Página Evaluación de riesgos

(1)

Auditoría de

Sistemas

(2)

(3)

Auditoría de sistemas

Tabla de contenido

Página

Evaluación de riesgos 1

Diagnóstico de la organización 1

Revisión de documentación 2

Entrevistas al personal 3

Observación de personal realizando sus tareas 3

Señales de peligro de auditoría 4

Información que solicita el auditor 4

Revisión de centros de cómputo 5

Revisión de seguridad 6

Controles de acceso lógico 7

Controles de acceso físico 7

Controles del ambiente 7

Labor de auditoría 8

Sistema operativo 10

Revisión de desarrollo de sistemas 13

Estudio de factibilidad 13

Definición de requerimientos 14

Fase de diseño detallado y programación 14

Fase de prueba 15

Implantación 15

Fase de post-implantación 16

Revisión de aplicaciones de software comprado 16 Revisión del mantenimiento de aplicaciones 17

Revisión de controles de aplicaciones 18

Procedimientos de control de input 19

Procedimientos de control de procesos 20

Procedimientos de output o salida 21

Diagnóstico de informática 23

Resumen 30

Bibliografía recomendada 31

Párrafo nexo 31

(4)

Auditoría de sistemas Fascículo No. 6

Prohibida la reproducción total o parcial sin autorización por escrito del Presidente de la Fundación.

La redacción de este fascículo estuvo a cargo de JAVIER OSWALDO GUECHA MARIÑO Sede Santa Fe de Bogotá, D.C.

Diseño instruccional y orientación a cargo de MARIANA BAQUERO DE PARRA

Diseño gráfico y diagramación a cargo de SANTIAGO BECERRA SAENZ ORLANDO DIAZ CARDENAS

(5)

1 Evaluación de riesgos

La Auditoría de Sistemas es el conjunto de técnicas que permiten detec-tar deficiencias en las organizaciones de informática y en los sistemas que se desarrollan u operan en ellas, incluyendo los servicios externos de computación, que permitan efectuar acciones preventivas y correcti-vas para eliminar las fallas y carencias que se detecten.

Se verifica la existencia y aplicación de todas las normas y procedimien-tos requeridos para minimizar las posibles causas de riesgos, tanto en las instalaciones y equipos, como en los programas computacionales y los datos, en todo el ámbito del Sistema: usuarios, instalaciones, equi-pos.

Las instituciones efectúan Auditorías de Sistemas, con la finalidad de asegurar la eficiencia de las organizaciones de informática, así como la confiabilidad y seguridad de sus sistemas.

Al terminar el estudio del presente fascículo, el estudiante:

 Establece el estado en que se encuentra la empresa frente al desarrollo tecnológico, la administración de la tecnología y el uso de los recursos tecnológicos de tal forma que la Auditoría dedique su principal esfuerzo a evitar, reducir o minimizar los riesgos.

Diagnóstico de la organización

(6)

2

conseguirlo, el equipo de Auditoría realiza las actividades que se descri-ben a continuación.

Revisión de documentación

 Organigramas, diagramas de funciones: los organigramas o

dia-gramas de funciones, le brindan al auditor de sistemas una clara comprensión de las líneas de comunicación jerárquicas de un de-partamento u organización como un todo. Muestran una división de funciones.

 Perfiles de personal. Los perfiles de personal definen las funciones

y responsabilidades de las diversas tareas de una organización; también brindan a la organización la capacidad de agrupar tareas si-milares en diferentes niveles de puestos para garantizar la remunera-ción justa para su personal.

 Informes del comité de sistemas: los informes del comité de

siste-mas brindan información documentada acerca de los proyectos de nuevos sistemas. Estos informes son revisados por la gerencia de nivel superior y distribuido entre las diversas unidades funcionales de la empresa.

 Política de seguridad: la documentación de la política de seguridad

da un estándar de cumplimiento; ésta debe definir la posición de la organización en cuanto a cualquiera y todos los riesgos de seguir-dad. Debe identificar quién es el responsable de la salvaguarda de los bienes de la empresa, incluyendo programas y datos. Así mismo, debe expresar las medidas preventivas que han de realizarse para dar una protección adecuada y las acciones que han de emprender-se contra quienes la violen.

 Manuales de políticas de personal: los manuales de políticas de

(7)

3

 Objetivos a corto y largo plazo: planes de trabajo a corto y largo

plazo reflejan estos objetivos de departamento, los cuales deberán estar de acuerdo con las necesidades de los usuarios y debidamen-te autorizados.

Entrevistas al Personal

 Personal relacionado con las operaciones del centro de cómpu-to. La realización de entrevistas al personal de operaciones del cen-tro de cómputo debe incorporar garantías adecuadas de que el can-didato tiene las destrezas técnicas necesarias para realizar sus ta-reas. Este es un importante factor que contribuye a una operación eficaz y eficiente.

 Personal usuario. La realización de entrevistas al personal usuario

debe también incorporar garantías adecuadas de que el candidato tiene las destrezas técnicas necesarias para realizar eficazmente la función específica de sus tareas.

 Otro personal pertinente. El auditor, a su criterio, decidirá si es

conveniente entrevistarse con otro personal que tiene relación con el sistema y éste deberá cumplir con los estándares de la empresa y tendrá el mismo nivel de lealtad y confianza.

Observación de personal realizando sus tareas

Permite ver:

 Funciones reales. La observación es el mejor método para

(8)

4

 Percepción de la seguridad. La percepción de seguridad debe ser

observada para comprobar la comprensión y práctica de buenas medidas de seguridad preventiva y de detección por parte de la per-sona observada a fin de salvaguardar los bienes y datos de la em-presa.

 Relaciones de comunicación jerárquica. Deben observarse las

re-laciones de quién reporta a quién, a fin de asegurarse de que se po-nen en práctica las responsabilidades asignadas y una adecuada segregación de tareas.

Señales de peligro de Auditoría

Si bien existen innumerables condiciones de incumbencia para el audi-tor de sistemas, algunos de los indicadores más significativos de proble-mas potenciales son:

 Actitudes desfavorables de los usuarios finales.  Costos excesivos.

 Exceso al presupuesto.  Alta rotación de personal.

 Frecuentes errores de los computadores.

 Atraso excesivo de solicitudes de usuarios no satisfechas.  Elevado tiempo de respuesta del computador.

 Numerosos proyectos de desarrollo abortados o suspendidos.  Compras de Hardware y Software sin respaldo o autorización.

 Cambios frecuentes a versiones superiores de Hardware y Software.

Información que solicita el auditor

(9)

5

Auditoría de sistemas A nivel organizacional:

- Objetivos del Departamento a corto y largo Plazo. - Manual de la organización.

- Antecedentes o historia de la empresa. - Políticas generales.

A nivel del área informática:

- Objetivos a corto y largo plazo.

- Manual de organización que incluya puestos, funciones y

jerar-quías.

- Manual de políticas, reglamentos y lineamientos internos. - Procedimientos administrativos del área.

- Presupuestos y costos en el área. - Recursos materiales y técnicos.

Solicitar un inventario actualizado de equipos, que incluya:

- Características, fecha de instalación y ubicación

- Contratos vigentes de compra, renta y servicios de

mantenimien-to.

- Contrato de seguros.

- Convenios con otras instalaciones. - Configuraciones de equipos. - Planes de expansión.

- Políticas de uso y operación de equipos.

Revisión de centros de cómputo

Consiste en revisar los controles en las operaciones del centro de pro-cesamiento de información en los siguientes aspectos:

 Revisión de controles en el equipo. Se hace para verificar si

(10)

to-6

das las actividades del computador que debe ser analizado periódi-camente.

 Revisión de programas de operación. Se verifica que el

cronogra-ma de actividades para procesar la inforcronogra-mación asegure la utiliza-ción efectiva del computador.

 Revisión de controles ambientales. Se hace para verificar si los

equipos tienen un cuidado adecuado, es decir, si se cuenta con deshumidificadores, aire acondicionado, fuentes de energía conti-nua, extintores de incendios, etc.

 Revisión del plan de mantenimiento. Aquí se verifica que todos los

equipos principales tengan un adecuado mantenimiento que garan-tice su funcionamiento continuo.

 Revisión del sistema de administración de archivos. Se hace para

verificar que existan formas adecuadas de organizar los archivos en el computador, que estén respaldados, así como asegurar que el uso que le dan es el autorizado.

 Revisión del plan de contingencias. Aquí se verifica si es

adecua-do el plan de recuperación en caso de desastre, el cual se detalla más adelante.

Revisión de seguridad

(11)

7

Tecnología biométrica:

es una tecnología que aprovecha característi-cas biológicaracterísti-cas únicaracterísti-cas que posee cada uno de nosotros, tales como el tramado del iris, las hue-llas dactilares y la voz, para controlar el acceso a servicios e informa-ción. La biométrica es considerada como una poderosa medida de se-guridad dado que la in-formación biológica es única y particularmente difícil de reproducir.

Controles de acceso lógico

Se usan para limitar el uso de las aplicaciones de los computadores; algunos ejemplos son: login y passwords, estos sirven para identificar al usuario y, por lo tanto, con este dato el sistema, otorgará niveles de acceso en las aplicaciones, es decir, niveles como los siguientes: sólo lectura, lectura modificación, creación, eliminación de registros, ejecu-tar, copiar, etc., acceso a los sistemas utilizando tecnología biométri-ca, basados en la voz, retina, huella digital, entre otros, procedimientos de Dial-Back, que consiste en la identificación del usuario a través de su número de línea y luego verificando si este número de línea está autori-zado.

Controles de acceso físico

Se usan, generalmente, para el resguardo del centro de cómputo o cen-tros importantes de procesamiento de datos. Son muy variados; he aquí unos ejemplos: seguros en las puertas, puertas con combinación, doble puerta, puertas electrónicas, con tarjetas, digitación de código, con alar-ma silenciosa, puertas con sistealar-ma biométrico basados en la voz, retina, huella digital, entre otros.

También pueden ser: acceso controlado con fotoceldas, sensores, guardias de seguridad, escoltas para visitas, omisión de letreros que in-diquen las zonas del centro de procesamiento de datos, llaves en los terminales y demás.

Controles del ambiente

(12)

in-8

cendios, uso adecuado de fusibles, relays, UPS o fuente de alimenta-ción continua, swicth de apagado de emergencia.

Labor de auditoría

Consiste en la identificación del ambiente de procesamiento de informa-ción para tener conocimiento general de éste. Para entender las necesi-dades de seguridad, el auditor de sistemas revisa y evalúa los siguien-tes aspectos:

 Revisión de los diagramas de red: estos diagramas muestran los

puntos de conexión entre computadoras, terminales y equipos peri-féricos como módem, hubs, routers, etc. Esta información es impor-tante porque se pueden enlazar las direcciones físicas con los acce-sos lógicos de terminales, actualmente existe software especializado de administración de redes que proveen esta información.

 Revisión de las rutas de acceso: las rutas de acceso son caminos

lógicos de acceso a información computarizada; éstas empiezan ge-neralmente con un terminal y terminan con los datos accesados. A lo largo de este camino existen componentes de hardware y soft-ware. Conocer esta ruta es importante porque permite al auditor de sistemas, determinar puntos de seguridad física y lógica. La secuen-cia típica de estos caminos lógicos es:

1. Terminales: son utilizados por el usuario final para identificarse;

estos deben tener restricción física de su uso y la identificación de los usuarios o "login" de accesos debe ser controlada con los "passwords" o claves.

2. El software de telecomunicaciones: el software de

(13)

9

3. El software de procesamiento de transacciones: este software

uti-liza la identificación del usuario reauti-lizada en los terminales (User-Id) y asigna niveles y posibilidades de transacción (añadir, modifi-car, eliminar, obtener reportes, etc.) en una aplicación determina-da basado en archivos o tablas de usuario definidetermina-das y sólo dispo-nibles al administrador de seguridad.

4. El software de aplicación: el software de aplicación tiene la lógica

del procesamiento de los datos definida; esta lógica debe perma-necer según las necesidades determinadas por la gerencia; para esto se debe proteger el acceso a los programas que regulan la lógica de estos procesos.

5. El software de administración de base de datos: por medio del

cual se accesa directamente a la información; este debe tener la definición de los campos de datos y su ejecución debe estar res-tringida al personal de administración de la base de datos.

 Inspección de las facilidades del procesamiento de datos: esta

inspección sirve para entender los controles físicos para el perso-nal, visitantes, controles de seguridad del ambiente como extinto-res, detectores de humo, protectores de polvo, control de tempera-tura, fuentes alternativas de energía. Esta revisión debe ser hecha en el centro de cómputo, área de programadores, librería de cintas o casetes, almacenes de útiles, entre otros.

 Entrevistas con personal de sistemas: las entrevistas claves,

ge-neralmente son con el administrador de la Red, el gerente de siste-mas, quienes proveerán de información sobre el control y manteni-miento de los componentes de las rutas de acceso.

 Entrevista con el usuario final: se entrevista una muestra de

(14)

10

 Revisión de políticas y procedimientos. Consiste en revisar las

políticas y procedimientos para verificar si son adecuados y ofrecen la seguridad apropiada; para esto el auditor debe verificar: políticas de acceso físico, políticas de acceso lógico, entrenamiento formal sobre precauciones de seguridad, políticas sobre uso de Internet.

Sistema operativo

Consiste en revisar las políticas y procedimientos de adquisición y man-tenimiento de software de sistemas operativos. Para lo cual el auditor re-visa lo siguiente:

 Los procedimientos relacionados con la identificación y la selec-ción del software del sistema. Mediante entrevistas a la gerencia, para identificar: los requerimientos de software, las fuentes potencia-les de software.

 Análisis de costo/beneficio del software del sistema. Consiste en

revisar la documentación del análisis costo/beneficio y las alternati-vas que proponen y determinan si cada alternativa potencial fue eva-luada adecuadamente. Esta documentación debe tener, por lo me-nos:

- Costo directo financiado para la compra de software.

- Costo de la modificación necesaria para adaptar el software al

ambiente de sistemas de información de la organización (si fue-ra necesario).

- Los requisitos de equipo para ese software.

- Los requisitos de capacitación asociados con la utilización de

ese software.

- Los requisitos de apoyo técnico asociado a ese software.

- Análisis de las facilidades del software para cumplir con los

(15)

11

- Análisis de la capacidad del software para cumplir con los

requi-sitos de seguridad.

- Análisis de la capacidad del software para cumplir con los

requi-sitos técnicos de la organización.

 Instalación del software del sistema. Consiste en revisar el plan o

procedimiento para la prueba del sistema, determinar si las pruebas se realizaron de acuerdo con ese plan y en forma exitosa; de no ser así investigar si todos los problemas se evaluaron y resolvieron an-tes de la instalación del software.

 Mantenimiento del software del sistema. Consiste en revisar la

do-cumentación relacionada con el mantenimiento o upgrade del soft-ware y determinar lo siguiente:

- Si los estándares de instalación están de acuerdo con la

documen-tación del mantenimiento del software.

- Si los cambios en el software del sistema están debidamente

expli-cados en cuanto a su motivo y aprobación.

- Si existen pruebas de que el cambio realmente se hizo.

- Si el personal responsable del cambio del software del sistema no

pertenece al grupo de programadores.

- Si se proporciona a los usuarios del sistema documentación sobre

los cambios que se realizarán.

- Si existe un registro o una bitácora de los cambios realizados al

sis-tema.

- Si existen los controles suficientes para asegurarse que los

opera-dores no podrán hacer cambio al sistema sin asesoría del grupo responsable de la instalación de estos cambios.

(16)

12

para identificar los procedimientos de seguridad para restringir el acceso al software del sistema así como el personal que tiene acce-so al acce-software del sistema y a su documentación.

 Revisión del ciclo de vida del desarrollo de aplicaciones, adquisi-ción o mantenimiento. El objetivo de esta revisión es identificar, analizar y evaluar los requerimientos del usuario, riesgos, exposicio-nes a ellos y los controles en aplicacioexposicio-nes específicas durante la fase de desarrollo, adquisición o mantenimiento de las aplicaciones. Las tareas del auditor de sistemas incluyen las siguientes:

- Determinar los componentes, objetivos y requerimientos

principa-les de los usuarios de la aplicación e identificar las áreas que exi-gen controles al hacer entrevistas con miembros claves del pro-yecto.

- Determinar y clasificar los principales riesgos y exposición a

ries-gos de la aplicación, para permitir controles por medio de discu-siones con miembros del equipo del proyecto.

- Identificar los controles para minimizar los riesgos y exposiciones

a riesgos de la aplicación por referencia a fuentes confiables y por medio de discusiones con miembros del equipo del proyecto.

- Asesorar al equipo del proyecto respecto del diseño de la

aplica-ción y la implantaaplica-ción de controles al evaluar los controles dispo-nibles y al participar en discusiones con miembros del equipo del proyecto.

- Monitorear el proceso de desarrollo, mantenimiento o adquisición

(17)

13

Auditoría de sistemas hacer exámenes de la documentación y los productos en sus

di-versas etapas.

Revisión de desarrollo de sistemas

Cuando se revisa el proceso de desarrollo de sistemas, se espera que el auditor de sistemas obtenga la documentación necesaria y disponible de las diversas fases así como que asista a las reuniones del equipo del proyecto ofreciendo asesoramiento durante todo el proyecto de desa-rrollo de sistemas. También, el auditor de sistemas debe evaluar la ca-pacidad de los equipos del proyecto para producir los productos claves a entregar para las fechas prometidas. Durante todo el proceso de de-sarrollo de sistemas el auditor de sistemas debe analizar los riesgos asociados y las exposiciones que son inherentes en cada fase y asegu-rarse de que los mecanismos de control adecuados están vigentes para minimizar esos riesgos de forma que sea eficaz en cuanto a costos. De-be utilizarse el tino para recomendar controles que no cueste más admi-nistrarlos que los riesgos que deben minimizar.

Estudio de factibilidad

(18)

14 Definición de requerimientos

El auditor de sistemas debe obtener el documento de definición de requerimientos detallados y verificar su exactitud por medio de entrevistas con los departamentos usuarios que lo solicitan. Identificar los miembros clave del equipo del proyecto y verificar que todos los grupos usuarios afectados tienen una adecuada representación. Verificar que la gerencia aprobó la iniciación del proyecto y el costo del proyecto. Revisar los diagramas de flujo de datos y el diseño conceptual para asegurarse de qué se tratan las necesidades del usuario. Revisar el diseño conceptual por el nivel adecuado del control. Revisar las propuestas dadas a los proveedores para asegurarse de que cubren el verdadero alcance del proyecto y los requerimientos de los usuarios. Determinar si esta aplicación es apropiada para el uso de una rutina de Auditoría incorporada. De ser así incorpore la rutina en el diseño con-ceptual del sistema.

Fase de diseño detallado y programación

(19)

15

Auditoría de sistemas que los procesos de prueba de los programas sean desarrollados

du-rante esta fase. Verificar que se hicieron las correcciones recomendadas para los errores de programación y que las pistas de Auditoría recomen-dados o los módulos de Auditoría fueron incorporados en los progra-mas correctos.

Fase de prueba

La fase de prueba es crucial para determinar que los requerimientos han sido satisfechos y que el sistema se comporta como se anticipaba. Por ende el auditor de sistemas debe participar en forma intensa y revisar la fase. Examinar el plan de prueba para verificar que sea completo con la evidencia indicada de la participación del usuario, tal como escenario de situaciones de prueba creados por los usuarios y/o aprobación escri-ta de acepescri-tación de los resulescri-tados. Revisar todos los resulescri-tados de pruebas en paralelo para comprobar su exactitud. Verificar que la se-guridad esté funcionando adecuadamente, probando intentos de acce-so no permitidos. Examinar comprobando la precisión de los mensajes de error para reconocer los datos erróneos y la resolución de estos erro-res.

Implantación

(20)

16

la conversión de datos para asegurarse de que es correcta y está com-pleta antes de implementar en producción al nuevo sistema.

Fase de post-implantación

Luego que el nuevo sistema ha estado operando, por lo menos seis me-ses, el auditor de sistemas independientemente de las otras fases de la vida del sistema, revisará lo siguiente: determinar si el programa ha lo-grado los requerimientos de los objetivos; se debe prestar especial atención a la utilización y la satisfacción de los usuarios finales, ellos constituirán un indicador excelente. Verificar que se miden, analizan e informan adecuadamente a la gerencia los beneficios identificados con el estudio de factibilidad. Revisar las solicitudes de cambios a los pro-gramas que se han realizado, para evaluar el tipo de cambios que se exigen al sistema; el tipo de cambios puede indicar problemas de dise-ño, programación o interpretación de los requerimientos de usuario.

Revisión de aplicaciones de software comprado

(21)

17

Auditoría de sistemas Adicionalmente el auditor de sistemas deberá revisar el contrato en los

siguientes puntos: descripción específica de los productos a entregar, compromisos sobre fechas de entrega de los productos, compromiso de entrega de los upgrades y entrenamiento, entregas de licencias y permisos para copiar el software para utilizarlo en esfuerzos de recupe-ración de desastres.

Revisión del mantenimiento de aplicaciones

El objetivo de esta revisión es identificar, analizar y evaluar normas, ta-reas, procedimientos y controles en el proceso de control de cambios a los programas. Las tareas de auditoría en este aspecto son:

 Evaluar los estándares y procedimientos para cambios a programas

para asegurar su adecuación por medio de examen de la correspon-diente documentación, discusiones con personal clave y observa-ciones.

 Probar los procedimientos de control de cambios para asegurar que

se explican según se describe en los estándares por medio de dis-cusión y examen de los registros respaldados.

 Evaluar el proceso de control de cambios para determinar que los

objetivos de control fueron cumplidos al analizar los resultados de pruebas y otra evidencia de auditoría.

 Determinar la adecuación de la seguridad de la biblioteca de

pro-ducción para asegurar la integridad de los recursos de propro-ducción al identificar y probar controles existentes.

(22)

18

 Procedimientos para autorización de los cambios a los programas

de producción. Documentación de programas. Las solicitudes de cambio deben ser archivadas con la documentación del programa afectado y debe incluirse la documentación de la razón del cambio (análisis del costo/beneficio) si es necesario.

 Rastros de Auditoría de cambios: siempre debe llevarse un rastro de

au ditoría de todos los cambios o manejo de versiones de los pro-gramas; esto generalmente lo posee el software de manejo de bi-bliotecas.

 Concordancia del código fuente y el ejecutable: se refiere a que si

un programa fuente es compilado nuevamente, el programa ejecuta-ble resultante es igual al programa que está en producción.

 Controles de acceso a los programas de producción: debe existir un

riguroso control de acceso a los programas de producción; estos controles generalmente son manejados por el software de acceso al mainframe.

Revisión de controles de aplicaciones

El objetivo de esta revisión es analizar y evaluar la eficacia de los contro-les de los sistemas o aplicaciones ya existentes; estos controcontro-les deben asegurar que sólo se ingresan y actualizan datos completos, exactos y válidos en un sistema, que el procesamiento de estos datos es correcto, que los resultados del procesamiento cumplen las expectativas y que los datos se mantienen seguros.

(23)

19 Procedimientos de control de input

 Controles de acceso: con esto se asegura que los datos

ingresa-dos al sistema son los autorizaingresa-dos y las responsabilidades sobre el cambio de datos está definida.

 Control de secuencia: los registros de las transacciones llevan un

número que los identifica y son consecutivos, por lo que no puede haber duplicidades ni intervalos vacíos de secuencia.

 Control de límite: se verifican los límites de valores que puede

asu-mir una variable de entrada y que se rechazará o advertirá en caso que no cumpla con los límites establecidos.

 Control de rango: es similar al anterior, pero se trata de un par de

lí-mites.

 Control de paridad: se utiliza para verificar una transmisión de

da-tos (que puede ser la fuente para el ingreso de dada-tos a otro siste-ma).

 Control de validez: consiste en considerar como válidos aquellos

campos codificados con valores predeterminados.

 Control de razonabilidad: los datos ingresados se comparan con

lí-mites de razonabilidad o de ocurrencia de datos.

 Búsquedas en tablas: se valida un campo con el contenido de una

tabla de datos, por ejemplo una tabla de códigos de países y los nombres de países se utilizan para validar el campo país de una pantalla de ingreso de datos.

 Control de existencia: es un control que sirve para validar un dato

(24)

20

 Verificación de ingreso por teclado: consiste en redigitar el

ingre-so de datos por otra peringre-sona ingre-sobre el archivo digitado primero por otra persona.

 Dígito de control: consiste en agregar al dato ingresado un dígito,

el que se calcula matemáticamente por un algoritmo sobre los dígi-tos del dato ingresado; los más comunes son el módulo 10 o módu-lo 11.

 Control de integridad: consiste en que un campo siempre debe

contener datos, no puede estar vacío.

Procedimientos de control de procesos

 Recálculos manuales: consiste en recalcular manualmente una

muestra de las transacciones a fin de asegurar que el procesamien-to está realizando la tarea esperada.

 Edición: consiste en comprobar que el input de datos es correcto,

aquí se interpreta el paso de input como parte del proceso.

 Verificación de razonabilidad de cifras calculadas: consiste en

probar la razonabilidad de los resultados de las transacciones para asegurarse de la adecuación a criterios predeterminados.

 Verificación de la cantidad de registros procesados.

 Manejo de archivo de errores para su posterior investigación.  Verificación por rangos de fechas o períodos.

 Aprobación electrónica: para que un determinado registro pase de

un estado a otro por la autorización de un usuario diferente al que generó el registro.

 Archivos de seguimiento: que permiten identificar el status de una

(25)

21 Procedimientos de output o salida

 Resguardo de formularios negociables, sensibles o críticos:

de-ben ser adecuadamente controlados en un listado de formularios re-cibidos, utilizados y dando razón de las excepciones, rechazos y mutilaciones para protegerlos de robo o daño.

 Autorización de distribución: las opciones de reporte del sistema

deben estar de acuerdo con las funciones que tiene el usuario en el sistema y ser controlado por los accesos definidos en el sistema.

 Estructura estándar de los formatos de los reportes: como son el

número de páginas, la hora, fecha, nombre del programa que lo pro-duce, cabeceras, etc.

La auditoría de los controles de las aplicaciones tiene las siguientes ta-reas:

 Examen de documentación de la aplicación: donde se revisan

principalmente los siguientes documentos actualizados de: docu-mentos de la metodología de desarrollo de la aplicación, especifica-ciones funcionales de diseño, cambios a los programas, manuales de usuario, documentación técnica de referencia.

 Elaboración de un modelo de evaluación de riesgos para anali-zar los controles de la aplicación. La evaluación de riesgos puede basarse en muchos factores incluyendo: la calidad de los controles internos, condiciones económicas, cambios recientes al sistema contable, tiempo transcurrido desde la última auditoría, complejidad de las operaciones, cambios recientes en los puestos clave, bienes en riesgo, cambio de personal, volumen de transacciones, volumen monetario, impacto de una falla de la aplicación.

 Observación y prueba de los usuarios que realizan procesos.

(26)

segre-22

gación de funciones y que ésta debe mostrar que una persona no tiene capacidad de realizar más de una de las siguientes funciones referidas al procesamiento de información: originarla, autorizarla, ve-rificarla, y distribuirla.

 Examen y prueba de autorizaciones y capacidades de acceso.

Para esto se revisan los siguientes aspectos: tablas de control de acceso, informes de actividades, informes de violaciones.

 Selección del tipo de técnica de auditoría asistida por computa-dor y pruebas de auditoría con ayuda del computacomputa-dor. Consiste en determinar qué metodología se utilizará para probar los datos o procesos del sistema. Generalmente se usa lo siguiente:

- Software de auditoría generalizado. Módulos de Auditoría

incorpora-dos. Transferencia de información (download) a un PC para tratarlo con software de análisis.

- Uso de sistemas expertos.

Con la ayuda de este software o técnica asistida por computador, se realizan pruebas de Auditoría; estas pruebas incluyen por ejemplo:

 Muestreo estadístico, con el cual se selecciona la muestra de

tran-sacciones o del universo de datos que serán probados.

 Pruebas de rangos: se usan para probar que los datos en prueba

son válidos porque están en un rango de valores adecuado.

 Pruebas de excepciones: se usan para verificar que el

(27)

23

6.1

Utilizando los instrumentos de fascículos anteriores y basados en las pruebas obtenidas, determine el diagnóstico de la Organización frente al nivel de riesgo que presenta. Justifique su respuesta.

Diagnóstico de informática

Para lograr desarrollar e implantar un sistema con calidad, dentro de los plazos y costos previstos, cuyos beneficios sean los planificados, es ne-cesario controlar que:

- El Proyecto de Desarrollo de Sistemas está enmarcado dentro del

Plan General de Sistemas.

- El Cronograma del Proyecto sea realista y el Sistema esté operativo

en forma oportuna, de acuerdo con las necesidades de la Institución.

- Se aplique la Metodología de Desarrollo de Sistemas.

- Exista un control permanente de la consistencia y confiabilidad de los

Sistemas Informáticos.

- La Calidad del Sistema producido, permita una óptima operatividad

del mismo.

- La tecnología utilizada sea la más adecuada a los fines del sistema y

permita una vida útil satisfactoria para la inversión realizada.

- Los costos, tanto del desarrollo como de su operación y

manteni-miento, sean los planificados y exista un retorno de la inversión.

- Se hayan logrado los beneficios esperados.

Observemos en detalle cada uno de estos aspectos:

(28)

24

Diagrama de Gantt: re-presenta la relación a través del tiempo, entre la fecha de inicio y ter-minación estimadas pa-ra cada actividad, con sus subactividades y sus predecesores.

PERT: representación en forma de red de las actividades; entre sus ventajas se encuentran que permite determinar la ruta crítica y optimiza tiempos, costos y recur-sos.

interrelacionado con otros sistemas, a través del intercambio de infor-mación o acceso a inforinfor-mación común.

El Cronograma del Proyecto permita o haya permitido que el Siste-ma esté operativo oportunamente. Debe verificarse que exista un Cro-nograma del Desarrollo del Sistema, usando el método de Gantt como mínimo, siendo ideal utilizar adicionalmente el PERT-CPM.

Se evaluará, de acuerdo con la estacionalidad del ciclo operativo del sistema, si el inicio de la implantación y puesta en marcha es acorde con las necesidades de la Institución, debiendo empezar, de ser facti-ble, simultáneamente, al comenzar el ciclo administrativo, de tal forma que se evite la puesta al día de información.

Se aplique la metodología de Desarrollo de Sistemas. La forma más adecuada para asegurar que el Sistema se desarrolle de acuerdo con una metodología, consiste en verificar dos aspectos:

(29)

25

Con la documentación de sistemas generada, se debe verificar que todas las etapas y sub-etapas de la Metodología de Análi-sis, Diseño, Programación e Implantación de Sistemas se ha-yan ejecutado, con resultados satisfactorios.

 Aplicación de técnicas: se deber verificar que se hayan utilizado las

técnicas adecuadas para cada etapa y sub-etapa del desarrollo e implantación del Sistema. Para cada etapa se aplican las siguientes técnicas :

Análisis de Sistemas: - Entrevistas.

- Diagrama de Flujo de Datos (D.F.D.). - Modelación de Datos.

- Diagrama de Estructura de Datos (D.E.D.). - Historia de Vida de la Entidad (H.E.V.). - Análisis de Costo-Beneficio (A.C.B.). - Prototipeo.

Diseño de Sistemas: - Diseño Estructurado.

- Diagrama de Estructura de Cuadros. - Optimización del Diseño Físico. - Diseño de Pruebas.

- Prototipeo.

Programación:

- Programación Estructurada. - Pruebas Unitarias.

(30)

26

Implantación de Sistemas: - Capacitación.

- Creación de archivos iniciales. - Proceso en paralelo.

Exista un control permanente de la consistencia y confiabilidad de los Sistemas Informáticos. Deben existir los controles específicos de:

- Detección de errores.

- Prevención de acceso no autorizado y mal uso de la información y del equipo.

- Controles ambientales y seguridad.

La calidad del sistema producido sea tal que permita una óptima operatividad del mismo. Este aspecto, además de ser evaluado por un especialista en Sistemas, debe también ser verificado con el usuario, ya que él puede dar su apreciación del sistema, en forma real y responsa-ble, porque se encarga de operarlo y administrarlo. La información debe garantizar que:

- Cumpla con los requerimientos del usuario, establecido en la fase de

Análisis y Diseño del Sistema.

- La secuencia de trabajo u operación del sistema, sea el mismo que el

de proceso real.

- El sistema sea totalmente operado con: guía al usuario y ayudas

per-manentes en línea.

- El tiempo de respuesta sea adecuado para el volumen real de datos. - El consumo de recursos de cómputo sea razonable y esté dentro de

lo previsto.

- Responda a todas las bifurcaciones posibles en la operación del

(31)

27

- La interfase-usuario sea adecuada y de fácil manejo y comprensión. - Se disponga de todas las facilidades utilitarias de reorganización de

archivos y copias de respaldo.

- Se disponga de procedimientos de respaldo ante caídas del sistema.

La tecnología utilizada sea la más adecuada a los fines del sistema y permita una vida útil satisfactoria para la inversión realizada. Se de-be verificar que los siguientes elementos sean los más adecuados:

- Equipos.

- Sistema de Red.

- Sistema de Base de Datos. - Sistema de Comunicaciones. - Lenguaje de Programación.

Es conveniente indicar que en algunas organizaciones se define en for-ma global toda la plataforfor-ma de Hardware y Software a utilizar como es-tándar para la Institución, quedando en este caso, tratar de aprovechar-la al máximo. Sin embargo, existen organizaciones en aprovechar-las que se dan soluciones departamentalizadas con interfases entre ellas, manteniendo cierta independencia entre si. A continuación mencionamos algunas consideraciones que se deben tener en cuenta para evaluar si el equi-pamiento y software es adecuado para el sistema.

 Equipos: se deben utilizar los equipos adecuados, de acuerdo con

el tipo de sistema desarrollado. Si la aplicación es monousuaria, se requiere un equipo que tenga independencia de operación, debien-do contar individualmente con la potencia del caso para soportar to-do el procesamiento.

(32)

balancea-28

dos adecuadamente los recursos entre ambos, de tal forma de con-tar con el tiempo de respuesta requerido.

 Sistema de red: dependiendo del tipo de Sistema, se deber utilizar

el tipo de plataforma de Red que más convenga. Si el sistema es ce-rrado y netamente operativo con un criterio de procesamiento cen-tralizado, pueden utilizarse los Sistemas orientados a la centraliza-ción y si el sistema es de filosofía abierta y descentralizada, se de-ben utilizar redes de este tipo.

 Sistema de base de datos: en función a las necesidades del

siste-ma se debe utilizar la plataforsiste-ma necesaria de Base de Datos. Para aplicaciones sencillas e independientes, se utiliza el manejador de base de datos del lenguaje. Sin embargo, para aplicaciones corpo-rativas, se utilizan manejadores de base de datos relacionales de ni-vel, así como para aplicaciones de tipo cliente-servidor.

 Sistema de comunicaciones: este es un factor importante a evaluar

en función de la naturaleza del sistema. Muchas veces el sistema debe instalarse en una tipología de comunicaciones preestablecida y hay que tratar de aprovecharla al máximo. Sin embargo, si el dise-ño de las comunicaciones pudiera estar correlacionado con el siste-ma, permitiría un mejor desempeño de las mismas.

Se debe evaluar si el lenguaje a utilizar o ya utilizado es el más con-veniente, dependiendo de las necesidades de eficiencia y facilidad de desarrollo y explotación, por lo que deben evaluarse los siguien-tes factores:

- Tiempos de procesamiento y respuesta.

- Facilidades en tiempos de programación y mantenimiento de siste-mas.

(33)

29

Auditoría de sistemas - Ambientes gráficos.

Que los costos, tanto del desarrollo como de su operación y mante-nimiento, sean los planificados y que exista un retorno de la inver-sión. El proyecto, para ser aprobado, debe contar con un presupuesto general, el cual debe ser detallado en la fase de Análisis de Sistemas. Los componentes de costos deben ser:

- Costos de personal de sistemas y del usuario. - Costo de supervisión.

- Costos de equipamiento.

- Costos de originales de software de base. - Costos de instalaciones y servicios.

- Costo de almacenamiento de datos. - Costo de capacitación.

- Costo de creación de archivos maestros. - Costo de procesamiento en paralelo. - Costo de producción.

- Costo de mantenimiento.

El control de costos debe efectuarse por etapas:

- Análisis y diseño del sistema. - Programación del sistema. - Implantación del sistema. - Operación del sistema.

(34)

30

6.2

Con base en las pruebas determine el nivel de riesgo del área de infor-mática y todos sus componentes organizacionales y operativos. Justifi-que su repuesta.

El análisis y evaluación de los riesgos del área de informática de una empresa son dos elementos esenciales para determinar el estado en que se presentan los riesgos, es decir, los escenarios frente a los cuales la organización posee debilidades. Estas debilidades se expresan en observaciones o evidencias que son identificadas en cada una de las áreas y su análisis permite determinar el nivel de riesgo o los riesgos a que está expuesta la empresa. La evaluación de los riesgos permite identificar la probabilidad de ocurrencia de cada uno de los riesgos evi-denciados, por cuanto cada uno de estos se confronta con el control existente y se establece la frecuencia en que pueda presentarse una si-tuación anómala para la empresa; además se establece el impacto de cada riesgo que para cada organización varía, con el fin de identificar el grado de exposición que puede causar la ocurrencia de este riesgo o el costo que tendría para la organización la recuperación o pérdida de di-nero y tiempo en restablecer sus operaciones normales.

(35)

31

Auditoría de sistemas Hernández Hernández, Enrique. Auditoría en Informática. México:

Edito-rial CECSA, 2000.

Piettini, G., Emilio del Peso. Auditoría Informática, un enfoque práctico. México: Editorial Alfaomega, segunda edición, 2001.

(36)

32

(37)

33

AAAuuutttoooeeevvvaaallluuuaaaccciiióóónnnfffooorrrmmmaaatttiiivvvaaa

Auditoría de sistemas - Fascículo No. 6

Nombre_____________________________________________________________________ Apellidos ________________________________________ Fecha ____________________ Ciudad _________________________________________ Semestre __________________

1. ¿Cómo se evalúan la estructura organizacional de una empresa y sus procedi-mientos?

2. ¿Cuáles son los aspectos que se deben tener en cuenta en la evaluación de la ad-ministración de una empresa?

3. ¿Cómo se evalúan los riesgos en una empresa?