desarrollo del silabo de sistemas computacionales de auditoria
DESCRIPTION
SISTEMAS COMPUTARIZADOSTRANSCRIPT
UNIVERSIDAD ESTATAL DEL SUR DE MANABI Creada mediante Ley N 2001-38, publicada en el Registro Oficial 261 del 7 de Febrero del 2001 CARRERA DE INGENIERA EN AUDITORIA
DESARROLLO DEL SILABO DE SISTEMAS COMPUTACIONALES DEAUDITORIAUnidad N 1ASPECTOS GENERALES DE LA AUDITORA DE SISTEMAS.
INTRODUCCINCada da es mayor el nmero de situaciones irregulares que se presentan, como consecuencia del uso y aplicacin de la Tecnologa de Informacin (T. I.), en las diferentes organizaciones, entidades, empresas y compaas en general.El conocimiento de esta tecnologa se ha ampliado a todas las esferas; la gente aprende cada da ms, se vuelve ms estudiosa y conocedora, pero no todos estn orientados puramente al conocimiento como aumento de calidad en todos los campos; a algunos les interesa aprender ms que todo, para ver cmo efectan o generan irregularidades en provecho propio, o que como producto de lo que conocen, adquieren destreza para utilizarlas con fines alevosos y malintencionados; situacin que ligada a la prdida de valores morales, ticos y religiosos en todos los niveles y estratos de la sociedad, ha originado todo tipo de acciones fraudulentas, y que se haga imposible para la administracin, establecer controles que disminuyan los riesgos presentados.Aunado a lo anterior, las aperturas comerciales, la globalizacin, las alianzas estratgicas, y las integraciones de todo tipo, de alguna manera han venido a complicar la situacin en cuanto al sistema de control interno se refiere; tambin han recargado las funciones que deben realizar los auditores.Los aspectos citados han generado tambin, un desajuste en todos los campos relacionados con la T. I.; nadie sabe qu hacer, ni cmo hacerlo; unos dicen:"...eso no me corresponde a m, "le toca" a los tcnicos expertos en cmputo."Los informticos manifiestan:"...los usuarios no colaboran, no saben lo que quieren..."La Alta Administracin, no participa y delega en otros las funciones y actividades que le corresponden.Los usuarios jefes, nicamente solicitan trabajos a cmputo, sin participacin activa, y dicen:"...Yo no s de cmputo, pero entiendo que todo es muy fcil..."La Auditora Interna, ha participado muy poco en todos los procesos, ms que todo por desconocimiento y por temor a perder la independencia, tambin por influencia de la Alta Administracin, quien no los deja"participar".La Auditora en Sistemas de Informacin (ASI): se ha preocupado ms en las revisiones posteriores de lo ya realizado (cuando ya es tarde), que en el establecimiento de controles preventivos.Todos los aspectos citados, han tenido gran influencia en la situacin actual de los sistemas de informacin diseados y desarrollados en la mayora de nuestras organizaciones; situacin que debe cambiar ya, (debi cambiar hace unos 20 ms aos), y somos nosotros, los mismos auditores quienes debemos ser agentes de este cambio.POSICIN ACTUAL DE LA AUDITORALa mayor preocupacin de los auditores hoy en da, en especial los que no son auditores de sistemas de informacin, y algunos de stos tambin, es poder utilizar el computador para realizar las auditoras "por dentro del mismo", en la revisin de los datos que contiene; y no se han dado cuenta todava, (a pesar de estar tan avanzada esta especializacin, tanto en mtodos, tcnicas, pronunciamientos, tecnologa, y herramientas, as como en el tiempo), que esta tarea es muy sencilla y que, ms que todo es parte sustancial de la Auditora Financiera.Esta parte de las pruebas en la ASI es importante tambin, pero no lo de mayor peso; es lo ltimo que se lleva a cabo, en la parte de la evaluacin de sistemas en operacin.Por estar pendientes de lo anterior, no han querido hacer, ms que todo porque piensan o creen que no estn realizando ASI, lo que verdaderamente les corresponde llevar a cabo: evaluar los procesos que no requieren de un computador para efectuarlo, como son: Gestin Informtica. Controles Generales. Procesos de Adquisiciones. Planificacin. Seguridad. Mantenimiento de Equipo y Sistemas. Diseo y Desarrollo de Sistemas. Evaluacin y Anlisis de Riesgos.No se debe perder de vista que el control de la calidad debe estar al inicio de los procesos, no al final cuando ya el producto est terminado; tal vez con defectos o fallas de origen, que se presentan precisamente por la falta de visin y revisin en la parte inicial de todo proyecto, que es en donde se plantean las bases para el mismo; adems, estas fallas o deficiencias son muy difciles de corregir, y si se logra, resulta con un alto costo de recursos para la organizacin, adems de la desmotivacin y frustracin del personal que particip en su desarrollo, y del consecuente "enojo" con los auditores por efectuar las revisiones y criticar cuando el trabajo est terminado y no al principio que es cuando ellos lo necesitan, como soporte, colaboracin y ayuda a su labor.
EL CAMBIOSi desean continuar revisando al final, no existe nada que lo impida, pero es importante que nos propongamos a realizar el cambio que se necesita, para que se atiendan una serie de aspectos que se han dejado de lado y que son bsicos para lograr que se diseen sistemas de informacin como los requieren nuestras organizaciones y que tengan las protecciones, seguridades y controles que permitan su adecuado y correcto funcionamiento, y que soporten los embates de los que intenten violentarlos para cometer actos irregulares.Este cambio se refiere a que dejemos de ser REVISORES y nos convirtamos en ASESORES Y CONSULTORES, en aquellos puntos o aspectos de la T.I. en que se ha venido fallando desde sus inicios con el computador ENIAC en 1945, como es el:"CICLO DE VIDA DEL DESARROLLO DE SISTEMAS" (CVDS)y algunos otros conceptos relacionados con l.Es en este campo en donde reside el fundamento y la base de: Los Sistemas de Informacin. La aplicacin correcta de la Tecnologa de Informacin. La administracin de la informacin. El sistema de control interno. La Auditora de Sistemas de Informacin. Los procesos de Reingeniera. Los Sistemas como soporte de la Productividad.APLICACIN DEL CAMBIOSe debe aprovechar la T. I. para aplicar los conceptos de la Reingeniera; por lo tanto si queremos verdaderamente colaborar con nuestras entidades, debemos comenzar por efectuar reingeniera en nuestra forma de realizar las actividades de auditora, (disminucin de papeles de trabajo; menos procedimientos y procesos; eliminacin de tareas paralelas; aumento en la participacin y mayor valor agregado), si deseamos que los Sistemas de Informacin cumplan con la funcin para los cuales se conciben y desarrollan, entonces variemos sustancialmente la forma de realizar nuestro trabajo, de ahora en adelante (ahora significa HOY, no la espera de otros 10 15 aos) vamos a:ASESORAR, NO A REVISAR.El CVDS se divide para efectos de su aplicacin en dos partes: Tcnica Administrativa.La primera de ellas se conoce y se est manejando bastante bien, aunque slo sea por los tcnicos en Informtica y Cmputo; slo resta que le hagamos ver a la Alta Administracin, que deben velar porque los tcnicos mencionados, la lleven a cabo en todos sus extremos y que se cumpla a cabalidad con todos sus requisitos esenciales, que se citan a continuacin: reas de Control (Planificacin; Diseo; Desarrollo e Implantacin) Etapas correspondientes a cada rea de control, independientemente de la metodologa que se emplee. Actividades de cada una de las etapas Productos Finales de cada una de las etapas Participantes en el proceso total.Realizando esta parte con cuidado y esmero, con la participacin de todos los involucrados y el apoyo irrestricto de la Alta Direccin, y agregando los aspectos que se citan en la parte administrativa, se podr en un futuro cercano, contar con sistemas de informacin que cumplan su verdadera misin:"Suministrar datos e informacin que soporten la toma de decisiones, a todos los niveles de la organizacin, con lo que asisten a la consecucin de objetivos y metas."Debe tenerse muy en cuenta que ambas partes citadas deben verse como una sola a la hora de desarrollar una aplicacin, no puede ni debe desligarse una de la otra, y por ms bien que funcione una de ellas, si la otra no funciona de igual manera, continuaremos con la cantilena de siempre:" que los sistemas de informacin no estn bien...";para no decirlo de otra manera.As que tambin debe ponrsele mayor atencin todava, a la segunda de las partes citadas, ya que sta no depende en absoluto de los tcnicos, sino ms bien de la Administracin, y es en este captulo en donde se ha estado fallando mucho, ms que todo por: Falta de involucracin de la Alta Direccin Dejar en manos de los tcnicos todo el proceso Exigencias e imposiciones de la Alta Direccin Necesidad de los tcnicos de cumplir con lo solicitado aunque no est bien definido Falta de integracin El tomar la herramienta de cmputo como un ente "solucionador de problemas" El no saber distinguir los diferentes tipos de sistemas de informacin La ausencia de Polticas, Estndares y Procedimientos El desconocimiento de lo que es el CVDS y el grado de participacin de los involucrados.TIPOS DE AUDITORA Existen algunos tipos de Auditora entre las que la Auditora de Sistemas integra un mundo paralelo pero diferente ypeculiar resaltando su enfoque a la funcin informtica.Es necesario recalcar como anlisis de este cuadro que Auditora de Sistemas no es lo mismo que Auditora Financiera.Entre los principales enfoques de Auditora tenemos los siguientes:Financiera:Veracidad de Estados FinancierosPreparacin de Informes de Acuerdo a los Principios Contables
OperacionalEvala: EficienciaEficaciaEconoma
Sistemas:Se preocupa de la funcin Informtica
Fiscal:Se dedica a observar el cumplimiento de la Leyes Fiscales.
AdministrativaAnaliza:Logros de los Objetivos de la AdministracinDesempeo de Funciones administrativas
CalidadEvala:Mtodos Mediciones ControlesDe los bienes y servicios
Social:Revisa la contribucin a la sociedad as como la participacin en actividades socialmente orientadas.
REAS A ASESORARDebido a la labor de revisores que se ha venido efectuando, tarea que no ha dado un aporte significativo a la administracin, la Auditora de Sistemas debe tomar una nueva orientacin: convertirse en ASESORES y CONSULTORES de la Alta Administracin, en aquellos campos que han sido"delegados"casi en exclusiva, a los tcnicos en cmputo. Estos campos especficos son: Estudios Administrativos, Polticas, Estndares y Procedimientos, Mejoramiento del CVDS, Planificacin, Administracin de Proyectos, Seguridad y Procesos de Adquisiciones, entre otros. Las mejoras en los puntos citados, dar sistemas de informacin acordes con la Tecnologa de Informacin y con los objetivos de toda entidad.A continuacin se enumeran y en algunos casos se detallan, las reas que se consideran de mayor importancia, dentro del CVDS, en las que los auditores pueden asesorar a la Alta Direccin, y a los encargados de llevar a cabo los procesos de diseo y desarrollo.POLTICAS, ESTNDARES Y PROCEDIMIENTOSEs esencial para todo proceso computacional que estos tres conceptos se redacten, se integren en manuales, se divulguen, se apliquen y se establezcan sanciones para quienes los incumplan o traten de hacerlo.Las metodologas y tcnicas de desarrollo que se apliquen deben estar sustentadas en estos tres conceptos.PLANIFICACINLos planes de cmputo en cuanto a: Desarrollo Mantenimiento Adquisiciones Educacin Vacaciones Contingencias Recuperacin en Caso de Desastrey cualquier otro relacionado, deben estar por escrito, actualizados, ser divulgados y conocidos, adems, deben estar integrados con los planes generales de la organizacin, en los tres conceptos tradicionales de: Estratgico Tctico y Operativo.Deben adicionarse e integrarse los comits, de Informtica y de Usuarios, as como los puntos claves o crticos de control, como parte del proceso de planificacin.ESTUDIOS ADMINISTRATIVOS PREVIOSDebe establecerse como poltica que antes de iniciar el diseo y desarrollo de cualquier aplicacin, se realice un estudio administrativo/operativo del sistema, con el fin de detectar, antes de computadorizarlo, cualquier problema, anomala, deficiencia o situacin que requiera atencin, para no trasladar estas situaciones a la aplicacin una vez automatizada.Este estudio servir a la vez para revisar los procesos, procedimientos, funciones, tareas, tiempos, movimientos, etc., que de alguna manera se utilice tambin, para realizar reingeniera; adems, ser de gran ayuda, como "entrada" al estudio de factibilidad.Es importante que este estudio se efecte totalmente antes de iniciar cualquier proceso relacionado con el desarrollo del sistema, y que las recomendaciones, disposiciones, y normativa que emanen de l, se pongan a funcionar antes de iniciar el diseo de la aplicacin bajo estudio.
ESTUDIO DE FACTIBILIDADLos objetivos de control exigen que para todo sistema que se disee, debe realizarse un estudio de factibilidad, previa definicin de requerimientos, y para cada una de las opciones revisadas, sugeridas y evaluadas, que comprenda al menos tres factibilidades:4.1 Factibilidad TecnolgicaQue la tecnologa seleccionada funcionar de manera correcta y adecuada, y sin menoscabo del sistema, una vez puesto en operacin y por la vida del mismo. Que la aplicacin soportar cambios sustanciales en la tecnologa sin tener que realizar modificaciones importantes en l.4.2 Factibilidad OperacionalQue el sistema una vez puesto en operacin funcionar de acuerdo con los criterios bajo los cuales se dise y que no ofrecer problemas de carcter tcnico ni administrativo.4.3 Factibilidad Econmico / FinancieraQue los beneficios (tangibles e intangibles) y ahorros superen a los costos; que los ndices financieros que se calculen sean aceptables, de acuerdo con polticas y estndares generales y especficos; que el proyecto tenga contenido econmico y est contemplado en el presupuesto respectivo.Como mnimo deben calcularse las siguientes razones: Tasa Interna de Retorno Valor Neto Presente Perodo de Recuperacin Y, el total de los beneficios netos.Dependiendo de los resultados de este estudio se determinar si se contina o no con el proyecto.PRODUCTOS TERMINADOSLos proyectos computacionales de desarrollo deben cumplir con todos los productos finales de cada una de las etapas en que se divide el CVDS, cualquiera que sea la metodologa que se haya empleado.Adems, estos productos finales deben estar revisados, probados y aprobados por los usuarios.ADMINISTRACIN DE PROYECTOSEl diseo y desarrollo de un sistema, as como el mantenimiento mayor, debe manejarse como un verdadero proyecto; como tal deben establecerse los procedimientos y medios para lograrlo.Los aspectos que deben ser tomados en cuenta, entre otros, son: Definicin del grupo de trabajo (Comit de Usuarios) Designacin del Administrador del Proyecto (Representante de la Alta Direccin) Establecimiento de las actividades a realizar, en detalle Definicin del cronograma de actividades Establecimiento de fechas de reuniones de seguimiento Clculos y redaccin de Presupuestos en horas y dinero Redaccin de minutas Forma de contabilizar los costos Asignacin de tareas adicionalesSEGURIDADEste concepto, tan dejado de lado muchas veces, es de vital importancia en todos los procesos de las organizaciones; se debe insistir para que se le d el valor que tiene, en especial en los procesos computacionales; los sistemas de informacin deben contar, desde su implantacin, con los esquemas de seguridad que los protegen contra los intentos no autorizados a sus datos, archivos y programas. Deben establecerse dos niveles de seguridad: Seguridad Fsica. Seguridad Lgica.Adems de la gestin administrativa / operativa que debe realizarse en cuanto a la misma; administracin que debe contemplar la integracin de todos los aspectos de seguridad que imperen en la entidad.PROCESOS DE ADQUISICIONESLos procesos de compra de Tecnologa de Informacin, deben estar sustentados en Polticas, Procedimientos, Reglamentos y Normatividad en General, que aseguren que todo el proceso se realiza en un marco de legalidad y cumpliendo con las verdaderas necesidades de la organizacin para hoy y el futuro, sin caer en omisiones, excesos o incumplimientos.O T R O SEl auditor de sistemas de informacin puede, dentro de su planificacin, revisar si existen debilidades en otras reas de su empresa, en la que pueda asistirlos y ayudarlos como asesor y consultor, de esta manera podemos decir que entraremos en un cambio de siglo, con nuevos conceptos, actitudes y mentalidades para realizar nuestra labor, dndole un nfasis mucho ms atractivo para los auditados, cual es el"VALOR AGREGADO"en nuestras recomendaciones.CONCEPTO DE AUDITORIA DE SISTEMAS.Es el examen o revisin de carcter objetivo (independiente), crtico (evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados, con el fin de emitir una opinin profesional (imparcial) con respecto a: Eficiencia en el uso de los recursos informticos. Validez de la informacin Efectividad de los controles establecidos.
OBJETIVOS GENERALES DE UNA AUDITORA DE SISTEMAS Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el PAD Incrementar la satisfaccin de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones. Apoyo de funcin informtica a las metas y objetivos de la organizacin. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico. Minimizar existencias de riesgos en el uso de Tecnologa de informacin. Decisiones de inversin y gastos innecesarios. Capacitacin y educacin sobre controles en los Sistemas de Informacin. h) Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin.CARACTERSTICAS DE LA AUDITORIA DE SISTEMAS.La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un activo Real de la misma, como sus stocks o materias primas si las hay. Por ende, han de realizarse inversiones informticas. Del mismo modo, los sistemas informticos han de protegerse de modo global y particular: A ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la Auditora de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas.Cuando se producen cambios estructurales en la informtica, se reorganiza de alguna forma su funcin: Se esta en el campo de la Auditora de Organizacin Informtica.Estos tres tipos de Auditora engloban a las actividades auditoras que se realizan en una Auditora parcial. De otra manera: cuando se realiza una Auditora del rea de Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas.a) Sntomas de Necesidad de una Auditora Informtica:Las empresas acuden a las Auditora externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparsen en clases:b) Sntomas de descoordinacin y Desorganizacin:- No coinciden los objetivos de la informtica de la compaa y de la propia compaa- Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente. ( Puede suceder con algn cambio masivo de personal, o en una reestructuracin fallida de alguna rea o en la modificacin de alguna norma importante.)c) Sntomas de mala imagen e insatisfaccin de los usuarios:- No se atienden las peticiones de cambios de los usuarios. (Ej. Cambios de software en los terminales de usuario, refrescamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc.)- No se reparan las averas de hardware, no se resuelven incidencias en plazos razonables. El usuario percibe que esta abandonado y desatendido permanentemente.- No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en al actividad del usuario, en especial en los resultados de aplicaciones criticas y sensibles.d) Sntomas de debilidades econmico - financiero:
- Incremento desmesurado de costos- Necesidad de justificacin de inversiones informticas (La empresa no esta absolutamente convencida de tal necesidad y decide contrastar opiniones)- Desviaciones presupuestarias significativas- Costos y plazos de nuevos proyectos (deben auditarse simultneamente a desarrollo de proyectos y al rgano que realizo la peticin).e) Sntomas de inseguridad: Evaluacin de riesgos- Seguridad Lgica- Seguridad Fsica- Confidencialidad (Los datos son de propiedad inicialmente de la organizacin que los genera. Los datos de personal son especialmente confidenciales)- Continuidad del servicio. Establece la estrategias de continuidad entre fallo mediante planes de contingencia.(- Centro de proceso de datos fuera de control. Si tal situacin llegara a percibirse, sera prcticamente intil la Auditora. El sntoma debe ser sustituido por el mnimo indicio.
JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORIA.a) Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos)b) Desconocimiento en el nivel directivo de la situacin informtica de la empresac) Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacind) Descubrimiento de grandes efectuados con el computadore) Falta de planificacin informticaf) Organizacin que no funciona correctamente, falta de polticas, objetivos, normas metodologa, asignacin de tareas y adecuada administracin del recurso humano.g) Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados
Unidad N 2TIPOS Y CLASES DE AUDITORAS INFORMTICAS Y LAS TICS. Dentro de las reasgenerales, es posible establecer las siguientes divisiones: a)AuditoriaInformticadeExplotacin b) Que esAuditoriaInformticadeSistemas? c) Que esAuditoriaInformticadeComunicaciones? d)Auditoria Informticade Desarrollode Proyectos e) Que esAuditoriaInformticadeSeguridad?Debe evaluarse la diferencia entre la generalidad y la especificacin que posee la Seguridad. Segn ella, realizarse una Auditoria Informtica de la Seguridad del entorno global de la informtica, mientras en otros casos puede auditarse una aplicacin concreta, en donde ser necesario analizar la seguridad de la misma. Cada rea especfica puede ser auditada con los criterios que detallamos: Desde su propia funcionalidad interna. Con el apoyo que recibe de la Direccin, y en forma ascendente, del grado de cumplimiento de las directrices deque sta imparte. Desde la visin de los usuarios, destinatarios verdaderos de la informtica. Desde el punto de vista de la seguridad, que ofrece la Informtica en general o la rama auditada.Las combinaciones descritas pueden ser ampliadas o reducidas, segn las caractersticas de la empresa auditada. Las Auditorias ms usuales son las referidas a las actividades especficas e internas de la propia actividad informtica.a) AUDITORIA INFORMTICA DE EXPLOTACIN La Explotacin Informtica se ocupa de producir resultados informticas de todo tipo: listados impresos, archivos magnticos para otros informticos, rdenes automatizadas para lanzar o modificar procesos industriales, etc.Para realizar la Explotacin informtica se dispone de materia prima los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad. La transformacin se realiza por medio del Proceso Informtico, el cual est dirigido por programas. Obtenido elproducto final, los resultados son sometidos a controles de calidad, y finalmente son distribuidos al cliente, al usuario. En ocasiones, el propio cliente realiza funciones de reelaboracin del producto terminado.Para mantener el criterio finalista y utilitario, el concepto de centro productivo ayuda a la elaboracin de la Auditoria de la Explotacin. Auditar Explotacin consiste en auditar las secciones que lacomponen y sus interrelaciones.Las Bsicas son la planificacin de la produccin y la produccin misma de resultados informticos. El auditor debe tener en cuenta que la organizacin informtica est supeditada a la obtencin de resultados en plazo y calidad, siendo subsidiario a corto plazo cualquier otro objetivo.Se quiere insistir nuevamente en que la Operatividad es prioritaria, al igual que el plan crtico diariode produccin que debe ser protegido a todacosta.Control de entrada de datosSe analiza la captura de informacin, plazos y agenda de tratamiento y entrega de datos, correccin en la transmisin de datos entre plataformas, verificacin de controles de integridad y calidad dedatos se realizan de acuerdo a Norma.Planificacin y Recepcin de AplicacionesSe auditarn las normas de entrega de Aplicaciones, verificando cumplimiento y calidad de interlocutor nico. Debern realizarse muestras selectas de la documentacin de las Aplicaciones explotadas. Se analizarn las Libreras que los contienen en cuanto a su organizacin y en lo relacionado con la existencia de Planificadores automticos osemiautomticos.Centro de Control y Seguimiento deTrabajosSe analizar cmose prepara, selanza y se sigue la produccin diaria delos procesos Batch, o en tiempo real(Teleproceso).Las Aplicaciones de Teleproceso estn activas y la funcin de Explotacin se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe buena parte delos efectivos de Explotacin. Este grupo determinael xito de la explotacin,ya que es el factor ms importante en el mantenimiento de la produccin.Operadores de Centros de Cmputos Es la nica profesin informtica con trabajo de noche. Destaca el factor de responsabilidad ante incidencias y desperfectos. Se analiza las relaciones personales, coherencia de cargos y salarios, la equidadde turnos de trabajos.Se verificar la existencia de un responsable del Centro de Cmputos el grado de automatizacin de comandos, existencia y grado de uso de Manuales de Operacin, existencia de planes de formacin, cumplimiento de los mismos y el tiempo transcurrido para cada operador desde el ltimoCurso recibido.Se analizar cantidad de montajes diarios y por horas de cintas o cartuchos, as como los tiempos transcurridos entre la peticin de montaje por parte del Sistema hasta el montaje real.Centro de Control de Redy Centro de DiagnosisEl Centro de Control de Red suele ubicarse en el rea de Explotacin. Sus funciones se refieren al mbito de Comunicaciones, estando relacionado con la organizacin de Comunicaciones Software de Tcnica deSistemas.Debe analizarse la fluidez de esa relacin y el grado de coordinacin entre ambos, se verificar la existencia de un punto focal nico, desde el cual sean perceptibles todas las lneas asociadas a los Sistemas.El Centro de Diagnosis (Help-desk) es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufrido averas o incidencias, tanto de software como de hardware. En funcin delcometido descrito, y en cuanto a software, est relacionado con el Centrode Control de Red.El Centro de Diagnosis indicado para empresas grandes y usuarios dispersos en un amplio territorio, es un elemento que contribuye a configurar la imagen de la Informtica de la Empresa. Debe ser auditado desde esta perspectiva, desde la sensibilidad del usuario sobre elservicio que se ledispensa.
b) AUDITORIA INFORMTICA DE SISTEMASSe ocupa de analizar la actividad propia de lo que se conoce como "Tcnica de Sistemas "en todas sus facetas. En la actualidad, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado, aunque formen parte del entorno general de "Sistemas".Vamos a detallar los grupos a revisar:a) Sistemas Operativos Proporcionados por el fabricante junto al equipo. Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Los Sistemas deben estar actualizados con las ltimas versiones del fabricante, indagando las causas de las omisiones si stas se han producido. El anlisis de las versiones de los S.O. permite descubrir posibles incompatibilidades entre algunos productos de Software adquiridos por la instalacin y determinadas versiones.Deben revisarse los parmetros de las Libreras importantes de los Sistemas, especialmente si difieren de los valores aconsejados por elconstructor.b) Software BsicoConjunto de productos que, sin pertenecer al Sistema Operativo, configuran completamente los Sistemas Informticos, haciendo posible la reutilizacin de funciones bsicas no incluidas en aqul. Cmo distinguir ambos conceptos ?La respuesta tiene un carctereconmico.El Software bsico, o parte de l es abonado por el cliente a la firma constructora, mientras el Sistema Operativo y algunos programas muy bsicos, se incorporan a la mquina sin cargo al cliente.Es difcil decidir si una funcin debe ser incluida en el SO o puede ser omitida. Con independencia del inters terico que pueda tener la discusin de si una funcin es o no integrante del SO, para el auditor es fundamental conocer los productos de software bsico que han sido facturados aparte.Los conceptos de Sistema Operativo y Software Bsico tienen fronteras comunes, la poltica comercial de cada Compaa y sus relaciones con los clientes determinan el precio ylos productos gratuitos y facturables.Otra parte importante del Software Bsico es el desarrollado e implementado en los Sistemas Informticos por el personal informtico de la empresa que permiten mejorar la instalacin. El auditor debe verificar que el software no agrede, no condiciona al Sistema, debe considerar el esfuerzo realizado entrminos de costos, por si hubieraalternativas ms econmicas.c) Software de TeleprocesoSe ha agregado del apartado anterior de Software Bsico por su especialidad e importancia. Son vlidas las consideraciones anteriores, Ntese la especial dependencia que el Software del Tiempo Real tiene respecto a la arquitectura de los Sistemas.d) TunningEs el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del comportamiento de los subsistemas y del Sistema en su conjunto. Las acciones de Tunning deben diferenciarse de los controles y medidas habituales que realiza el personal de Tcnica de Sistemas.El Tunning posee una naturaleza ms revisora, establecindose previamente planes y programas deactuacin segn los sntomas observados.Los Tunning pueden realizarse: Cuando existe la sospecha de deterioro del comportamiento parcial o general del Sistema. De modo sistemtico y peridico, por ejemplo cada seis meses. En este ltimo caso, las acciones de Tunning son repetitivas y estn planificadas y organizadas de antemano.El auditor informtico deber conocer el nmero de Tunning realizados el ltimo ao, sus resultados, analizara los modelos de carga utilizados y los niveles e ndices de confianza de lasobservaciones.e) Optimizacin de los Sistemas ySubsistemasTcnica de Sistemas deber realizar acciones permanentes de optimizacin como consecuencia de la informacin diaria obtenida a travs de Log, Account-ing, etc. Acta igualmente como consecuencia de la realizacin de Tunningspre programado o especfico.El auditor verificar que las acciones de optimizacin fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el "plan crtico de produccin diaria" de Explotacin.f) Administracin de Base de DatosEs un rea que ha adquirido una gran importancia a causa de la proliferacin de usuarios y de las descentralizaciones habidas en las informticas de las empresas, el diseo de las bases de datos, ya sean relacionales o jerrquicas, se ha convertido en una actividad muy compleja y sofisticada, por lo general desarrollada en el mbito de Tcnica de Sistemas, y de acuerdo con las reas de Desarrollo y los usuarios dela empresa. El conocimiento de diseo y arquitectura de dichas Bases de Datos por parte de los Sistemas, ha cristalizado en la administracin de las mismas les sea igualmente encomendada. Aunque esta descripcin es la ms frecuente en la actualidad, los auditores informticos han observado algunas disfunciones derivadas de la relativamente escasa experiencia que Tcnica de Sistemas tiene sobre la problemtica general de los usuarios de las Bases de Datos. Comienzan a percibirse hechos tendentes a separar el diseo y la construccin de las Bases de Datos, dela administracin de las mismas, administracin sta que sera realizada por Explotacin. Sin embargo, esta tendencia es an poco significativa.El auditor informtico de Bases de Datos deber asegurarse que Explotacin conoce suficientemente las que son accedidas por los Procedimientos que ella ejecuta. Analizar los sistemas de salvaguarda existentes, que competen igualmente a Explotacin. Revisar finalmente la integridad y consistencia delos datos, as como laausencia de redundancias entre ellos.g) Investigacin y DesarrolloEl campo informtico sigue evolucionando rpidamente. Multitud de Compaas, de Software mayoritariamente, aparecen en el mercado. Como consecuencia, algunas empresas no dedicadas en principio a la venta de productos informticos, estn potenciando la investigacin de sus equipos de Tcnica de Sistemas y Desarrollo, de forma que sus productos puedan convertirse en fuentes deingresos adicionales.La Auditoria informtica deber cuidar de que la actividad de Investigacin ms la de desarrollo de las empresas no vendedoras, no interfiera ni dificulte las tareas fundamentales internas.En todo caso, el auditor advertir en su Informe de los riesgos que haya observado. No obstante, resultara muy provechoso comercializar alguna Aplicacin interna, una vez que est terminada yfuncionando a satisfaccin.La propia existencia de aplicativos para la obtencin de estadsticas desarrollados por los tcnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor experto una visin bastante exacta de la eficiencia y estado de desarrollo de los Sistemas. La correcta elaboracin de esta informacin conlleva el buen conocimiento de la carga de la instalacin, as como la casicerteza de que existen Planes de Capacidad, etc.c) AUDITORIA INFORMTICA DE COMUNICACIONES Y REDESLa creciente importancia de las Comunicaciones ha determinado que se estudien separadamente del mbito de Tcnica de Sistemas. Naturalmente, siguen siendo trminos difciles en los conceptos generales de Sistemas y de Arquitecturas de los Sistemas Informticos.Se ha producido un cambio conceptual muy profundo en el tratamiento de las comunicaciones informticas y en la construccin de los modernos Sistemas de Informacin, basados en Redes de Comunicaciones muy sofisticadas.Para el Auditor Informtico, elentramado conceptual que constituyen las Redes Nodales, Lneas, Concentradores, Multiplexores, Redes Locales, etc., no son sino el soporte fsico-lgico del Tiempo Real. El lector debe reflexionar sobre este avanzado concepto, que repetimos: Las Comunicaciones son el Soporte Fsico-Lgico de la Informtica en Tiempo Real.El auditor informtico tropieza con la dificultad tcnica del entorno, pues ha de analizar situaciones y hechos alejados entre s, y est condicionado a la participacin del monopolio telefnico que presta el soporte enalgunos lugares.Ciertamente, la tarea del auditor es ardua en este contexto. Como en otros casos, la Auditoria de este sector requiere un equipo de especialistas, expertos simultneamente en Comunicaciones y en Redes Locales. No debe olvidarse que en entornos geogrficos reducidos, algunas empresas optan por el uso interno deRedes Locales, diseadas y cableadas con recursos propios.El entorno del Online tiene una especial relevancia en la Auditoria Informtica debido al alto presupuesto anual que los alquileres de lneas significan. El auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin delas lneas contratadas, con informacin abundante sobre tiempos de desuso.Deber proveerse de la topologa de la Red de Comunicaciones, actualizada. La des actualizacin de esta documentacin significara una grave debilidad.La inexistencia de datos sobre cuntas lneas existen, cmo son y dnde estn instaladas, supondra que se bordea la Inoperatividad Informtica.Sin embargo, y como casi siempre, las debilidades ms frecuentes e importantes en la informtica de Comunicaciones se encuentran en las disfunciones organizativas. La contratacin e instalacin de lneas va asociada a la instalacin de los Puestos de Trabajo correspondientes (Monitores, Servidores de Redes Locales, Ordenadores Personales con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organizacin.d)AUDITORIA INFORMTICA DE DESARROLLO DEPROYECTOSEl rea de Desarrollo de Proyectos o de Aplicaciones es objeto frecuente de la Auditoria informtica.Indicando inmediatamente que la funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin de Sistemas y Aplicaciones, trmino presente en los ltimos aos. La funcin Desarrollo engloba a su vez muchas reas, tantas como sectores informatizables tiene la empresa.Muy escuetamente, una Aplicacin recorre las siguientes fases:a)Prerrequisitos del Usuario (nico o plural), ydel entorno.b) Anlisis funcional.c)Anlisis orgnico. (Pre programacin yProgramacin).d) Pruebas.e)Entrega a Explotacin yalta para elProceso.Se deduce fcilmente la importancia dela metodologa utilizada en eldesarrollo de los Proyectos informticos. Esta metodologa debe ser semejante al menos en los Proyectos correspondientes a cada rea de negocio de la empresa, aunque preferiblemente debera extenderse a la empresa en suconjunto.En caso contrario, adems del aumento significativo de los costos, podr producirse fcilmente la insatisfaccin del usuario, si ste no ha participado o no ha sido consultado peridicamente en las diversas fases del mismo, y no solamente en la fase de prerrequisitos.Finalmente, la Auditoria informtica deber comprobar la seguridad de los programas, en el sentido de garantizar que los ejecutados por la mquina son totalmente los previstos y no otros.Una razonable Auditoria informtica de Aplicaciones pasa indefectiblemente por la observacin y elanlisis de estas consideraciones.a) Revisin de las metodologas utilizadasSe analizarn stas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin y elfcil mantenimiento de las mismas.b) Control Interno de las AplicacionesLa Auditoria informtica de Desarrollo de Aplicaciones deber revisar las mismas fases que presuntamente ha debido seguir el rea correspondiente de Desarrollo. Las principales son:1. Estudio de Viabilidad de la Aplicacin.2. Definicin Lgica de la Aplicacin.3. Desarrollo Tcnico de la Aplicacin.4. Diseo de Programas.5. Mtodos de Pruebas.6. Documentacin.7. Equipo de Programacin.c) Satisfaccin de UsuariosUna Aplicacin eficiente y bien desarrollada tericamente, deber considerarse un fracaso si no sirve a los intereses del usuario que la solicit. Surgen nuevamente las premisas fundamentales de la informtica eficaz: fines y utilidad. No puede desarrollarse de espaldas al usuario, sino contando con sus puntos de vista durante todaslas etapas del Proyecto. Lapresencia del usuario proporcionar adems grandes ventajas posteriores, evitar reprogramaciones y disminuir el mantenimiento de la Aplicacin.d) Control de Procesos y Ejecuciones de Programas CrticosEl auditor no debe descartar la posibilidad de que se est ejecutando un mdulo lo que no se corresponde con el programa fuente que desarroll, codific y prob el reade Desarrollo de Aplicaciones.Se est diciendo que el auditor habr de comprobar fehaciente y personalmente la correspondencia biunvoca y exclusiva entre el programa codificado y el producto obtenido como resultado de su compilacin y su conversin en ejecutables mediante la linkeditacin (Linkage Editor).Obsrvense las consecuencias de todo tipo quepodran derivarse del hecho de que los programas fuente y losprogramas mdulos no coincidieran provocando graves retrasos y altos costos de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje industrial-informtico, etc.Esta problemtica ha llevado a establecer una normativa muy rgida en todo lo referente al acceso a lasLibreras de programas.Una Informtica medianamente desarrollada y eficiente dispone de un solojuego de Libreras de Programas de la Instalacin. En efecto, Explotacin debe recepcionar programas fuente, y solamente fuente. Cules? Aquellos que Desarrollo haya dado como buenos.La asumir la responsabilidad de:1.Copiar el programa fuente que Desarrollode Aplicacionesha dado por bueno en la Librera de Fuentes de Explotacin, a la que nadie ms tiene acceso.2. Compilar y linkeditar ese programa, depositndolo en la Librera de Mdulos de Explotacin, a la que nadiems tiene acceso.3.Copiar los programas fuente que les sean solicitados para modificarlos, arreglarlos, etc., en el lugar que se le indique. Cualquier cambio exigir pasar nuevamente al punto 1.Ciertamente, hay que considerar las cotas de honestidad exigible a Explotacin. Adems de su presuncin, la informtica se ha dotado de herramientas de seguridad sofisticadas que permiten identificar la personalidad el que accede a las Libreras. No obstante, adems, el equipo auditor intervendr los programas crticos, compilando y linkeditando nuevamente los mismos para verificar su biunivocidad.e) AUDITORIA DE LA SEGURIDAD INFORMTICALa seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica.La Seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. Igualmente, a este mbito pertenece la poltica de Seguros.La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios ala informacin.Se ha tratado con anterioridad la doble condicin de la Seguridad Informtica: Como rea General y como rea Especfica (seguridad de Explotacin, seguridad de las Aplicaciones, etc.).As, podrn efectuarse Auditorias de la seguridad global de una Instalacin Informtica- Seguridad General-, y Auditorias de la Seguridad de un rea informtica de terminada- Seguridad Especfica-.Las agresiones a instalaciones informticas ocurridas en Europa y Amrica durante los ltimos aos, han originado acciones para mejorar la Seguridad Informtica a nivel fsico. Los accesos y conexiones indebidos a travs de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lgica y la utilizacin desofisticados medios criptogrficos. La decisin de abordar una Auditoria Informtica de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida. Tal estudio comporta con frecuencia la elaboracin de "Matrices de Riesgo" en donde se consideran los factores de las "Amenazas" a las que est sometida una instalacin y de los "Impactos" que aquellas pueden causar cuando se presentan. Las matrices de riesgo se presentan en cuadros de doble entrada "Amenazas\Impacto", en donde se evalan las probabilidades de ocurrencia delos elementos de la matriz.
Unidad N 3CONTROL INTERNO INFORMTICO.El Control Interno en las empresas tiene como finalidad ayudar en la evaluacin de la eficacia y eficiencia de la gestin administrativa.Control Interno Informtico es una herramienta enfocada a la adecuada gestin de los Sistemas de la Informacin.Muchos de los problemas informticos se originan dentro de la misma empresa.Por ello es cada vez ms necesario un completo anlisis del trfico de:* Los correos electrnicos corporativos.* Las pginas web que se visitan desde los ordenadores de la empresa.El Informe COSO define el Control Interno como Las normas, los procedimientos, las prcticas y las estructuras organizativas diseadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarn y que los eventos no deseados se prevern, se detectarn y se corregirn. En el ambiente informtico, el control interno se materializa fundamentalmente en controles de dos tipos: Controles manuales: aquellos que son ejecutados por el personal del rea usuaria o de informtica sin la utilizacin de herramientas computacionales. Controles Automticos: son generalmente los incorporados en el software, llmense estos de operacin, de comunicacin, de gestin de base de datos, programas de aplicacin, etc. OBJETIVOS DEL CONTROL INTERNO INFORMTICO: Establecer como prioridad la seguridad y proteccin de la informacin del sistema computacional y de los recursos informticos de la empresa. Promover la confiabilidad, oportunidad y veracidad de la captacin de datos, su procesamiento en el sistema y la emisin de informes en la empresa. Implementar los mtodos, tcnicas y procedimientos necesarios para coadyuvar al eficiente desarrollo de las funciones, actividades y tareas de los servicios computacionales, para satisfacer los requerimientos de sistemas en la empresa. Instaurar y hacer cumplir las normas, polticas y procedimientos que regulen las actividades de sistematizacin de la empresa. Establecer las acciones necesarias para el adecuado diseo e implementacin de sistemas computarizados, a fin de que permitan proporcionar eficientemente los servicios de procesamiento de informacin en la empresa.
ELEMENTOS FUNDAMENTALES DEL CONTROL INTERNO INFORMTICO Controles internos sobre la organizacin del rea de informtica Controles internos sobre el anlisis, desarrollo e implementacin de sistemas Controles internos sobre operacin del sistema Controles internos sobre los procedimientos de entrada de datos, el procesamiento de informacin y la emisin de resultados. Controles internos sobre la seguridad del rea de sistemas.
CONTROLES GENERALES Y ESPECFICOS
GENERALES: No tienen un impacto sobre lacalidadde las aseveraciones en los estados contables, dado que no se relacionan con la informacin Contable.ESPECFICOS: Se relacionan con la informacin Contable y por lo tanto con las aseveraciones de los saldos de los estados contables. Este tipo de controles estn desde el origen de la informacin hasta los saldos finales.
TIPOS DE CONTROLES GENERALESConciencia de controlLagerenciaes responsable del establecimiento de unaconcienciafavorable de control interno de la organizacin. Es importante que la gerencia no viole los controles establecidos porque el sistema es ineficaz.La Gerencia se podra motivar a violarlos por las siguientes causas: Cuando el ente est experimentando numerosos fracasos. Cuando le falte capacidad decapitaldetrabajoo crdito. Cuando la remuneracin de los adm. este ligada al resultado. Cuando el ente se va a vender. Cuando se obtienen beneficios en exponer resultados ms bajos. Cuando la gerencia se encuentra bajopresinen cumplir sus objetivos.Estructura organizacionalEstablecida una adecuada estructura en cuanto al establecimiento de divisiones y departamentos funcionales y as como la asignacin de responsabilidades ypolticasde delegacin deautoridad.Esto incluye la existencia de un departamento de control interno que dependa del mximo nivel dela empresa.PersonalCalidad e integridad delpersonalque est encargado de ejecutar los mtodos y procedimientos prescriptos por la gerencia para el logro de los objetivos.Proteccin de los activos y registrosPolticas adoptadas para prevenir la destruccin o acceso no autorizado a los activos, a losmediosde procesamiento de los datos electrnicos y a los datos generados. Adems incluye medidas por el cual el sistema contable debe estar protegido ante la eventualidad de desastres (incendio, inundacin, etc.)Separacin de funcionesLa segregacin defuncionesincompatibles reduce el riesgo de que unapersonaeste en condiciones tanto de cometer o ocultar errores o fraudes en el transcurso normal de su trabajo. Lo que se debe evaluar para evitar la colusin de fraudes son: autorizacin , ejecucin ,registro, custodia de los bienes, realizacin de conciliaciones.
CONTROL CIRCUNDANTE EN EL PROCESAMIENTO ELECTRNICO DE DATOSEl funcionamiento de los controles generales dependa la eficacia del funcionamiento de los controles especficos. El mismoprocedimientodebe ser aplicado a la empresa con procesamiento computarizado.Los controles generales en el procesamiento electrnico de datos ( PED ) tiene que ver con los siguientes aspectos.ORGANIZACINEl personal de PED (sistemas) no realice las siguientes tareas : iniciar y autorizar intercambios que no sean para suministros y servicios propios del departamento. Registro de los intercambios Custodia de activos que no sean los del propio departamento Correccin de errores que no provengan de los originados por el propio dpto.En cuanto a la organizacin dentro del mismo departamento , las siguiente funciones deben estar segregadas: programacin del sistema operativo anlisis ,programaciny mantenimiento operacin ingreso de datos control de datos de entrada / salida archivos deprogramasy datos.DESARROLLO YMANTENIMIENTODE SISTEMASLastcnicasde mantenimiento y programacin operativos del sistema deben estar normalizadas y documentadas.OPERACIN Y PROCEDIMIENTOSDeben existir controles que aseguren el procesamiento exacto y oportuno de la informacin contable. instrucciones por escrito sobre procedimiento para para preparar datos para su ingreso y procesamiento La funcin de control debe ser efectuada por ungrupoespecfico e independiente. Instrucciones por escrito sobre la operacin de los equipos. Solamente operadores decomputadordeben procesar los SIST OP.CONTROLES DE EQUIPOS Y PROGRAMAS DEL SISTEMADebe efectuarse un control de los equipos: programacin del mantenimiento preventivo y peridico registro de fallas de equipos Los cambios del sist. Op. Y la programacin.
CONTROLES DE ACCESOEl acceso al PED debe estar restringido en todo momento. Tambin debe controlarse : el acceso los equipos debe estar restringido a aquellos autorizados el acceso de ladocumentacinsolo aquellos autorizados el acceso a losarchivosde datos y programas solo limitado a operadoresEL AUDITOR EXTERNO Y EL CONTROL CIRCUNDANTEEl auditor externo deber relevar y evaluar el control interno con el objeto de depositar confianza o no en los controles de los flujos de informacin que genera los saldos a ser auditados y de esta maneramodificar o no la naturaleza, alcance y oportunidad de su procedimiento.Dentro de este relevamiento y evaluacin se encuentra el control circundante ( Ver 2.3 ). Si alguno de los factores adoleciera de falencias importantes. La conclusin es que no se podr confiar en los controles internos para modificar la naturaleza y alcance y oportunidad de los procedimientos de auditoria.
CONTROLES ESPECFICOSLOS CICLOS DE INFORMACIN CONTABLEUn ciclo de informacin contable est constituido por el flujo de informacin que va desde la cuenta del mayor general por el tratamiento contable del intercambio hasta los soportes documentales que contienen los datos inherentes a dicho intercambio.Lascuentasdel mayor general son solo objeto de validacin mediante procedimiento sustantivo.Para generar los datos contenidos en el mayor, el proceso contable debe capturar los datos de cantidad, precio, descripcin, al intercambio para luego tratar dichos datos de tal manera que luego de efectuar sucesivos tratamientos , dichos datos generen los saldos del mayor.Tales tratamiento consiste en llevar los datos delestadoa que estn documentados o tambin en un medio magntico hasta llegar a generar los saldos del mayor.Lo que vemos es que en unsistema operativoy en un contable, consiste en el tratamiento de datos en los cuales se produce un cambio de estado en los mismos a travs de los distintos soportes documentales , de aqu en adelante seguirn producindose cambios hasta llegar a los saldos del mayor.
LOS PUNTOS DE CONTROLLos intercambios de informacin estn sujeto a errores, estos pueden ser responder a la cantidad de intercambios y al tratamiento a cada uno de sus atributos. A tales efectos y con elobjetivode lograr estados contable exactos se deben introducir mecanismos de control que detecten tales errores. Que desegurosern losprocesosen donde se produce el intercambio de informacin. Tal se lo denomina PUNTO DE CONTROL.
TIPOS DE ERRORESPoblacin: Son errores en el nmero de elementos que contienen los datos que se capturan o procesan Ej. Se realizan 150 ventas y se registran 148, el mayor no refleja los intercambios totales, se producen errores de subvaluacin.Existen dos categoras dentro de estos:Autorizacin: Intercambios no autorizados ingresados al sistema por error o intencin.Integridad: son errores de integridad de la informacinExactitud: Son discrepancia entre los atributos reales del intercambio y los atributos que el proceso contable captura o procesa. Si los datos del intercambio no reflejan correctamente los trminos del mismo, existen errores de exactitud.La transmisin inexacta de datos de un documento o medio a otro y los erroresmatemticosson la fuente de los errores de exactitud. Tales errores podrn tener efecto en los saldos. El efecto es diferente si no situamos en un auditor externo a al interno.
LOS MEDIOS Y LOS CONTROLES INTERNOS ESPECFICOSQue existanformulariospre numerados no es un control interno, pero si existen , dan la posibilidad de aplicar un control interno, si nadie realiza control , entonces no hay control interno.
CATEGORAS DE CONTROLES ESPECFICOS
POBLACIN Y EXACTITUD: Son los que previenen o detectan, en la captura y proceso de informacin los errores depoblaciny exactitud.
CONTROLES DE CAPTURA Y PROCESAMIENTO: La informacin se de los intercambios del ente con el exterior, se vuelcan en medios magnticos o documentales y constituyen los datos inherentes al intercambio. Dichos datos son procesados por el sistema contable y los resultados de dichos procesamientos se transforman en saldos contables. Entonces Tal control asegura que no se produzcan errores de poblacin o exactitud en cada una de las etapas.
CONTROLES DE CUSTODIA: Tienen que ver con el mantenimiento de la custodia de los bienes recibidos como consecuencia de los intercambios o con los fabricantes. Tales controles abarcan bienes de cambio,dinero,valores.
CONTROLES DE DETECCIN: Son referidos en la oportunidad donde se aplica el control
CONTROLES PREVENTIVOS: Son referidos a la oportunidad en donde se aplica mientras ocurre el control.
TIPOS DE CONTROLES DE CAPTURASe dividen en:
CONTROLES DE POBLACIN EN LA CAPTURASe utilizan estos controles para transmitir datos al sistema de procesamiento en forma correcta y que prevenga o detecte la prdida o duplicado de un documento, es decir que controle su integridad. Ej. . El rastreo de tickets de balanza de ingreso de camiones a la planta con losinformesde recepcin es un control adecuado es un sistema adecuado para detectar si se han omitido capturar por el sistema adm-contable algunos de los intercambios.CONTROLES DE EXACTITUD EN LA CAPTURA:Existen dos tipos de controles: Controles de comprobacin: Consisten en cotejar los datos de varios documentos o distintos datos del PED para conocer si tienen la misma informacin.Contra la descargada Controles de verificacinmatemtica: Se refiere a volver a efectuar los datos del intercambio que aparecen endocumentoso medios PED para asegurar su exactitud.CONTROLES DE AUTORIZACIN:Consisten en la revisin de los intercambios para asegurar que estos hayan sido autorizados apropiadamente. El sistema de autorizacin es un medio de control.Las autorizaciones pueden ser:Generales: que se aplica a un grupo de intercambios repetitivosEspecficos: que solo se aplican a un intercambio individual.
SEGREGACIN DE FUNCIONESTres funciones que deben ser segregadas: comprometer a la entidad en el intercambio aceptar o entregar el bien o el instrumento objeto ingresar lo datos del intercambio al sistema de procesamientoCuando estas tres funciones estn determinadas a un soloindividuoest en posicin de cometer fraude o ocultar error.Tambin deber analizarse la combinacin de funciones de una misma persona en relacin con distintos tipos de intercambios. Ej. Una persona que es responsable de cobranza y al mismotiempoel ingreso de los datos, este podra realizar ventas en negro.
TIPOS DE CONTROLES DE PROCESAMIENTOCONTROLES DE POBLACIN EN EL PROCESAMIENTODiseados para impedir o detectar errores por discrepancia entre los datos que estn procesados y la transaccin econmica que representan.Es decir si la transaccin econmica es ingresos, mercaderas, resultado por venta. Entonces existe un control de poblacin sumando las facturas de un perodo y cruzarla concostode mercaderas + resultado por ventas.
CONTROLES DE RECONCILIACINEs un tipo de procesamiento que puede detectar en el procesamiento tanto de errores de poblacin como de exactitud e integridad en las etapas de procesamiento a travs de dos corrientes de informacin que en algn punto estas se separan para ofrecer dos o ms registros diferentes pero que deben coincidir en cuanto a sus totales. EjClientesy el mayor de cuentas a cobrar. En estas dos corrientes se puede producir un error tanto de poblacin como de exactitud. Donde el mayor de cliente no coincidir con el mayor analtico. La reconciliacin entre estos dos permite identificar la partida en la cual se ha producido el error.Este tipo de cruce no permite identificar donde se ha producido el error,, sino que nos detecta alguna diferencia en algn punto.
TIPOS DE CONTROLES DE CUSTODIAEstos tipos de controles estn diseados para evitar que los bienes mviles sean perdidos, daados o robados y para proporcionar la seguridad de que las cantidades ylos valoresen existencia sean coincidentes con los registrados.Estos tipos de controles pueden ser divididos en:Controles sobre la custodia:Procedimiento para prevenir uso no autorizado sobre un activo durante la custodia de un departamento o persona del ente. Las reas claves son la entrada (recepcin ) ,almacenamientoo custodia ( depsito ) .Controles sobre la existenciafsica:Consisten en los conteos peridicos, evaluacin y potencial de venta de los activos y comparndolos entonces con los registros contables para cantidades y valores. Tal comparacin puede revelar discrepancia entre existencia y los registrados de esta forma impedir inexactitudes.
CONTROLES EN AMBIENTES COMPUTADORIZADOSPodemos aplicar controles de poblacin y exactitud para el procesamiento PED* Controles de usuarios:Es un controlmanual, debido a que su realizacin no utiliza funciones y programas computarizados. El control est diseado para verificar el resultado de procesos computarizados, aunque su modo de realizacin es manual. Ej. El departamento de facturacin, enva a el PED para que procese la informacin.Controles de Ped:tales controles contienen cuatro componentes. procedimiento de acceso : procedimiento dedesarrollo:Estos dos generan informacin inherente que se produce en los intercambios procedimiento de seguimientoEste sistema asegura que los errores y asuntos identificados, sean investigados y resueltos apropiadamente. funcionamiento de los programas de controlesLos mecanismos de control deben funcionar en funcin al objetivo en que estos fueron creados.
MTODO DE EVALUACINUna vez entendido el flujo de informacin contable se identifiquen los posibles errores que pueden surgir cada vez que los datos se trasladan de un soporte a otro. Si el auditor los ha detectado todos, entonces estar en condiciones de determinar si la empresa ha establecido controles efectivos para prevenirlos y detectarlos.
El MTODOSe compone de los siguientes pasos detallados:PASO 1 COMPRENDER EL FLUJO DE INFORMACIN CONTABLE.Consiste en conocer desde la captura hasta la informacin, los saldos, del mayor.No se puede realizar una auditoria si no se tieneconocimientode las actividades y procedimientos del cliente. Esto comprende el estudio de su control interno.Se conocen varias formas de realizar este estudio ya sea por medio de cuestionarios, mtodos descriptivos yflujo grama; siendo los ms tiles los dos ltimos.
PASO 2 IDENTIFICAR LOS DEPARTAMENTOS INVOLUCRADOS Y ANALIZAR LA SEGREGACIN DE FUNCIONESComprendido el ciclo de informacin contable y haber identificado los medios que contienen la informacin contable as como tambin los procesos que lo generan. Debemos tambin identificar las personas dentro de dichos departamentos que la generan. Esto se hace para identificar las funciones e identificar aquellas que sean incompatibles.
PASO 3 EXPLICITAR LOS OBJETIVOS DEL CONTROLEl departamentos tiene funcin de comprar y esto termina en una orden de compraLa orden de compra deber cumplir con los objetivos de control Se encuentren autorizadas Sea correcta la cantidad registrada Sea correcto el precio registrado Sea correcta la descripcin Sea correcta la otra parte interesada del intercambioPASO 4 5 6 LISTAR LOS POSIBLES ERRORES DE AUTORIZACIN, INTEGRIDAD Y EXACTITUDSe identifican cada uno de los comprobantes y medios magnticos involucrados y sus objetivos de control correspondiente y la totalidad de los errores que podran ocurrir, para luego en un paso posterior analizar los controles que el ente ha establecido para prevenir y detectar. Si fallamos en la deteccin de errores, entonces mal podremos evaluar la eficiencia de los controles.PASO 7 8 9 IDENTIFICAR LOS CONTROLES EXISTENTES EN EL CICLO PARA PREVENIR O DETECTAR ERRORES DE AUTORIZACIN INTEGRIDAD Y EXACTITUD.Listado los errores de autorizacin, integridad y exactitud corresponde relevar el sistema con el propsito de identificar aquellos controles existentes que permitirn prevenir o detectar posibles errores determinados en el paso 4.5.6PASO 10 DE LOS CONTROLES IDENTIFICADOS EN 7 . 8 . 9 . ANALIZAR LA EFECTIVIDAD DE DICHOS CONTROLES, IDENTIFICAR LOS EFECTIVOS Y EFECTUAR LA EVALUACIN GENERAL.En esta etapa de evaluacin, consiste en identificar los controles existentes en la empresa, identificarlos entonces con un sentido especfico de control y con un error posible determinado.Determinar as si el control tiene capacidad para cumplir con su objetivo o si este est bien diseado. Pero los errores de autorizacin, exactitud e integridad pueden ocurrir de todos modos.Por lo tanto una vez analizado y estudiado, con el resultado de tener confianza en el control, se debe realizar la prueba de control con posterioridad.Tambin se debe analizar la segregacin de funciones, donde los controles no deben estar efectuados por personas que realizan las tareas respectivas en el ente que es objeto de control.La evaluacin individual de cada control nos permitir efectuar una extrapolacin para evaluar la efectividad de todo el ciclo en su conjunto. Pero estamos analizando un control en una determinada etapa, lo cual dependemos que los errores de exactitud e integridad no hayan sucedido en etapas anteriores.De tal evaluacin decidimos si podemos tener confianza en ellos o no sobre la integridad y exactitud generada por el flujo de informacin contable la cual se materializa en la exactitud e integridad de los saldos de las cuentas del mayor general.Si la evaluacin es positiva entonces pasamos al siguiente paso, si no lo fuera pasaremos a aplicar el enfoque de auditoria basado ntegramente en los procedimientos de revisin de saldos. Debemos reevaluar los trabajos de auditoria realizados y determinar si es posible el ente de auditarse.La razn de esto es porque si los controles de captura fallan. es sistema interno no puede asegurar que la totalidad de las transacciones realizadas por los funcionarios del ente estn reflejadas en los documentos o medios magnticos establecidos. Si de ser as ser imposible detectar lo que no ha sido registrado.
PASO 11 DE LOS CONTROLES EFECTIVOS SEGN 10. IDENTIFICAR LOS QUE SERN PROBADOS Y DISEAR LAS PRUEBAS DE CUMPLIMIENTO DE LOS CONTROLES A PROBARLa prueba de los controles la realizamos mediante laspruebas de cumplimiento. Tal propsito es obtener una razonable seguridad de que los procedimientos de control interno sean aplicados de acuerdo con lo determinado por la Gerencia y que funcionen eficazmente.El resultado de la prueba de cumplimiento es SI (se cumple el control) NO ( no se cumple el control) a los efecto de validar la confianza terica a los sistemas de control con el objeto de determinar NATURALEZA, ALCANCE y OPORTUNIDAD de los procedimientosPASO 12 ANALIZAR, DE SER APLICABLE, LOS CONTROLES DE CUSTODIA. EFECTUAR SU EVALUACIN.Todo intercambio tendr como consecuencia la captura y procesamiento de la informacin.Los controles de custodia tienen que ver exclusivamente con aquellos intercambios en los cuales hay entrada y salida de bienes. Tales controles evitan que los bienes se daen, se venzan, sean robados y proporcionar as razonabilidad en la existencia y cantidad segn los registros. A los efectos que los estados contables reflejen la realidad.Cabe aclarar que con un recuento fsico, se logran ajustar las diferencias, pero estos no nos podrn informar sobre errores en la custodia de los bienes.Entonces los errores de custodia comprenden los controles de entrada, salida, mantenimiento en existencia. Los controles de existencias son procedimientos de recuento y comparacin de existencia.
TCNICAS DE AUDITORA MS UTILIZADAS PARA REUNIREVIDENCIA TCNICAS DE VERIFICACIN OCULAR Comparacin. Es el acto de observar la similitud o diferencia existente entre dos o ms elementos. Dentro de la fase de ejecucin de la auditora se efecta la comparacin de resultados, contra criterios aceptables. Observacin. Es el examen ocular realizado para cerciorarse como se ejecutan las operaciones. Esta tcnica es de utilidad en todas las fases de la auditora, por cuyo intermedio el auditor se cerciorar de ciertos hechos y circunstancias, en especial, las relacionadas con la forma de ejecucin de las operaciones, apreciando personalmente, de manera abierta o discreta, como el personal de la entidad ejecuta las operaciones. TCNICAS DE VERIFICACIN ORAL Indagacin. Es el acto de obtener informacin verbal sobre un asunto mediante averiguaciones directas o conversaciones con los funcionarios responsables de la entidad. La respuesta a una pregunta formulada por el auditor, es una porcin insignificante de elementos de juicio en los que puede confiarse, pero las respuestas a muchas preguntas que serelacionan entre s, pueden suministrar un elemento de juicio satisfactorio, si todas son razonables y consistentes.Las Entrevistas. Pueden ser efectuadas al personal de la entidad auditada o personas beneficiarias de los programas o actividades a su cargo. Para obtener mejores resultados debe prepararse apropiadamente, especificar quienes sern entrevistados, definir las preguntas a formular, alertar al entrevistado acerca del propsito y puntos a ser abordados. Las Encuestas. Pueden ser tiles para recopilar informacin de un gran universo de datos o grupos de personas. Su ventaja principal radica en la economa en trminos de costo y tiempo; sin embargo, su desventaja se manifiesta en su inflexibilidad, al no obtenerse ms de lo que se pide, lo cual en ciertos casos puede ser muy costoso. TCNICAS DE VERIFICACIN ESCRITA Analizar. Consiste en la separacin y evaluacin crtica, objetiva y minuciosa de los elementos o partes que conforman una operacin, actividad, transaccin o proceso, con el fin de establecer su naturaleza, criterios normativos y tcnicos existentes. Los procedimientos de anlisis estn referidos a la comparacin de cantidades, porcentajes y otros. Confirmacin. Es la tcnica que permite comprobar la autenticidad de los registros y documentos analizados, a travs de informacin directa y por escrito, otorgada por funcionarios que participan o realizan las operaciones sujetas a examen (confirmacin interna), por lo que estn en disposicin de opinar e informar en forma vlida y veraz sobre ellas. Otra forma de confirmacin, es la denominada confirmacin externa, la cual se presenta cuando se solicita a una persona independiente de la organizacin auditada (tercero), informacin de inters que slo ella puede suministrar. Tabulacin. Es la tcnica de auditora que consiste en agrupar los resultados obtenidos en reas, segmentos o elementos examinados, de manera que se facilite la elaboracin de conclusiones. Un ejemplo de aplicacin de esta tcnica lo constituye la tabulacin de los resultados obtenidos en el inventario fsico de bienes practicado en el almacn de la entidad en una fecha determinada. Conciliacin. Implica hacer que concuerden dos conjuntos de datos relacionados separados e independientes. Esta tcnica consiste en analizar la informacin producida por diferentes unidades operativas o entidades, respecto de una misma operacin o actividad, con el objeto de establecer su concordancia entre si y, a la vez, determinar la validez y veracidad de los informes, registros y resultados que estn siendo examinados. TCNICAS DE VERIFICACIN DOCUMENTAL Comprobacin. Tcnica que se aplica en el curso de un examen, con el objeto de verificar la existencia, legalidad, autenticidad y legitimidad de las operaciones efectuadas por una entidad, mediante la verificacin de los documentos que las justifican.Computacin. Es la tcnica que se utiliza para verificar la exactitud y correccin aritmtica de una operacin o resultado. clculo, por lo tanto, se requiere de otras pruebas adicionales para establecer la validez de las cifras incluidas en una operacin. Rastreo. Es utilizada para dar seguimiento y controlar una operacin de manera progresiva, de un punto a otro de un proceso interno determinado o, de un proceso a otro realizado por una unidad operativa dada. Al efectuar la comprensin de la estructura de control interno. Esta tcnica puede clasificarse en dos grupos: a) rastreo progresivo, que parte de la autorizacin para efectuar una operacin hasta la culminacin total o parcial de sta; y, b) rastreo regresivo, que es inverso al anterior, es decir, se parte de los resultados de las operaciones para llegar a la autorizacin inicial. Revisin selectiva. Consiste en el examen ocular rpido de una parte de los datos o partidas que conforman un universo homogneo en ciertas reas, actividades o documentos elaborados, con fines de separar mentalmente asuntos que no son normales, dado el alto costo que representara llevar a cabo una revisin amplia o, que por otras circunstancias, no es posible efectuar una anlisis profundo. TCNICAS DE VERIFICACIN FSICA Inspeccin. Es el examen fsico y ocular de activos, obras, documentos y valores, con el objeto de establecer su existencia y autenticidad. La aplicacin de esta tcnica es de mucha utilidad, especialmente, en cuanto a la constatacin de efectivo, valores, activo fijo y otros equivalentes.TCNICA DE VERIFICACIN ASISTIDA POR COMPUTADORAEl desarrollo de software contina siendo un trabajo altamente artesanal, dnde el factor humano es clave y gran parte de las tareas son manuales. La capacidad de potenciar la productividad (tanto en volumen como en calidad) de los recursos humanos dedicados al desarrollo de software mediante el desarrollo de herramientas que automaticen actividades de Ingeniera de Software que hoy se hacen manualmente ser un factor decisivo en el desarrollo tecnolgico.La verificacin y validacin de artefactos producidos durante el desarrollo de software (cdigo as como especificaciones de requerimientos y diseo) es rea que ocupa un lugar preponderante en los esfuerzos de automatizacin de la ingeniera del software: no solo ha sido la temtica de mayor presencia en las conferencias cientficas del rea, sino que ms del 50% del presupuesto de I+D de las compaas que desarrollan software es destinado a la construccin de herramientas en esta categora. El esfuerzo dedicado a este rea tiene su explicacin en los elevados costos derivados por software que tiene fallas o problemas en la formulacin de sus requerimientos.La sofisticacin de herramientas de anlisis de artefactos del proceso de desarrollo de software est comenzando a tener un impacto, largamente prometido, en el tipo de herramientas (de software) que soportan actividades de verificacin y validacin. Combinaciones novedosas de tcnicas de anlisis de cdigo, model checking, testing, demostracin de teoremas, data mining, y sntesis estn siendo utilizadas cada vez ms para potenciar las relativamente simples tcnicas utilizadas hoy en el sector productivo. El impacto de algunas de las tcnicas ms avanzadas ya puede verse en tcnicas de verificacin y validacin aplicadas en gigantes de la construccin de software como Microsoft, IBM o Google. Algunos ejemplos son la generacin automtica de tests, la verificacin automtica de uso de APIs, las herramientas de bug finding, el testing basado en modelos en grandes proyectos industriales, y monitoreo de propiedades sobre aplicaciones complejas.
Unidad N 4METODOLOGA PARA REALIZAR AUDITORIA DE SISTEMAS COMPUTACIONALESAUDITORIA DE SISTEMAS COMPUTACIONALES.1. Metodologa Para Realizar Auditoras De Sistemas ComputacionalesA continuacin se detalla la metodologa para realizar auditoras de sistemas computacionales, para lo cual estar presentando sus etapas:
Identificar el origen de la auditoriaa. Por solicitud de accionista, socios y dueosb. Por solicitud expresa de procedencia externac. Como consecuencia de emergencias y condiciones especialesd. Por riesgos y contingencias informticase. Como resultado de los planes de contingenciasf. Por resultados obtenidos de otras auditoriasg. Como parte del programa integral de auditoria
2. Realizar una vista preliminar al rea que ser evaluadaa. Contacto inicial con funcionarios y empleados del reab. Identificacin preliminar de la problemtica del rea de sistemasc. Prever los objetivos inciales de la auditoriaCalcular los recursos y personas necesarias para la auditoria
3. Establecer objetivos de la auditoriaa. Objetivo generalb. Objetivos particulares Objetivos especficos de la ASC
4. Determinar los puntos que sern evaluados en la auditoria a. Evaluacin de las funciones y actividades del personal del rea de sistemas b. Evaluacin de la reas y unidades administrativas del centro de computo c. Evaluacin de la seguridad de los sistemas de informacin d. Evaluacin de la informacin, documentacin y registros de los sistemas e. Evaluacin de los sistemas, equipos, instalaciones y componentes f. Elegir los tipos de auditoras que sern utilizados g. Determinar los recursos que sern utilizados en la auditoria
5. Elaborar planes, programas y presupuestos para realizar la auditoria a. Elaborar el documento formal de los planes de trabajo de la auditoria b. Contenido de los planes para realizar la auditoria c. Elaborar el documento formal de los programas de auditoria d. Elaborar los programas de actividades para realizar la auditoria e. Elaborar los presupuestos de la auditoria
6. Identificar los riesgos segn su amenaza.
6.1 PLANES, PROGRAMAS Y PRESUPUESTOS PARA REALIZAR UNA AUDITORIA DE SISTEMAS.Planes, programas y presupuestos para realizar la auditoria. Antes de realizar una auditora, la persona encargada, en este caso el auditor, debe realizar una serie de planes, programas y presupuestos, a fin de que su trabajo se realice de manera eficiente.
a. Elaborar el documento formal de los planes de trabajo de la auditoria b. Contenido de los planes para realizar la auditoria c. Elaborar el documento formal de los programas de auditoria d. Elaborar los programas de actividades para realizar la auditoria e. Elaborar los presupuestos de la auditoriaDebemos tratar de que se cumplan ciertas funciones que son:
Funcin del Control.Una definicin que es correcta y a la cual representa el valor de la Funcin del Control es la de ayudar a los Funcionarios que tienen responsabilidad Administrativa, Tcnica y/u Operacional a que no incurran en falta. Y es por ello que aqu el Control es Creativo,Inteligente, y Constructivo de asesoramiento oportuno a todas las Direcciones o Gerencias a fin de que la Toma de Decisiones sea acertada, segura y se logren los objetivos, con la mxima eficiencia.
El Control de Sistemas e Informtica, consiste en examinar los recursos, las operaciones, los beneficios y los gastos de las producciones (servicios y/o productos de los Sistemas Informticos), de los Organismos sujetos a control, con la finalidad de evaluar la eficacia y eficiencia Administrativa Tcnica y/u Operacional de los Organismos, en concordancia con los principios, normas, tcnicas y procedimientos normalmente aceptados. Asimismo de los Sistemas (Planes, Programas y Presupuestos, Diseo, Software, Hardware, Seguridad, Respaldos y otros) adoptados por la Organizacin para su dinmica de Gestin en salvaguarda de los Recursos del Estado.
Existe otra definicin sobre el "control tcnico" en materia de Sistemas e Informtica, y esta se orienta a la revisin del Diseo de los Planes, Diseos de los Sistemas, la demostracin de su eficacia, la Supervisin compulsa de rendimientos, Pruebas de Productividad de la Gestin - Demanda llamada "Pruebas intermedias", el anlisis de resultados, niveles y medios de seguridad, respaldo, y el almacenamiento. As mismo medicin de la vida til del Sistema Informtico adoptado por la Organizacin bajo control.
Objetivos de la Auditora y Control de Sistemas e Informtica.Los principales objetivos que constituyen a la auditora Informtica son: El control de la funcin informtica (Sistema de Informacin - SI y laTecnologa de la Informacin -TI). El anlisis de la eficiencia de los SI y la TI. La verificacin del cumplimiento de la Normativa General de la Organizacin. La verificacin de los Planes, Programas y Presupuestos de los Sistemas Informticos. La revisin de la eficaz gestin de los recursos materiales y humanos informticos. La revisin y verificacin de Controles Tcnicos Generales y Especficos de Operatividad.
La revisin y verificacin de las Seguridades. De Cumplimiento de normas y estndares. De Sistema Operativo. De Seguridad de Software. De Seguridad de Comunicaciones. De Seguridad de Base de Datos. De Seguridad de Proceso. De Seguridad de Aplicaciones. De Seguridad Fsica. De Suministros y Reposiciones. De Contingencias. El anlisis del control de resultados. El anlisis de verificacin y de exposicin de debilidades y disfunciones.
El auditor informtico.Es el profesional que ha de cuidar y velar por la correcta utilizacin de los diversos recursos dela organizacin y debe comprobar que se est llevando acabo un eficiente y eficaz Sistema de Informacin y la Tecnologa de la InformacinCreatividad.Sistemas Informticos de Baja Performance creativa. Deficiente manejo de Imaginacin y Creatividad para las Producciones de Servicios. No permite variabilidad y atencin a Usuarios. Falta de una buena Integracin de la Informacin y Difusin del Organismo con la Sociedad, a travs de medios y del internet. Pocos Servicios Creativos, donde el usuario manifiesta su descontento. Exceso de monotona y rutina de procesos administrativos y tcnicos. Deficiente nivel de Proceso de la Investigacin y Desarrollo Creativo. Usuarios se quejan por engorrosos procedimientos Informticos.Inteligencia.-La Organizacin no cuenta con Formacin de Conocimientos en Sistemas y Tecnologa Informtica. Exceso de averas en los Sistemas Informticos. No hay Capacitacin ni entrenamiento de nuevas Tecnologas. Tratamiento de la Tecnologa para la Inteligencia Empresarial muy deficiente. Los Estndares de Productividad son bajos. Bajo ndice de Produccin de Servicio (Planificacin, Produccin y Soporte Tcnico), Usuarios salen conformes con la resolucin de problemas (Relacionados a los Sistemas Informticos). Informtica de Comunicaciones, Tele Comunicaciones y Redes; no se encuentra Integrado a los Procesos Intranet, Extranet e Internet. Los Controles Inteligentes de procesos son deficientes. Deficiente nivel de Investigacin y Desarrollo Tecnolgico. Alto ndice de desatendidos y asuntos pendientes (Relacionados a Tecnologas de la Informacin).Personalidad.- Carencia de Identidad, Rumbo y de Mstica Laboral y Personal. Sntomas de mala Imagen. Baja Productividad de Trabajo. Alto ndice de estrs laboral. Prdida de credibilidad del Organismos. Usuarios manifiestan su descontento con el trato y atencin.
Organizacin.- Desorganizacin estructural y Funcional. Descoordinacin Funcional Horizontal - Vertical. Demasiado Centralismo Funcional y Operativo de los Sistemas Informticos. Alto riesgo de Inseguridad Operativa, de Tecnologa y de Informacin. Las reas de Produccin, Desarrollo, Sistemas, Comunicaciones y Seguridad en estado Crtico. Usuarios manifiestan excesiva desubicacin en los desplazamientos por la organizacin. Usuarios manifiestan descontento porque no se cumplen con los plazos de entrega de resultados peridicos.
Direccin.- Carencia de Objetivos, Estrategias y Planes de los Sistemas e Informtica. Toma de Decisiones deficientes por Tecnologas de la Informacin inadecuadas. Los Programas de Auditoras y Control no logra recomponer fallas. Descoordinacin en la Toma de decisiones. Desviaciones Presupuestarias significativas. Incremento desmesurado de costos y gastos. Carencia de Proyectos de Sistemas e Informtica. Baja adopcin de Medidas del Plan de Contingencias. Usuarios se quejan por ineficacias de Resoluciones en Niveles Directivos.
Herramientas y Tcnicas para la Auditora Informtica: Cuestionarios Entrevistas. Formularios Checklist. Formularios Virtuales, Pruebas de Consistencias. Inventarios y Valorizaciones. Historias de cambios y mejoras. Reporte de Bases de Datos y Archivos Reportes de Estndares. Compatibilidades e Uniformidades. Software de Interrogacin: Certificados, Garantas, otros del Software. Fotografas o Tomas de Valor (Imgenes). Diseo de Flujos y de la red de Informacin. Planos de Distribucin e Instalacin (Para Estudio y Revisin). Listado de Proveedores. Otros.
3. DEFINIR RIESGOSINFORMATICOS
Unriesgoes un problema potencial que puede ocurrir en unprocesador segmentado. Tpicamente los riesgos se clasifican en tres tipos: riesgos de datos, riesgos de salto o de control y riesgos estructurales.
El Riesgo en auditora representa la posibilidad de que el auditor exprese una opinin errada en su informedebido a que los estados financieros o la informacin suministrada a l estn afectados por una distorsin material o normativa.Hay que tomar en cuenta que el anlisis de riesgo detallado, es un trabajo muy extenso y consumidor de tiempo, porque requiere que se compruebe todos los posibles daos de cada recurso de una institucin contra todas las posibles amenazas, es decir terminaramos con un sinnmero de grafos de riesgo que deberamos analizar y clasificar. Por otro lado, hay que reconocer que la mayora de las organizaciones
4. CLASIFICACIN DE LOS RIESGOS INFORMATICOS.
Losnegociospueden fallar o sufrir prdidas como un resultado de una variedad de causas. Las diferencias en esas causas y sus efectos constituyen las bases para diferenciar los riesgos, los cuales se pueden clasificar as:
Inherente, de Control y de Deteccin. El riesgo inherente es la posibilidad de que existan errores significativos en la informacin auditada, al margen de la efectividad del control interno relacionado; son errores que no se pueden prever.
El riesgo de controlest relacionado con la posibilidad de que los controles internos imperantes no prevn o detecten fallas que se estn dando en sus sistemas y que se pueden remediar con controles internos ms efectivos.
El riesgo de deteccinest relacionado con el trabajo del auditor, y es que ste en la utilizacin de los procedimientos de auditora, no detecte errores en la informacin que le suministran. El riesgo de auditoriase encuentra as: RA = RI x RC x RD
Riesgos financieros:El riesgo financiero envuelve la relacin entre una organizacin y una ventaja que puede ser perdida o perjudicada. De este modo el riesgo financiero envuelve 3 elementos:
La organizacin que est expuesta a perdidas Los elementos que conforman las causas de prdidas financieras Un peligro que puede causar la prdida (amenaza a riesgo).Riesgos dinmicos: Son el resultado de cambios en laeconomaque surgen de dosconjuntosde factores:1. Factores del entorno exterior; la economa, laindustria, competidores yclientes.2. Otros factores que pueden producir las prdidas que constituyen las bases del riesgo especulativo son las decisiones deadministracin d la organizacin.
Riesgos estticos:Estos riesgos surgen de otras causas distintas a los cambios de la economa tales como: deshonestidad o fallas humanas. Riesgo especulativo:Describe una situacin que espera una posibilidad de prdida o ganancia. Un buen ejemplo es una situacin aventurada o del azar. Riesgo puro:Designa aquellas situaciones que solamente generan prdida o ganancia, un ejemplo es la posibilidad de prdida en la compra de un bien (automviles, casas, etc.). Los riesgos puros pueden ser clasificados de la siguiente forma: RiesgoPersonal: Consiste en la posibilidad de prdida sujeta a los siguientes peligros:muerteprematura, enfermedad e incapacidades Riesgos de las posesiones: Abarcan 2 distintos tipos de prdidaque son: prdidas directas por destruccin debienes, y prdidas indirectas causados por las consecuencias de las prdidas directas ogastosadicionales. Riesgos de Responsabilidades: Su peligro bsico consiste en el perjuicio de otras personas odaode unapropiedadpor negligencia o descuido. Riesgos fsicos: Se tienen en estaclasepor ejemplo: El exceso deruido,Iluminacininadecuada, exposicin a radiaciones, instalaciones elctricas inadecuadas. Riesgos qumicos: Se tienen en esta clase por ejemplo: Exposicin a vapores de los solventes, humo decombustiny gases. Riesgos biolgicos:Hongosybacterias. Riesgos psicosociales:Ingresoseconmicos injustos, monotona, falta deincentivosymotivacin. Riesgos ergonmicos: Puesto de trabajo incomodo, Posicin corporal forzada,movimientorepetitivo al operarmquinas, etc.Riesgo fundamental: Envuelve las prdidas que son impersonales en origen y consecuencia. La mayor parte son causados por fenmenos econmicos, sociales. Ellos afectan parte de una organizacin.
Riesgo particular:Son prdidas que surgen deeventosindividuales antes que surjan de ungrupoentero.Desempleo,guerra, inflacin, terremotosson todos riesgos fundamentales; el incendio de una casa y el robo de unbancoson riesgos particulares5. MATRIZ DE RIESGOS INFORMATICOS.METRICAS UTILIZADAS.La Matriz para el Anlisis de Riesgo, esuna Herramientas para la colaboracin, informacin y comunicacin seguras y fue punto clave en analizar y determinar los riesgos en el manejo de los datos e informacin de las organizaciones. La Matriz, no dar un resultado detallado sobre los riesgos y peligros de cada recurso de la institucin, sino una mirada aproximada y generalizada de los riesgos.MTRICAS UTLIZADAS EN AUDITORIA DE SISTEMA.Mtricas de los riesgos:medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger lainformacinbuscando mantener la confidencialidad, ladisponibilidadeIntegridadde la misma.
Mtricas de calidad. El concepto de mtrica es el trmino que describe muchos y muy variados casos de medicin. Siendo una mtrica una medida estadstica (no cuantitativa como en otras disciplinas ejemplo fsica) que se aplica a todos los aspectos de calidad de software, los cuales deben ser medidos desde diferentes puntos de vista como el anlisis, construccin, funcional, documentacin, mtodos, proceso, usuario, entre otros.
Tres tipos diferentes de mtricas de medicin son:mtricas tcnicas, mtricas Bang y mtricas de punto de funcin.a. Mtricas Tcnicas. Estas mtricas se derivan de una relacin emprica segn las medidas contables del dominio de informacin del software y de evaluaciones de complejidad. Ejemplo. Nmero de entradas usuario cada una de las entradas de datos. Nmero de salidas usuario cada una de las salidas de datos. Nmero de peticiones usuario cada generacin de un evento. Nmero de archivos cada tabla, archivo Nmero de interfaces externas son interfaces, discos, copias de seguridad, transmisiones de datos.
b. Mtricas bang. Estas ayudan a evaluar el anlisis y diseo, proporcionan medidas de la complejidad, y ayudan a disear pruebas ms efectivas. Estas mtricas se dividen en : Medidas del anlisis, medidas de especificacin, medidas de diseo.
c. Mtricas de punto de funcinde Albrecht.Miden la aplicacin desde una perspectiva del usuario dejando de lado los detalles de codificacin, estos evalan con fiabilidad:
El valor comercial de un sistema para el usuario Tamao del proyecto, costo y tiempo de desarrollo Calidad y productividad de lo programado Esfuerzo de adaptacin, modificacin y mantenimiento Posibilidad de desarrollo propio Beneficios de implementacin en 4GL
6. IMPACTO QUE PUEDEN TENER LOS RIESGOS INFORMATICOS.Conocimiento del impacto cuantificado en la corporacinEs esencial entender los riesgos en trminos de probabilidad de un evento capaz de generar alguna situacin de este tipo, y en trminos del valor temporal de la exposicin a un peligro en caso de producirse dicho riesgo. Asimismo, los riesgos necesitan ser cuantificados para cada aplicacin empresarial esencial. Conociendo estos dos parmetros, las personas encargadas de tomar decisiones pueden plasmar estos valores en un sencillo grfico bidimensional, asignando las prioridades de reduccin/solucin de riesgos a diferentes aplicaciones. Adems de esto, se puede definir y aplicar una poltica de forma efectiva y sistemtica a toda la empresa, para ocuparse de diferentes riesgos o de mltiples categoras de riesgos.
7.PLAN DE CONTINGENCIASe entiende porPLAN DE CONTINGENCIA o PLAN DE