamiento especifico ante determinado tipo de
transacciones.
Control del Programa del Cliente, es solicitar sorpresivamente el PED,
duplicarlo para el control del auditor y usarlo en el procesamiento de los datos
de prueba, también el auditor puede solicitar datos previamente procesados y
compararlos con los datos.
PED:
Se pueden realizar de tres formas:
 Análisis de excepción : Durante la ejecución de un programa
informático. Cuando ocurre cierto tipo de error, el sistema reacciona
ejecutando un fragmento de código que resuelve la situación, por

EGM Página 2 de 6
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

ejemplo retornando un mensaje de error o devolviendo un valor por

defecto.

El manejo de excepciones ayuda al programador a trasladar el código

para manejo de errores de la línea principal de ejecución, además se
puede elegir entre manejar todas las excepciones, las de cierto tipo o de
las de grupos relacionados, esto hace que la probabilidad de pasar por
alto los errores se reduzca y a la vez hace los programas más robustos.
Pero es importante utilizar un lenguaje de programación que soporte
este manejo, de lo contrario el procesamiento de errores no estará
incluido y hará el programa más vulnerable. Este manejo está diseñado
para procesar errores que ocurren cuando se ejecuta una instrucción,
algunos ejemplos son: desbordamiento aritmético, división entre cero,
parámetros inválidos de método y asignación fallida en la memoria. Sin
embargo, no está diseñado para procesar problemas con eventos
independientes al programa como son pulsar una tecla o click al mouse.

 Selección de Muestras
 Pruebas detalladas y cálculos

EVALUACION DEL DISEÑO LOGICO DEL SISTEMA

En esta etapa se deberán analizar las especificaciones del sistema

 Que deberá hacer

 Como lo deberá hacer
 Cual es la justificación para que se haga de la manera señalada
 Cual es la secuencia y ocurrencia de los datos
 La definición del proceso
 Los archivos y bases de datos utilizados
 Las salidas y reportes

BASES DE DATOS
Es el conjunto de datos que guardan entre sí una coherencia temática independiente
del medio de almacenamiento. La cantidad de información que contiene un banco de
datos suele ser muy grande.

Se considera que una base de datos es la organización sistemática de archivos de

datos para facilitar su acceso, recuperación y actualización, los cuales están
relacionados unos con otros y son tratados como una entidad. Puede decirse que una
BD, es un banco de datos organizado.

EGM Página 3 de 6
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

El DBMS (data base managment system= sistema de administración de bases de

datos) es un conjunto de programas que permite manejar cómodamente una base de
datos

En la base de datos se debe evaluar:

 La independencia de los datos. Muchos de los programas elaborados

internamente eran dependientes de los archivos creados por ellos mismos,
osea que carecían de independencia. La falta de independencia significa que
cada vez que un archivo es cambiado, todo programa que accesa a ese
archivo debe ser cambiado.
 Redundancia de los datos: Se deben evitar las redundancias en las bases de
datos
 Consistencia de los datos: Evitar la omisión de los datos

Un sistema de bases de datos es un conjunto de programas que:

 Almacena los datos en forma uniforme y de manera consistente

 Organiza los datos en archivos en forma uniforme y consistente
 Permite el acceso a la información en forma uniforme y consistente
 Elimina la redundancia innecesaria en los archivos

Los componentes a evaluar dentro de una base de datos son:

 Diccionario/directorio de datos
 Lenguajes de datos (lenguajes de descripción de datos: DDL; Lenguajes de
manipulación de datos: DML
 Monitoreo de teleproceso
 Herramientas de desarrollo de aplicaciones
 Software de seguridad
 Sistemas de almacenamiento, respaldo y recuperación
 Reporteadores
 Query languages (SQL: structure query language ó lenguaje de consulta
estructurada)
 Bases de datos de multiplataformas
 Web server software (world wide web: www)

ANALISIS DE INFORMES
Una vez que se han estudiado los formatos de entrada debemos analizar los informes
para posteriormente evaluarlos con la información proporcionada por la encuesta a los
usuarios.

RUIDO, REDUNDANCIA, ENTROPIA

En la auditoria de sistemas hay que estudiar la redundancia, el ruido y la entropía que
tiene cada uno de los sistemas

Comunicación: La transferencia de información del emisor al receptor.

EGM Página 4 de 6
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

El ruido es todo aquello que interfiere en una adecuada comunicación; no solamente

los sonidos sino todo aquello que impida la adecuada comunicación. Cualquier cosa
(sea en el emisor, en la transmisión o en el receptor) que obstaculiza la
comunicación

La redundancia es toda aquella duplicidad que tiene el sistema con la finalidad de

que, en caso de que exista ruido, permita que la información llegue al receptor en
forma adecuada.

Ejemplo

Llego por avión el día martes 25 de agosto de 2020 del presente año, a las
16:00 hrs. de la tarde a la ciudad de Cancun, Quinta Roo, Mexico-

En el mensaje anterior tenemos excesiva redundancia debido a que el 25 de agosto

de 2020 es martes y si estamos en 2020 es del presente año. Las 16:00 hrs. siempre
serán de la tarde y la ciudad de Cancún esta solo en el estado de Quintana Roo,
México. En cambio, puede ser incompleta, ya que no se especifica la línea aérea ni
el vuelo en que llegara.

La entropía es la cantidad de energía que por su degradación puede aprovecharse

La entropía en un sistema, por ejemplo, de un motor, es el calor que genera, en el cual

la energía que por sus características no puede aprovecharse. En el caso del sistema
llamado motor se utiliza esta entropía.

En un sistema computarizado debemos procurar reducir al máximo esta entropía, y

una de las formas de reducirla es interconectar sistemas, de tal manera que esa
cantidad de energía no usada en un sistema pueda ser utilizada en otro sistema.

Ejm: Al capturar el catálogo de clientes para el sistema de cobranzas, con un poco de

información adicional lo podemos utilizar en contabilidad.

CONTROLES DE LOS DATOS

Los datos son uno de los recursos más valiosos de las organizaciones, y, aunque son
intangibles, necesitan ser controlados y auditados con el mismo cuidado que los
demás inventarios de la organización, por lo cual se debe tener presente:

 La responsabilidad de los datos es compartida conjuntamente por alguna

función determinada de la organización y la dirección de tecnologías de
información.
 Un problema que se debe considerar es el que se origina por la duplicidad ríos
posibles (principalmente en el caso de redes y banco de datos) y la
responsabilidad de su actualización y consistencia
 Los datos deberán tener una clasificación estándar y un mecanismo de
identificación que permita detectar duplicidad y redundancia dentro de una
aplicación y de todas las aplicaciones en general
 Se deben relacionar los elementos de los datos con las bases de datos donde
están almacenados, así como los reportes y grupos de procesos donde son
generados.

EGM Página 5 de 6
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

Políticas de respaldo:

Los respaldos de la información deben realizarse mensual, semanal o diario y se

deben observar los siguientes puntos:

 Contar con políticas formales por escrito para efectuar los respaldos
mensuales, semanales y diarios de la información.
 Todos los medios magnéticos de respaldo no deben estar almacenados en un
mismo lugar
 Debe tenerse acceso restringido al área donde se tienen los medios
magnéticos de almacenamiento.
 Identificar los medios por fecha, concepto y otros
 Contar con una política que indique los procedimientos a seguir en cuanto al
almacenamiento de los medios de almacenamiento.

POLÍTICAS Y PROCEDIMIENTOS

Las políticas existentes deben estar actualizadas en todas las actividades,

estar debidamente documentadas y ser del conocimiento del personal.

No contar con políticas y procedimientos actualizados que rijan la

administración del área de sistemas podría ocasionar:

 Administración inadecuada de la operación

 Relajamiento en el cumplimiento de las obligaciones del personal
 Inadecuada división de labores

Las políticas y procedimientos deben incluir los siguientes puntos:

 Seguridad de la información (física y lógica)

 Adquisición de hardware y software
 Operación del centro de datos

EGM Página 6 de 6