AUDITORIA DE SISTEMAS
1
"El examen objetivo, crítico, sistemático, posterior y selectivo de las políticas,
normas, prácticas, procedimientos y procesos con el fin de emitir una opinión
respecto a la eficiencia en la utilización de los recursos informáticos; la
confiabilidad, consistencia, integridad y oportunidad de la información y la
efectividad de los controles en los sistemas de información computarizados".
1.1 OBJETIVOS
2
e. Verificar que la entidad garantice la seguridad de las personas, los datos, los
programas y los equipos.
h. Verificar que exista una adecuada y eficaz operación de los sistemas y las
aplicaciones de información de la entidad.
Estos propósitos se logran si la entidad aplica los controles apropiados. Por lo tanto, el
auditor debe asegurarse que existan y que estén funcionando debidamente.
Si se tiene en cuenta que el objetivo básico que se busca con la adquisición y utilización
de soluciones informáticas, es entregar información confiable, útil y oportuna, el
ámbito de la evaluación debe abarcar áreas y recursos informáticos de la organización y
aquéllas que puedan afectar el cumplimiento de dicho objetivo, tales como:
Los auditores de sistemas de información deben ser profesionales con conocimientos en:
3
2. PROCESO DE LA AUDITORIA DE SISTEMAS
4
2.1 PLANEACION DE LA AUDITORIA
La etapa del Conocimiento General de la Entidad permite estudiar en forma general tanto
la entidad como su función informática; para ello, es necesario obtener información
suficiente y relacionada con la organización, misión, visión, objetivos, normas
reglamentarias del sector y de la Entidad, funciones, estructura del área Informática,
infraestructura tecnológica de sistemas y aplicaciones.
2.2.1 EVALUACIÓN DEL CONTROL INTERNO, para lo cual se hace necesario tener
en cuenta los siguientes tipos de control:
5
Gráfico No. 2 Ejecución de la Auditoría
Tipos de Control
Es importante que se preste atención a la clasificación de los Tipos de Control, pues son
la base para la formulación de los Criterios de Auditoría y Cuestionarios.
Los Controles de Carácter General tienen relación con la evaluación de las actividades que
sustentan la presencia del procesamiento electrónico de datos. Se orientan tanto a la
evaluación de los procedimientos administrativos u organizativos como al análisis de las
metodologías utilizadas para el desarrollo del software. Es decir, están relacionados con
las normas y procedimientos establecidos en el ambiente del procesamiento electrónico
de datos y se clasifican en controles de:
6
Adquisición
Organización
Desarrollo
Documentación
Seguridad
Los Controles de Carácter Específico comprenden los procedimientos que están referidos
directamente con los sistemas de información. Básicamente, se orientan hacia las
aplicaciones en producción y la integridad de los datos, desde el origen o entrada,
proceso y hasta la salida de éstos. Se clasifican en controles de:
Aplicaciones “Entrada-Proceso-Salida”
Bases de Datos
Procesamiento Distribuido
Microcomputadores
Contingencia
En esta etapa, el auditor define, prepara y efectúa las Pruebas de Auditoría más
adecuadas con el fin de determinar la consistencia lógica de los programas; la exactitud,
confiabilidad, integridad, oportunidad y seguridad de los controles y de la información así
como también la optimización en el uso de los recursos informáticos.
Las pruebas de auditoría se constituyen en las herramientas del auditor para obtener las
evidencias que fundamentan sus conclusiones. Los resultados de las pruebas pueden
mostrar que hay fallas en el sistema, pero nunca se puede probar que el sistema es
perfecto.
Las pruebas de auditoría son de dos tipos las de Cumplimiento Y las Sustantivas:
Las Pruebas de Cumplimiento son los procedimientos que se utilizan para comprobar
el cumplimiento de los procedimientos de control en una organización.
7
Las Pruebas Sustantivas son los procedimientos para evaluar la integridad de las
transacciones individuales, los datos u otra información.
Comprobación de cálculos
Verificación de salidas de acuerdo con las entradas
Prueba de fallas del sistema
Verificación de planes de contingencia
8
3. CONTROLES EN LOS SISTEMAS DE INFORMACIÓN
Se refieren a las políticas, normas y procedimientos implementados por una entidad con
el fin de hacer más efectiva, eficiente y económica la adquisición de recursos
Informáticos. Especialmente, sobre equipos de cómputo, soluciones informáticas,
dispositivos de telecomunicaciones y demás herramientas básicas para la buena
prestación de los servicios informáticos por parte de las dependencias de sistemas.
c. Los recursos informáticos deben ser adquiridos y/o modificados de acuerdo con
planes aprobados que reflejen los requerimientos del negocio a corto plazo y las
necesidades a largo plazo.
9
f. Posterior a la instalación de recursos informáticos, la gerencia debe realizar una
revisión sobre la consecución de los beneficios pronosticados.
3.1.1.2.Cuestionario Adquisición
10
3.1.2 CONTROLES DE ORGANIZACIÓN
- La entidad debe tener por escrito una política que establezca los objetivos,
roles y responsabilidades del área de informática y de las funciones
relacionadas.
c. La alta dirección debe definir, documentar y mantener una filosofía de calidad así
como asignar la responsabilidad de su aseguramiento a miembros del área
informática, determinando el alcance y duración de las actividades planeadas,
incluyendo la revisión del cumplimiento general de los estándares y
11
procedimientos del área informática, así como también de los objetivos
propuestos por ella.
h. La gerencia del área informática deberá realizar las acciones necesarias para
establecer y mantener una coordinación, comunicación y enlace óptimos entre
dicha dependencia y las demás áreas así como también con las instancias
externas a ella.
k. La gerencia deberá proveer e implementar una política por escrito sobre derechos
de propiedad intelectual, que cubra el desarrollo de software, tanto interno como
contratado a externos.
m. La gerencia deberá asegurar que todos los servicios prestados por terceros sean
propiamente identificados y que las interfaces técnicas y organizacionales con los
proveedores sean documentadas.
- La entidad debe tener una clara definición de los servicios que atienden los
recursos informáticos y debe especificar estándares de calidad para tales
12
servicios. Los estándares deben ser documentados y comunicados a los
usuarios.
- La entidad debe costear cada tipo de servicio, localizando los costos por
proyecto o por usuario, acumulando los costos totales informáticos. Los
costos deben ser reportados a los diferentes usuarios y a la gerencia.
p. Debe existir un Comité de Sistemas que promueva y apruebe las políticas y planes
informáticos.
r. La alta dirección debe implementar los procesos necesarios para asegurar que las
políticas de reclutamiento y promoción de personal tengan como base criterios
objetivos y consideren como factores la educación, la experiencia y la
responsabilidad.
u. Deben existir criterios que permitan medir el desempeño de los funcionarios del
área de informática y su evaluación debe realizarse periódicamente.
13
este proceso se deben tener en cuenta nuevos proyectos y casos recurrentes,
los cuales deben ser debidamente documentados. Para ello se debe:
14
3.1.3 CONTROLES DE DESARROLLO
Se refieren al cumplimiento de una metodología que cubra las fases para el desarrollo y
mantenimiento de sistemas de información y de controles establecidos.
15
- La metodología debe asegurar que se haga y documente el análisis de las
amenazas a la seguridad, sus puntos de impacto y debilidad así como
también las protecciones factibles de seguridad y control interno, con la
finalidad de reducir o eliminar el riesgo identificado.
f. Debe llevarse un registro de todos los cambios de las aplicaciones del sistema.
16
3.1.4 CONTROLES DE DOCUMENTACIÓN
17
3.1.5 CONTROLES DE SEGURIDAD
18
d. La gerencia deberá asegurar que los costos y beneficios de seguridad sean
examinados cuidadosamente en términos monetarios y no monetarios, para
garantizar que los costos de los controles no excedan a los beneficios.
19
3.2. CONTROLES ESPECÍFICOS
- Que los resultados del proceso satisfagan las expectativas de los usuarios del
sistema y de los terceros que requieren de la información.
- Determinar los controles complementarios que deben ser suplidos por el software
aplicativo, teniendo en cuenta las limitaciones de la red, acordes con los riesgos
inherentes a la importancia que para la entidad tenga la información.
20
manera, los posibles beneficios derivados de la actividad de tecnología de información
deben ser identificados y reportados regularmente para asegurar su adecuación. Para
este monitoreo de beneficios, se deben definir indicadores de medición de desempeño
de alto nivel. El desempeño de las aplicaciones debe monitorearse para evaluar su
eficiencia. Para tal fin:
21
Las aplicaciones deben probarse exhaustivamente antes de liberarlas para su
utilización considerando entre otras las siguientes:
Los cambios a las aplicaciones deben probarse para asegurar que satisfacen los
requerimientos planteados.
Debe tenerse un registro de todos los cambios de las aplicaciones del sistema.
22
3.2.1.1 Entrada
Se refieren a los controles que validan los datos de entrada a los diferentes sistemas,
buscando con ello un alto grado de depuración que evite grandes cargas de trabajo
posteriores, relacionadas con la corrección de datos erróneos y su reentrada.
3.2.1.1 .1 Criterios
- Los documentos fuente deben ser diseñados de forma tal que minimicen
los errores y omisiones.
Los datos de entrada a procesar deben ser validados y editados lo más cerca posible
al punto de origen.
23
3.2.1.2 Proceso
Debe existir una serie de controles que eviten el uso indebido de herramientas que
facilitan la alteración de los datos durante el proceso. Para ello es preciso que se
implanten controles relacionados con la separación de deberes, el control de corridas, los
procesos de reinicio, la obtención de bitácoras, etc.
3.2.1.2.1 CRITERIOS
El procesamiento de los datos de los aplicativos debe ser controlado para asegurar
que ningún dato es agregado, removido o alterado durante el proceso.
o Debe mantenerse una bitácora del sistema con todas las actividades de
cómputo, para la resolución de errores del sistema o del operador.
24
3.2.1.3 Salida
Toda entidad produce información altamente sensible y confidencial. Por esto, deben
existir procedimientos que restrinjan la producción, distribución y el conocimiento de
ciertos reportes por parte de usuarios no autorizados.
3.2.1.3.1 CRITERIOS
Los reportes de salida resultantes del procesamiento deben ser revisados en cuanto a
su razonabilidad y distribución oportuna a los destinatarios autorizados.
25
3.2.2 CONTROL DE BASES DE DATOS
3.2.2.1 CRITERIOS
26
f. Los procedimientos de restauración de bases de datos deben ser suficientes para
minimizar las pérdidas y el tiempo de recuperación. Se deben sacar periódicamente
copias de seguridad y guardarse en un sitio diferente al centro de cómputo.
27
3.2.3 CONTROLES DE REDES - PROCESAMIENTO DISTRIBUIDO
3.2.3.1 Criterios
Los usuarios son los administradores de las aplicaciones y usuarios finales; cada una
de las aplicaciones debe contar con la asignación de un administrador que asume su
responsabilidad, seguridad y control.
28
f. Asegurar que los controles de los servicios de redes de telecomunicaciones sean en
forma permanente los adecuados y acordes con los riesgos a los que pueden estar
expuestos, deben cumplir:
h. Seguridad
- Física
- Lógica
29
- Mecanismos (Controles) de seguridad: Son las medidas utilizadas para prevenir,
detectar, anunciar o recuperar la
información alterada por un ataque.
30
3.2.4. CONTROLES MICROCOMPUTADORES
4.2.4.1. Criterios
c. Deben existir dispositivos de seguridad que eviten el acceso físico a las áreas o
instalaciones de los microcomputadores e implantarse seguridades para restringir
el acceso lógico a programas y datos almacenados.
d. Deben existir por escrito los criterios a tener en cuenta para la adquisición de
software para microcomputadores.
31
4. TÉCNICAS DE AUDITORÍA
Las Técnicas de Auditoría asistidas por computador, le ofrecen al Auditor las siguientes
ventajas:
b. El conocimiento por parte del personal, de los manuales y de las políticas del
ambiente informático.
32
a. Analizar registros.
b. Hacer operaciones.
c. Comparar archivos.
d. Estratificar archivos.
e. Seleccionar una muestra aleatoria.
f. Resumir información.
g. Generar reportes.
h. Construir archivos de prueba.
i. Extraer información de un archivo.
j. Realizar análisis estadísticos.
k. Simular parte del sistema o su totalidad.
Los listados en codificación o lenguaje fuente es uno de los últimos recursos para
obtener información. Aunque sea la más difícil de interpretar, es probable que la
codificación fuente sea la referencia más asequible (inmediata).
La revisión de los Diagramas de Flujo tienen una gran ventaja que es la de facilitar el
entendimiento lógico del programa. Además la utilización de programas de operación
para diagramar flujos (Comerciales) aumenta la probabilidad de que se mantengan
actualizados, reflejando el procesamiento que se examina, tal como está a la fecha de
su revisión.
Ésta técnica resulta efectiva únicamente cuando el auditor conoce que problema debe
detectar.
El probar los resultados proporciona una inferencia de que los resultados son correctos,
los controles esenciales están funcionando. Ejemplo - Si las cuentas por cobrar se
confirman a una fecha intermedia y no se encuentra excepciones significativas, podemos
33
inferir que los controles son adecuados respecto a la actualización del archivo que en
cuento a facturas y pagos están funcionando.
Estas técnicas se usan principalmente como pruebas sustantivas , se realizan con los
programas computarizados como el “IDEA”, estas técnicas son:
- Validación de campos.
- Lectura salteada de los registros.
- Identificación de registros duplicados.
- Chequeo de ausencia de registros en una secuencia.
- Ordenamiento de intercalación de los datos.
- Obtención de totales y sub-totales.
- Ejecución de cálculos.
- Búsqueda de tablas.
- Clasificación por períodos de vencimiento.
- Selección de registros.
- Generación de archivos de salida.
34
Al aplicar ésta técnica el auditor debe hacer lo siguiente:
Son los lotes de datos de entrada que representan una variedad de transacciones
para verificarlas a través del procesamiento real, estos deben representar la aplicación
que se examina con todas las posibles combinaciones de transacciones, situaciones
de archivos maestros, valores y lógica de procesamiento que podrían encontrarse
durante las operaciones reales.
En el caso que sea necesario, que el auditor cree nuevos archivos maestros para
verificarlos mediante el uso de datos de prueba se pueden considerar dos enfoques
alternativos:
La posibilidad de seleccionar registros reales para los archivos de prueba está sujeta a
que las condiciones deseadas que existan dentro de algún archivo disponible.
35
los métodos de cálculo y las características de control, para compararlos con los
resultados del procesamiento por el computador.
Es el refinamiento del enfoque de los datos de prueba. Este método permite alimentar al
sistema con los datos de entrada de prueba seleccionados, junto con, o como si
estuvieran mezclados con los datos “reales” y rastrear el flujo de estas transacciones
en el sistema, para compararlas con resultados predeterminados. Implica el
establecimiento de una entidad “falsa” contra la cual se procesan los datos ( Una
División, un empleado etc.). Una vez que se ha establecido, las transacciones se
procesan contra ella junto con las transacciones reales.
- Definir Objetivos.
- Este método requiere que los registros se establezcan en los mismos medios de
archivo que los registros reales; sin embargo, debe hacerse alguna
identificación de “los registros Falsos”, ya sea por número de cuenta específico,
serie de números de cuenta, número de departamento etc. El enfoque que se
utilice para está identificación debe considerarse cuidadosamente, ya que
podría crear limitaciones sobre los procedimientos de prueba o permitir que el
trabajo del auditor tenga efectos distintos a los autorizados sobre los registros.
- Debido a que los registros maestros de prueba se encuentran junto con los
registros de los demás archivos maestros y que las transacciones de prueba se
alimentan durante el flujo normal del procesamiento, se deben eliminar de los
resultados del procesamiento real, los efectos de estas transacciones y
registros. Por medio de:
36
Revisión manual de los efectos de las transacciones y registros sobre los
resultados reportados, esta revisión es económica pero no es muy
confiable.
Exclusión de transacciones y registros en las cifras de control, mediante
programas.
Uso de valores insignificantes para las transacciones y registros, con efecto
de que sus efectos puedan ser ignorados.
El Auditor rara vez necesita procesar repetidamente los controles detectivos y que
tampoco son de interés para los usuarios. si las pruebas detectivas desarrolladas por el
auditor son buenas, los usuarios deben adoptarlas.
Es igual a la anterior excepto que su contenido se selecciona al azar, más que como
excepciones a cualquier prueba especial de edición o razonabilidad. El objetivo de esta
técnica es obtener un archivo representativo para efectos de análisis de auditoría.
(Control Interno – Pruebas Selectivas).
37
- El auditor debe proporcionar sus requerimientos al grupo de desarrollo de
sistemas durante la fase de desarrollo relativo a las especificaciones del
usuario.
- El auditor sigue la acción apropiada con base a las situaciones que se detectan.
Consiste en preparar una Aplicación computarizada por separado que efectúe las mismas
funciones que los programas de aplicación reales procesamientos periódicos. Los
programas de simulación leen los mismos datos de entrada utilizando los mismos
archivos y tratan de producir los mismos resultados. Estos resultados se cotejan con los
producidos por los programas reales, proporcionando una base para probar a través de
la comparación.
La simulación en paralelo puede hacerse en cualquier lenguaje de programación. Sin
embargo al auditor le son más útiles los programas de propósito general.
38
interesa y a la mayor parte de las situaciones. Debe optar por omitir de su
simulación en paralelo la lógica compleja que se aplique a situaciones poco
usuales, y resolver manualmente las diferencias que se originen por esta
omisión. El conocimiento debe incluir: - Descripciones precisas de los
registros y transacciones. - Significados de los códigos utilizados en los
archivos. - Fórmulas o criterios de decisión específicos utilizados en la
aplicación “real”. - Número de posiciones decimales consideradas para los
cálculos.
39