Click here to load reader
Upload
mike
View
2.531
Download
838
Embed Size (px)
Citation preview
,
AUDITORIA EN INFORMTICA
Segunda edicin
JOS ANTONIO ECHENIQUE GARCfA Universidad Nacional Autnoma de Mxico
Universidad Autnoma Metropolitana
McGrawoHill MXICO o BUENOS AIRES o CARACAS GUATEMALA LISBOA MADRID
NUEVA YORK SAN JUAN SANTAF DE BOGOTA SANTIAGO SAO PAULO AUCKLAND LONDRES MILN o MONTREAL o NUEVA DELHI SAN FRANCISCO
SINGAPUR ST. LOUIS SIDNEY TORONTO
CoNTENIDO
AGRADECIMIENTOS ............................................................................................ ix INTRODUCCIN .................................................................................................... xi
CAPTULO 1: Concepto de aud itora en informtica y dive rsos ti pos de auditoras .......................................................................... 1
Concepto de auditoru y concepto de informtica ................................................. 2 Diversos tipos de auditori,l y 'u nlacin con la auditora en inform.itica ......... 5
Auditora intemu/cxtem,, v .lUditora contable/financiera ......................... 5 Auditora adminbtrati,a/ J' del usuario .................................................................... 36 Pruebas sustantivas ........................................................................................... 36
Evaluacin .de los sist
vi Prc.'Supucstos ............................................ .. ........................................................ 84 Recursos financieros ....... ................................................ .............................. ..... 85 Recursos materiales .... ....................................................................................... 86
CONTENIDO
CAPTULO 4: Evaluacin de los sistemas .......................................................... 89 Evaluacin de sistemas ............................................................................................ 90 Evaluacin del anlisis ............................................................................................. 95
A11lisis y diseo estructurado ........................................................................ 97 Evaluacin del diseo lgico del sistema ............ .................................................. 98
Programas de desarrollo ................................................................................... 98 Bases d e datos ............... ..................................................................................... 99 El adm inistrador de bases de datos .............................................................. 100 Comunicacin ... ......................................................... ...................................... 102 Informes ............................................................................................................ 103 Anlisis de informes ........................................................................................ 113 Ruido, redundancia, entropa ........................................................................ 113
Evaluacin del desarrollo del sistema ................................................................. 115 Sistemas distribuidos, Internet, comunicacin entre oficinas ................... 116
Control de proyectos .............................................................................................. 117 Control de diseo de sistemas y programacin ................................................. 119 lnstructi vos de operacin ........... ........................... ................................... ............. 132 Forma de implantacin ..... ..................................... .......... ................................. ..... 133 Equipo y facilidades de programacin ................................................................ 133 Entrevistas a usuarios ............................................................................................ 133
Entrevistas ....................................................................................................... 134 Cuestionario ..................................................................................................... 134
Derechos de autor y secretos industnales ........................................................... 138 Internet .............................................................................................................. 142 Proteccin de los derechos de autor ............................................................. 144 Secretos industriales ........................................................................................ 145
CAPTULO 5: Evaluacin del proceso de datos y de los equipos de cmputo ........................................................................ 155
Controles .................................................................................................................. 156 Control de datos fuente y manejo de cifras de control ............................... 161 Control de operacin ....................................................................................... 164 Control de salida .............................................................................................. 170 Control de asignacin de trabajo ................................................................... 171 Control de medios de almacenamiento masivo .......................................... 173 Control de mantenimiento ............................................................................. 176
Orden en el centro de cmputo ................................................ ............................ 182 Evaluacin de la configuracin del sistema de cmputo .................................. 183 Productividad .......................................................................................................... 185
Puntos a evaluar en los equipos .................................................................... 186
CAPTULO 6: Evaluacin de la seguridad ....................................................... 191 Seguridad lgica y confidencialidad .................................................................... 194
Seguri, Riesgo. Encrip
Seguridad Seguridad
Ubica e Piso eh Aire ac Instala Seguric Seguric Octecci Tempe1
Seguridad Protecc
Seguros ..... Con die
Seguridad E Seguridad< Plan de con
de desa Plan de &lecci
CAPITulO
Tcnicas pru Anlisis Me todo'
Evaluacin Anlisis
Evaluacin' Evaluad Evaluad Evaluad E\aluaci
Controles .... Presentacin
Conclusione
Bibliografa
fndice analt
84 85 86
89 90 95 97 98 98
,99 100 102 103 113 113 115 116 117 119 132 133 133 133 134 134 138 142 144 145
155
156 161 164 170 171 173 176 182 183 185 186
191 194
Seguridad lgica ............................................................................................. 196 vii Riesgos y controles a auditar ........................................................................ 205 Encrip tam iento ................................................................................................ 216
CONTENIDO
Seguridad en el personal ...................................................................................... 218 Seguridad fsica ....................................................................................................... 219
Ubicacin y construccin del centro de cmputo ....................................... 220 Piso elevado o cmara plena ......................................................................... 221 Aire acondicionado ............................................................... .......................... 221 Instalacin e lctrica y suministro de energfa .............................................. 222 Seguridad contra desastres provocados por agua ................................ ...... 224 Seguridad de autorizacin de accesos .......................................................... 225 Deteccin de humo y fuego, extintores ........................................................ 226 Temperatura y humedad ................................................................................ 227
Seguridad en contra de virus ................................................................................ 236 Protecciones contra virus y elementos a audita r ......................................... 237
Seguros ..................................................................................................................... 240 Condiciones generales del seguro de equipo electrnico .......................... 241
Seguridad en la utilizacin del equ ipo ............... ................................................. 247 Seguridad al restaurar el equipo ......................................................................... 249 Plan de contingencia y procedimientos de respaldo para casos
de desastre ........................................................................................................ 251 Plan de contingencias ...................................................................................... 252 Seleccin de la estrategia .................................................................. .............. 262
CAPTULO 7: Interpretacin de la informacin ............................................. 269 Tcnicas para la interpretacin de la informacin ............................................. 270
Anlisis crtico de los hechos ......................................................................... 270 Metodologa para obtener e l grado de madurez del s istema .................... 271
Evaluacin de los sistemas .................................................................................... 272 Anlisis ....................................................................................................... ....... 272
Evaluacin de los sistemas de informacin ........................................................ 276 Evaluacin en la ejecucin ............................................................................. 277 Evaluacin en el impacto .............................. .................................................. 278 Evaluacin econmica .............................................. ...................................... 279 Evaluacin subjetiva ................................................................................ ....... 280
Controles ........................................................................ ........................ .................. 281 Presentacin ........................... ................................................................................. 285
Conclusiones .......................................................................................................... 289
Bibliografa ............................................................................................................. 291
ndice analtico ....................................................................................................... 293
INTRODUCCIN
En la actualidad el costo de los equipos de cmputo ha disminuido considera-blemente, mientras que sus capacidades y posibilidades de utilizacin han au-mentado en forma inversa a la reduccin de sus costos. Aunque los costos uni-tarios han disminuido {el de una computadora personal, "microcomputadora"), los costos totales de la computacin (de equipos, sistemas, paquetes, recursos humanos, consumibles, etc.) se han incrementado considerablemente. Ello se debe a que, si bien la relacin precio/ memoria es menor, el tamao de la me-moria de los equipos y sus capacidades son mucho mayores, con procesadores y dispositivos que pemten acceso de ms datos en mucho menos tiempo y que procesan la informacin en forma ms rpida {memorias RAM y ROM, discos fijos, cte.). Esto hace que, aunque se han reducido los costos, al aumentar sus capacidades y facilidades se ha incrementado el costo total, lo que ha tenido como consecuencia que los costos totales del uso no hayan disminuido en todos los casos. Las nuevas herramientas con que se cuenta (Internet, Extranet, comu-licacin, bases de datos, multimedia, etc.) hacen que tambin se pueda tener acceso a mayor informacin, aunque el costo total de los sistemas, as como la confiabilidad y seguridad con que se debe trabajar, sean muy altos.
En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se tiene poca productividad en relacin con la informacin y uso que se da a stas. Tambin se tiene poco control sobre la utilizacin de los equipos, existe un de-ficiente sistema de seguridad tanto fsica como lgica y se presenta una falta de confidencialidad de la informacin. Lo que se debe incrementar es la producti-vidad, el control, la seguridad y la confidencialidad, para tener la informacin necesaria en el tiempo y en el lugar adecuados para poder tomar las mejores decisiones.
Los siguientes puntos de la tecnologa de informacin son particularmente notables:
Una gran disponibilidad de hardware de computadoras muy poderosos y baratos, incluyendo la incorporacin, a travs de la miniaturizacin de po-derosas capacidades, en diferentes dispositivos diseados para usos perso-nales y profesionales.
Una gran disponibilidad de software poderoso, barato y relativamente ac-cesible, con interfases de uso grfico.
A la medida del diente, cambio de sistemas a ;oftware preempacado. Cambio de computadoras principales (mnitiframe) a computadoras de uso
individual o aumentadas como parte de redes dedicadas a compartir infor-macin, as como computadoras corporativas con los correspondientes cam-
xii INTRODUCCIN
bios en 1.1 Mtura leza, o rgani7acin y loc,1 1izacin de actividades de los sis-temas de inftwmilcin, como el cambio a computadoras de u:;ulrio fina l. Incremento en 1,1 habilidad de las comput.1doras para acccsardatos en tiempo real o d~morado, ambos en forma loc.>l o a travs de acceso ,, facilidades remot,ls, incluyendo va Internet. Captura de nuevos datos y el lidcr.ugo en tecnologa en almacenamiento mximo para incrementar la computari7, gr.ificas )' ndeo, con nfasis en la administracin, prcscntaan y comu-nicacin de informacin, utilizando aproximaciones de multimdia. La cobertura de informacin y las tcrnologos de comunicacin ~fectan la forma en que se trabaja y se compra. Jncrctncnto del uso de Internet para unir individuos, intraorganizilcioncs, a travs dl sistemas tales como com~o electrnico (E.-mai l), Internet, inclu-yendo world y widc web. El incrt'mcnto en el uso de Internet p.1ra conducir comunicacin entre orga-IZ
ssis-lal. mpo a des
iento 1 tex->mu-
an la
tes, a ndu-
>rga-tales clec-
rma vid o eros. etra->S la-stra-Jario
10de ;iste ti vos
-or-Uida lRK
) sis s de
:ti va
es la exi
sen-IS de
ma de organizar el rea de cmputo, requieran aplicar tcnicas modernas de xiii control y adnnistracin. INTRODUCCIN
En muchos centros de informtica tambin se desconoce el adecuado cm pleo de herramientas administrativas, contables/ financieras, tales como presu-puestos, finanzas, costos, recursos humanos, organizacin, control, etc. Esto repercute en una inadecuada rea de informtica que no permite tomar decisio-nes con las caractersticas que deben tener las organizaciones actuales, lo cual hace que no se cuente con los controles para asegurar que esas decisiones no se desven de los objetivos.
La proliferacin de la tecnologa de informacin ha incrementado la de-manda de control de los sistemas de itormacin, como el control sobre la pri vacidad de la informacin y su integridad, y sobre los cambios de los sistemas. Adems, hay una preocupacin sobre la cada de los sistemas y sobre la seguri-dad de la continuidad del procesamiento de la informacin, en caso de que los sistemas se caigan. Otra rea de preocupacin es la proliferacin de subsistemas incompatibles y el ineficiente uso de los recursos de sistemas.
Los sistemas tienen difcren tes etapas, y una de ellas puede ser la utilizacin de las herramientas que nos proporcionan los mismos sistemas electrnicos. Para poder evaluar un sistema de informacin es necesario conocerlo y contro-larlo desde su inicio, siguiendo su proceso, que puede ser manual, mecnico, electrnico, o bien la combinacin de stos, hasta llegar a su almacenamiento, respaldos, seguridad y eficiencia en el uso de la informacin que proporcionan. No basta, pues, conocer una parte o fase del sistema, como pueden ser los equi-pos de cmputo, que tan slo vienen a ser una herramienta dentro de un siste-ma total de informacin.
La informtica ha sido un rea que ha cambiado drsticamente en los tUti-mos aos. En tma generacin, la tecnologa ha cambiado tanto que lo que sor-prendi hace algtmos aos, como la llegada del hombre a la Luna, o bien la creacin del horno de microondas, hoy nos parece algo muy familiar. En una dcada hemos visto el cambio en la organizacin de la informtica: s i hace poco era algo comn la tarjeta perforada, hoy la vemos como algo de un pasado muy remoto, y consideramos como algo normal el uso de microcomputadoras y de redes. Esto ha provocado que se tengan especialistas dentro del rea de la infor mtica. Ya no podemos pensar en el personal de informtica que poda trabajar con microcomputadores y con grandes computadoras, o bien en la persona que conoca en detalle sobre bases de datos y de comunicaciones. Ahora se deben de tener especialistas en cada una de las reas. Una de stas es la auditora en informtica, y en ella debemos de tener especialistas para cada una de las dife-rentes funciones que se realizarn. Esto sin duda depende del tamao del rea de la informtica y de la organizacin.
El principal objetivo del libro es evaluar la funcin de la informtica desde los sigtticntcs puntos de vista:
dn La parte administrativa del departamento de informtica. n de Los recursos materiales y tcnicos del rea de informtica. idad Los sistemas y proccdimi
xlv INTRODUCCIN
Es conveniente precisar y aclarar que la funcin de la auditora en inform tica se ubica dentro del contexto de la organizacin, dependiendo de su tamai\o y caractersticas. La profundidad con la que se realice, depender tambin de las caractersticas y del nmero de equipos de cmputo con que se cuente. El presente libro sena la un panorama general, pero habr que adecuar ste y pro fundizar de acuerdo a la organi.tacin de que se trate y de los equipos, software y comurcacin que se auditen.
Para cualquier comentario sobre esta obra, los lectores pueden dirigirse a la direccin del autor en Internet: [email protected]
CAPTU
Al flnali~
orm-IIJiao tnde lte. El y pro-tware
sea la
CAPTULO
Concepto de auditora en informtica y diversos tipos de auditoras
OBJETIVOS Al finalizar este captulo, usted:
1. Analizar los conceptos de auditora e informtica. 2. Conocer los diversos tipos de auditora y su relacin con la auditora en
informtica. 3. Expondr cules son las tcnicas avanzadas que se utilizan en ta auditora
con nfonntca. 4. Describir las habilidades fundamentales que debe tener todo audttor de in-
fonntica. 5. Definir cul es el campo de la auditora en tnfonntJCa. 6. Explicar cules son los principales objetivos de ta audttora en tnfonntJCa.
2 CAPn'ULO 1
CONCfPTO DE AUOITORIA
EN INfOI>MA TlCA Y DIVERSOS TIPOS
DE AUOITOAIAS
Definiciones
CoNCEPTO DE AUDITORA Y CONCEPTO DE INFORMTICA Auditoria. Con frecuencia la palabra auditoria se ha empleado mcorrectamt.'n-te ~ "'le ha conSJderado como una evalu.,an cuyo nico fin es dttectar ermrt> y s ..n.1lar fallas. Por eso St.' ha llegado a u'ar la fr.L'it' "tiene .1udlloria" como sintlnmo de qu
)I'J"CCtamcn-'Ctar erro re-~
ra .. romo las) por ll> .amplio; no e e\aluar la tinar curs
~de~ est~r :ia y ~ficaci a ::ursos .11tcr
errore~, tn
acia es: .. vir !S: "\'irtud ' marlopla "'lograr los
Contador."'
la llplicacu)n son de CMtli.' )naJ, slido v mar lo~ rcsul4
1 realizacin ntos para la ~IO. ~tih con algunas Lt auditon,,
.isla audito-
nJ dl be evaluar para mejorar lo c'ic;ll'Otl', corrl'gir errores y proponer alterna 11\ J de ,u)uci6n.
Informtica. El concepto d~ mform.itll".l l'S m.is amplio que el simple uso d
4 Tambin es comn confundir el concepto de dato con el de informacin. La informacin es una serie de datos clasificados y ordenados con un objetivo co-mn. El dato se refiere nicamente a un smbolo, signo o a una serie de letras o nmeros, sin un objetivo que d un significado a esa serie de smbolos, signos, letras o nmeros.
CAPiTULO 1 CONCEPTO DE
AUDITORiA EN INFORMTICA
Y DIVERSOS TIPOS oe AUOITOAfAS -..!' La info1maci., est orientada a reducir la incertidumbre del receptor y ti e-
ne la caracterstic,, de poder duplicarse prcticamente sin costo, no se gasta. , Adems no exist~ por s misma, sino que debe expresarse en algn objeto (pa-
i ; .. pel, cinta, etc.); de otra manera puede desaparecer o deformarse, como sucede , / con la comunicacin oral, lo cual hace que la informacin deba ser controlada ( / '-.!.''-[// debida mente por medio de adecuados sistemas de seguridad, confidencialidad
..... :1 r Y y respaldo. La informacin puede comunicarse, y para ello hay que lograr que los me-
dios de seguridad sean llevados a cabo despus de un adecuado examen de la forma de transmisin, de la eficiencia de los canales de comunicacin(;l trans-misor, el receptor, el contenido de la comunicacin, la redundancia y el ruid
Lla IC(}-aSO nos,
tie-\Sta. (pa-:ede lada dad
me-le la ans-idi) ove.! sde dn cual ma-tn.:
arto o de for-, los ;.u a-
Jor-lace . La ran-1or-ntas ba-
:in plo-rios mto las
; no
DIVERSOS TIPOS DE AUDITORA Y SU RELACIN CON LA AUDITORA EN INFORMTICA
AuDITORA INTERNA/EXTERNA Y AUDITORA CONTABLE/FINANCIERA
e ,, ? f DIVERSOS TIPOS DE
"> .,t' AUDITORA V SU ' ;.. RELACIN CON
..JJ INFORMA.TICA
/
LA AUDITOAIA EN
,..
(..
J
El Boletn E-02 del Instituto Mexicano de Contadores' seala respecto al control interno:
El estudio y e\aluacin del control int~rno se efecta con el objeto de cumplir con la norma de ejecucin del trabajo que requiere qu~: el auditor debe efectuar un estudio y evaluacin adecuados del control interno t>xistente, que le sirvan de base para determinar el grado de confianza que va a depositar en ~1. as mismo, que le permitan determinar la naturaleza, extensin y oportumdad que \'a a dar a los procedimientos de auditora.
5
El control in temo comprende el plan de organizacin y todos Jos mtodos y J procedjmientos que en forma coordinada ~e adoptan CJ"' un J"'cgocio para salva- 1 guardar sus activos, verificar la razonabilidad y confiabilidad de su informacin
financiera~ promover la eficiencia operacional y provocar la adherencia a las pol-.J ticas prescritas por la administracin.
Definicin y objetivos del
control Interno
Objetivos bsicos del control interno. De lo anterior se desprende que los cua-tro objetivos bsicos del control interno son:
La proteccin de los activos de la empresa. "\ (. La obtencin de informacin financiera veraz, co1iable y oportuna. v .-La promocin de la eficiencia en la operacin del negocio. \ .'. /"' Lograr que en la ejecucin de las operacione~ se cumplan las polticas esta
blecidas por los administradores de la empresa.
Se ha establecido que los dos primeros objetivos abarcan el aspecto de con-troles internos contables y los dos ltimos se refieren a controles internos admi-nistrativos.
Objetivos generales del control in terno- El control interno contable compren-de el plan de organizacin y los procedimientos y registros que se refieren a la proteccin de los activos y a la con1iabilidad de los registros financieros. Por lo
" Boletn E-02. Normas y proetdimit'ntos de JJuditorn, Instituto Mexicano de Contadores Pblicos.
6 C APITULO 1
CONCEPTO DE AUOITORIA
EN INFOA.t.tATICA Y DIVERSOS TIPOS
0 AUOITOAiAS
tanto, est diseado en funcin de los objetivos de la organizacin para ofrecer seguridad razonable de que las operaciones se realizan de acuerdo con las nor-mas y polticas sealadas por la administracin.
Cuando hablamos de los objetivos de los controles contables internos pode-mos identificar dos niveles:
A) Objetivos generales de control interno aplicables a todos los sistemas B) Objetivos de control in terno aplicables a ciclos de transacciones
(i\Los objetivos generales de control aplicables a todos los sistemas se desa-rrOllan a partir de Jos objetivos bsicos enumerados anteriormente, y son ms especficos, para faci li tar su aplicacin. Los objetivos de control de ciclos se de-sarroUa.n a partir de los objetivos generales de control de sistemas, para que se apliquen a las diferentes clases de transacciones agrupadas en Wl ciclo.
G)Los objetivos generales de control interno de sistemas pueden resumirse a continuacin.
Objetivos de autorizacin Todas las operaciones deben rcaliz.arsc de acuerdo con autorizaciones genera-les o especificaciones de la admirustracin.
Las autori/.aciones deben estar de acuerdo con criterios establecidos por el nivel apropiado de la administracin.
Las transacciones deben ser vlidas para conocerse y ser sometidas oportu-namente a su aceptacin. Todas aquellas que renan los requ isitos establecidos por la admirustracin deben reconocerse como tales y procesarse a tiempo.
Los resu ltados del procesamiento de transacciones deben comunicarse oportunamente y estar respaldados por archivos adecuado>.
Objetivos del procesamiento y clasificacin de transacciones
Todas las operaciones deben registrarse para permitir la preparacin de esta-dos financieros en conformidad con los principios de con tabilidad general-mente aceptados, o con cualquier otro criterio aplicable a los estados y para mantener en archivos apropiados los da tos relati vos a los activos sujetos a custodia.
Las transacciones deben cla~i ficar>e en forma tal que permitan la prepara-cin de estados financieros en conformidad con los principios de contabilidad generalmente aceptados segn el cri terio de la administracin.
Las transacciones deben quedar registradas en el mismo periodo con table, cuidando de manera especifica que se registren aquellas que afectan ms de un ciclo.
Objetivt El acceso adminish
Objetive
Los datos se con los das aprop
Asimi per idica objetivo ce
Estos todos lose cas de cor d esarrolla q ue sean a
El rea no. La prin interno, r 1 informtic(
En el p una organi en el logro auditora. l mtica. En d ecir, come adecuadam se obtenga mejore laef y para que polticas est, control intet
Al estue que, aunqUl tener en cue clo de trans
La audit cin, proccst da fsica, ver rcnch1 entre financie ro es zacin medi ti vos del com
irecer s nor-
dt>sa nma~ ' complementa en forma impt>rtant general"' dd control mtcrno dl' Sistemas son aphcabl .. ., a todos 10" Cldos :\o se trat.l dl' que se US de aud1toria. Esto debe ser con,id..,rado mmo partc l'l wntwl mt..,mo de inform.tica. E' J,,,r, n)mo ,.. seala en lo, objt'ti\l>S dd control interno, ..e deben proteger adc'CUadolm..,nte los act\'
8 CAPITULO 1
CONCEPTO DE AUOITORIA
EN INFORMTICA Y DIVERSOS TIPOS
DE AUOITORIAS
general, al equipo de cmputo y al departamento de informtica, para lo cual se requ ieren conocimientos de contabilidad, finanzas, recursos humanos, ad mWstracin, etc., as como de experiencia y un saber profundo en inform-tica.
La auditora interna debe estar presente en todas y cada una de las pa1tcs de la organizacin. Ahora bien, 1,, pregunta que normalmente se plantea es: cul debe ser su participacin dentro del rea de informtica?
La informtica es en prime- lugar una herramjcnta muy valiosa que debe tener un adecuado control y hacer o tras dos pregunta~: De qud mJnera puede participar el personal de con-trol interno en el d iseo de los sistemas? Qu conocimientos debe t
El auditor interno desempea una importante funcin al participar en los planes a largo plazo y en el diseo det,lllado de los sistemas} su implantacin, de tal manera que se asegure que los procedimientos de audtora y de seguri-dad sean incorporados a todas y cada una de las fases del sistema.
AuDITORA ADMINISTRATIVA/OPERACIONAL la tecnologa en informacin est afectando la forma en que lds 0rp,.mizacones estn estructuradas, administradas y operadas. En alg
10 CAPm.ILO 1
~dcm.is, "' mx>rt,tnte tener en CUI!nta los 'gtuentt'S lacto...,. Elcm d computadora (soft-warl') que permiten el,tborM aud1tori,1s a SIStemas fin.mcierO> y contabi de cmpu-to dla Institucin. Un.t computador.t p uede ser ~mpleada por 1'1 auditor en: ransm isin dt informac-in de la contabilidad dl' la organi7aci6n a la
comput,tdora del aud1tor, par.1 ser tr.lbaj.lda por
la filo icular. tibies s cate-
itora, iendo nane-(soft-ue se por el mpu-n:
a la ;iste-
Verificacin de cifras totales y clcu los para comprobar la exactitud de los reportes de salida producidos por el departamento de informtica, de la informacin enviada por medios de comunicacin y de la infom1acin al macenada. Pruebas de Jos registros de los archivos para veificar la consistencia lgica, la validacin de condiciones y la razonabilidad de los montos de las opera-ciones. Clasificacin de datos y anlisis de la ejecucin de procedimientos. Seleccin e impresin de datos mediante tacas de muestreo y confirma-ciones. Llevar a cabo en forma independiente una simulacin del proceso de tran-sacciones para verificar la conexin y consistencia de los programas de computadora.
Con fines de auditora, el auditor intemo puede emplear la computadora para:
'!l. Utilizacin de paquetes para auditora; por ejemplo, p,1quetes provenien-1es del fabricante de equipos, firmas de contadores pbcos o compal''ias de software.
DIVERSOS TIPOS OE AUOfTORIA Y SU RELACION CON LA AUOITORiA EN INFORMA TICA
11
ltSupervisar la elaboracin de programas que permitan el desarrollo de la J auditora interna. '
-;.Utilizacin de programas de auditora desarrollados por proveedores de equipo, que bsicamente verifican la eficiencia en el empleo del compu tador o miden la eficiencia de los programas, su operacin o ambas cosas.
,._ .... -Ir., .......... \. .......... ,. .. J.+,., oP'
...u ~J
Todos los programas o paquetes empleados en la auditora deben perma-necer bajo estricto control del departamento de auditora. Por esto, toda la do-cumentacin, materia l de pruebas, listados fuente, programas fuente y objeto, adems de los cambios que se les hagan. sern responsabilidad del auditor.
En aquellas instalaciones que cuentan con bibotecas de programas catalo gados, los programas de auditora pueden ser guardados utiliLando contrase-as de proteccin, situacin que sera aceptable en t.u1to se tenga el control de las instrucciones necesarias para la recuperacin y ejecucin de los programas desde la biblioteca donde estn almacenados. Los programas desarrollados con objeto de hacer auditora deben estar cuidadosamente documentados para de-finir sus propsitos y objetivos y asegurar una ejecucin continua.
Cuando los programas de auditora estn siendo procesados, los auditores internos debern asegurarse de la integridad del procesamien to mediante con-troles adecuados como:
Mantener el control bsico sobre los programas que se encuentren catalo-gados en el sistema y lleva r a cabo protecciones apropiadas. Observar directamente el procesamiento de la aplicacin de auditora . Desarrollar programas independientes de control que rnonitor~>en el proce-samiento del programa de auditora. Mantener el control sobre las especificaciones de los programas, documen-tacin y comandos de control.
12 CAPITuLO 1
CONCEPTO DE AUDITORIA
EN INFOAM TIC A Y DIVERSOS TIPOS
DE AUDITOAIAS
Controlar la integridad de los archivos que se estn procesando y las sali-das generadas.
Tcnicas avanzadas de auditora con informtica
Cuando en una instalacin se encuentren operando sistemas avanzados de computacin, como procesamiento en lnea, bases de datos y procesamiento distribuido, se podra evaluar el sistema empleando tcnicas avanzadas de auditora. Estos mtodos requieren un experto y, por Jo tanto, pueden no ser apropiados si el departamento de auditora no cuenta con el entrenamiento ade-cuado. Otra limitan te, incluyendo el costo, puede ser la sobrecarga del sistema y la degradacin en el tiempo de respuesta. Sin embargo, cuando se usan apro-piadamente, estos mtodos superan la utilizacin en una auditora tradi-cional.
Pruebas integrales. Consisten en el procesamiento de datos de un departamen-to [icticio, comparando estos resultados con resultados predeterminados. En otras palabras, las transacciones iniciadas por el auditor son independientes de la aplicacin normal, pero son procesadas al mismo tiempo. Se debe tener espe-cial cuidado con las particiones que se estn utilizando en el sistema para prue-ba de la contabilidad o balances, a fin de evitar situaciones anormales.
Simulacin. Consiste en desarrollar programas de aplicacin para determina-da prueba y comparar los resultados de la simulacin con la aplicacin real.
Revisiones de acceso. Se conserva un registro computa rizado de todos los ac-cesos a determinados archivos; por ejemplo, informacin de la identificacin tanto de la terminal como del usuario.
Operaciones en paralelo. Consiste en verificar la exactitud de la informacin sobre los resultados que produce un sistema nuevo que sustituye a uno ya auditado.
Evaluacin de un sistema con datos de prueba. Esta verificacin consiste en probar Jos resultados producidos en la aplicacin con datos de prueba contra los resultados que fueron obtenidos inicialmente en las pruebas del programa (solamente aplicable cuando se nacen modificaciones a un sistema).
Registros extendidos. Consisten en agregar Wl campo de control a un registro determinado, como un campo especial a un registro extra_ que pueda incluir datos de todos los programas de aplicacin que forman parte del procesamien-to de determinada transaccin, como en los sigtentes casos.
Totales aleatorios de ciertos programas. Se consiguen totales en algunas par-tes del sistema para ir verificando su exactitud en forma parcial.
Seleccin de d de un archivo 1 parcial el arcni car en forma te
Resultados de demos compar.
Las tcnica una mctodolog cin, empleand actualmente se nan los probler venir en las act al departament dencia al audit auditor puede t redes de comw
El empleo' mienta que faci
Trasladar le Llevar a cal Verificar la Visualizacit Ordenamie
El auditor i sistemas, con e con las poltica!
A continua dencia que exis puede cambiar.
Transacciones ceso. En las apl Por ejemplo, el cuando el inve: computadora s orden de repos blecido.
El registro man En las a pi icacio1 do la informad nmina puede 1 travs de la red tener una clave
lo y las sal
anzados de .cesamiento anzadas de eden no ser mientoade-delsistema usan apro-tora tradi
epartamen-nados. En ndientes de tener es pe-
'para pruc les.
determina cin real.
)dos los ac ~nticacin
1formacin e a uno ya
CO!biste en reba contra 1 programa
un registro eda incluor ocesamicn
gunas par
Seleccin de determinado tipo de transacciones como auxiliar en el anlisis de un orchivo histrico. Por medio de .,te mtodo podemos anali7.ar en forma ramal el archi\'O histrico de un 'istema, el cual sera casi imposible de verifi-c:u '"" forma tota 1
Resultados de ciertos c~lculos para comparaciones posteriores. Con ellos po-demo-. comparar cm el futuro los totales en diferentes fechas.
Las tcnicas antenormente descritas ayudan al auditor interno a establecer una metodolo~ia para la rev"on de lO sistemas de aplicacin de una institu coon, emple,lndo como herramll'nt.l el mbmo equipo de cmputo. Sin embargo, actualmente se han des.uroll,ldo programas y sistemas de auditora que elimi-nan los problemas de n.,ponsabilidad del departamento de auditora, al inter-wnor en las actividades e informacin cuyo control corresponde estrictamente .11 departamento de informtica, lo cual proporciona una verdadera indepen-dencia al auditor en la rcvosin de los datos del sistema. En la actualidad, el auditor puede e>tar desarrollando algunas de sus funciones al intervenir en las rrdes de con'\unicadn intcrnc.1.
El empk' de la microcomputadora en la auditora constituye una herra mienta que facilita la realizacin de actividades de revisin como:
Traslad.tr los d,llos dl'l sbtL'm
14 CAPrTULO 1
CONCEPTO DE AUDITORA
EN INFORMTICA Y DIVERSOS TIPOS
DE AUDITORAS
en el que se tenga la informacin sobre la persona y terminal en la que se acces la i1ormacin.
La revisin de transacciones por el personal, que deja constancia con sus firmas, iniciales o sellos en Jos documentos para indicar la autorizacin del proceso. En las aplicaciones computarizadas la autorizacin puede ser autom tica. Por ejemplo, una venta a crdito puede ser automticamente aprobada si el lmite de crdito previamente determinado no est excedido. Otros mto dos de autorizacin electrnica incluyen el acceso mediante claves de segu ridad .
Anteriormente se tenan firmas en donde ahora slo se tiene una clave o llave de acceso, que es equivalente a la autorizacin, dejando nicamente un registro (en el mejor de los casos) de la llave de acceso utiliz.ada, el lugar donde se tuvo acceso y la hora y dia en que fue autorizada.
El transporte de documentos de una estacin de trabajo a otra por personas, correo o servicios similares de un Jugar del negocio a otro sitio completamcn te distinto. Por estos medios se moviliza un documento fsicamente. En aplica ciones computarizadas, los datos pueden ser enviados electrnicamente. La in formacin es transcrita, codificada, frecuentemente condensada y entonces en viada electrnicamente por lneas de comunicaciones, y al final queda wl regis tro de cundo recibi la informacin el receptor.
Procesamiento manual. Generalmente, los documentos de las transacciones con tienen espacio de trabajo para ejecutar el proceso necesario. En las aplicaciones computarizadas, el proceso se efecta electrnicamente dentro de la memoria del computador mediante procedimientos programados y siguiendo reglas pre dt'tenn.inadas.
Proceso simplificado que facilita las ejecuciones repetitivas sin alta probabi lidad de error. En las aplicaciones computarizadas, el proceso puede ser extre madamente complejo debido a la velocidad y exactitud del computador. Por ejemplo, una compaa puede utilizar su computadora para calcular la efectivi dad de cientos de posibles horarios o cdulas de produccin d fin de seleccionar el ms adecuado, mientras que en los mtodos manuales esto sera casi impo sible.
Mantenimiento en manuales de informacin de naturaleza fija que es nece-saria para el proceso, como tarifas de nminas o precios de productos. En las aplicaciones computarizadas, esta informacin se almacena en medios computariLados o bien por medio de catlogos; en los mtodos manuales es difcil tener catlogos muy amplios y con actu,ilizacin inmediata.
Listado de Jos resultados del proceso en documentos impresos, como che ques y reportes. Frecuentemente, estos documentos contienen resultados de procesos intermedios. En las aplicaciones computarizadas el proceso puede no dar por resultado documentos impresos. Por ejemplo, los fondos pueden ser transferidos electrnicamente. En algunos sistemas, la infom1acin rutmaria es
retcmda de rton accin.
ben uti !lizar4 dios, 10'' Cl"ai d
con sus cin del autom.-obada si
,~ mto-le segu-
da\'e o oente un rdonde
ersonas, rtamen-taphca-e. La n-nces en-mregis-
nesron-:aoont.-~
Ck'lllOria ;las pr~4
orob~birextre-jor. Por efcctivi-
~cdon,lr ~~ 1mpo-
es nece4
;. En las medio!'t iJa]..., l'S
no che-ldos de uedeno tl'!l ser nana e:;
n1emda dl rnJnera que slo se l'l'Obt> notlu.l ).
Rt>i>in de procesos por personas, generlmente U razonabilidad, exactitud, totalidad y autorizacin. En las aphcacio-lll""'S computdnzadas, gran p..1rtt' de c't\ m(lfllhltC(l l'' ejecutitdo automtica mt nl\.' mcdt,lnt(' una lgica de progr,lm~l pr('dctcrminada. Celda vez e~ m.t~ thf~ a ni\ d sstcma. dato o programa, mmo en< l
16 CAPiTULO 1
CONCEPTO DE AUDITORiA
EN INFORMTICA Y DIVERSOS TIPOS
DE AUDITORIAS
Habilidades del auditor
las aplicaciones computa rizadas, grandes cantidades de datos pueden ser a~ macenadas en w1a base de datos. La velocidad y capacidades de proceso del computador hacen que esta informacin est disponible en el formato deseado. En un ambiente computarizado, son posibles los ms complejos anlisis y los usos secundarios de los datos.
Planeacin de los procedimientos de auditora con informtica
El propsito principal de la planeacin de las medidas de auditora es incluir dentro de las aplicaciones las facilidades que permitan realizar las actividades de aud itora de la manera ms flu ida.
La planeacin de los servicios establece las facilidades tanto actuales como futuras que ofrece la direccin de informtica. El auditor debe examinar este plan para establecer los requerimientos de auditora necesa rios.
Para el funcionamiento de dimos procedimientos se requieren dentro de los programas rutinas que permitan accesar la informacin y sistemas indepen dientes para la seleccin, sumarizacin, comparacin y emisin de reportes.
El poder planear y realizar estas tareas implica un trabajo complicado pero que es necesario hacer. La computarizacin de las organizaciones ha dado por resultado una concentracin de datos y funciones, que son seleccionados. correlacionados, resumidos y diseminados. En un ambiente computarizado t-pico, normalmente Wl dato puede actualizar m u ellos archivos. Es necesario que el aud itor cuente con las herramientas adecuadas para poder seguir el rastro del mismo y tambin verificar que el sistema est realizando las funciones que supuestamente debe ejecutar; estas herramientas computarizadas le deben per mitir detectar los errores y corregirlos posteriormente.
Es comprensible pensar que el auditor no es un programador especializa-do, por lo que es obligacin de este grupo de proceso planear el desarrollo de estas herramientas de cmputo, atend iendo las solicitudes y recomendaciones de los auditores y aportando su propia experiencia.
Tambin debe participar en las pruebas en paralelo y en la inlplantacin del sistema, para asegurarse de que todos los procedimientos, entradas y salidas son los solicitados por el usuario en el momento del diseo detallado, as como para evaluar que los clculos realizados sean los correctos y, en generaL para dar la aprobacin del sistema una vez verificado que cumpla con los objetivos, flujo de informacin, controles y polticas del usuario y de la orga1tizacin.
La participacin del auditor interno en el diseo e inlplementacin de un sistema es de suma inlportancia. Por ejemplo, la clasificacin de la evidencia que se vena utilizando tradicionalmente, como la fi rma del fWlcionario para autorizar una transaccin, se ve reemplazada por Wla clave de seguridad de acceso o la firma electrnica, aunque la introduccin de un computador no ne-cesariamente cambia las formas de la evidencia de aud itora.
El auditor interno debe estar presente en el desarroUo del sistema para eva lua r que la informacin requerida por el usuario quede cubierta y se cumpla
Las h,lll>lll
!n ser al-xeso del deseado. :JSis y los
~incluir ]vida des
!escomo inar este
!entro de indepen-oortcs. adopero iado por ionados, izado t-sarioque el rastro onesque i>en per-
lecializa-rrollo de daones
Kindel tidasson omopara radar la ,flujo de
n de un idencia orlo para ridad de Jr no ne-
mraeva-cumpla
coo el grado de control que n~>cesita la infonnacin procesada por el sistema, de acuerdo con lo:. objd1v0 y polticas de la orgarz.lcin.
E"'ten cierta' hab1lidad~., fundamental._ que deben ser consideradas como ' 'mmmas que todo auditor de infonn.tica debe tener
Habilidad para maneJar paquet._ de procesadores de texto. Habildadl., para manCS de datos. Habilidad para el uso de al meno un paquete bsico de contabilidad.
Como evaluador, tl auditor de informJtica debe ser capaz de distinguir en-11'1' los procesos de evaluacin de sitemas y las aproximaciones que son apro-piadas para encau7Jr los propsitos especficos de evaluacin relevante para el rea de trabajo. En ctc sentido, el auditor en informtica debe tener los conoci-mientos de lo. pasos requeridos para aplicar tma evaluacin particular en d contexto de la tecnologa de la informacin. Debe poseer estndares relevantes )'prcticas que gobiernen la conduccin de una evaluacin particular. Su con-tribucin potencial a una evaluacin particular puede ser hecha en un contexto especfico.
Las habi lidad!.'S t~cnicas requeridas por el auditor en informtica son las de implantar, ejecutar y comunicar los re~ultados de la eva luacin en el contexto de la tecnologa dl' informacin, de acuerdo con estndares profesionales que gobiemcn el objltivo de la auditora.
DEFINICIN DE AUDITORA EN INFORMTICA
CoNCEPTO DE AUDITORA EN INFORMTICA Oespu~ de analizar lo:. conceptos de auditora y de informtica, Jos diferentes tipos de auditoa, a' como su interrelacin con la infonntica, debemos res-ponder las siguientes preguntas: Qu es auditora en informtica? Cul es su campo de accin?
Esta es la defmicin de Ron Weber en Auditlng Conct'plual Foundations and Practict o;obre auditora infonntica:
Es una funcu.)n que ha ~ido des.Jrmllada para asegurar la salvaguarda de los acti-vos de los "'tema' de romputadora~. mantener la integridad de los datos y lograr los objetivos de la organi
18 CAPITULO 1
CONCI'PTO DE AUDITOAIA
EN INFOAMATICA V DIVERSOS IIPOS
DE AUDITORIAS
Influencia de la auditorfa
ApUcaCI de proct"Saml('Oto de datos . Pesibthdad de dec"ione. mrorn' cla,, producto de dato, erronL'Os proJ> de control
qul.' mJnq. aquellas qu
FlconD bid o J lo iru inad
y eva de los
izacin dio del .cien te, Jma de.-
inccrti tidum-
mtrol v
orlan te
la con-?nte ac :Ja, sta
iones. y o cual-
pordn-ue afee-
dentro compu 1la lec-prdida vblema izacin. .>les. ta control
qu~ manejan estos dos tipos de problemas han sido mejor desarrolladas que aquellas que se relacionan con el abuso en las computadoras.
El control en el abuden ser declaradas como culpables, o bien considerar J la informacin como un bien tangible y un determinado costo.
El abuso tiene una importante influencia en e l desarrollo de la aud itorfa en informtica, ya que en la mayora de las ocasiones el propio personal de la orga-nizacin es el principa l factor que puede provocar las prdidas dentro del rea de informtica. Los abusos ms frecuentes por parte del personal son la utiliza on del equipo en trabaJOS distintos a los de la organiLacin, la obtencin de nfn'>abilidad adicional ~n el -.entido de asegurarse de que la informaan sea uoada solamente para los props1tos que fue elaborada.
OEFINICION DE AUOfTORIA EN INFOAt.lA ncA
19
Prdida de informacin
20 CAPiTULO 1
CONCEPTO DE AUOITOAiA
EN INFOAMTICA Y DIVERSOS TIPOS
OE AUDITORiAS
Campo de la auditora
En este caso se encuentran las bases de datos, las cuales pueden ser usadas para fines ajenos para los que fueron diseadas o bien entrar en la privacidad de las personas.
La tecnologa es neutral, no es buena ni mala. El uso de la tecnologa es lo que puede producir problemas sociales. Por ejemplo, el mal uso de la tecnolo-ga en Internet no es problema de la tecnologa, sino de la forma y caractersti-cas sobre las cuales se usa esa tecnologa. Es una funcin del gobierno, de las asociaciones profesionales y de los grupos de presin evaluar el uso de la tecno-loga; pero es bien aceptado el que las organizaciones en Jo individual tengan una conciencia social_ que incluya el uso de la tecnologa en informtica.
Deber de existir una legislacin ms estricta en el uso de la tecnologa, en la que se considere el anlisis y la investigacin para evitar e l mal uso de Internet y otras tecnologas, para evitar situaciones como el suicidio colectivo de sectas religiosas, como sucedi en Estados Unidos. Tambin se requiere de una tica por parte de las o rganizaciones y de los individuos que tienen en sus manos todo tipo de tecnologa, no slo la de informtica.
CAMPO DE LA AUDITORA EN INFORMTICA El campo de accin de la auditora en informtica es:
La evaluacin administrativa del rea de informtica. La evaluacin de los sistemas y procedimientos, y de la eficiencia que se
tiene en el uso de la ilormacin. La evaluacin de la eficiencia y eficacia con la que se trabaja.
La evaluacin del proceso de datos, de los sistemas y de los equipos de cmputo (software, hardware, redes, bases de datos, comunicaciones).
Seguridad y confidencialidad de la informacin. Aspectos legales de los sistemas y de la informacin.
Para lograr los puntos antes sealados se necesita:
A) Evaluacin administrativa del departamento de informtica. Esto compren-de la evaluacin de:
Los objetivos del departamento, direccin o gerencia . Metas, planes, polticas y procedimientos de procesos electrnicos est.n-dares. Organi.
adas para lad de la~
oga es lo 1 tecnolo ractersli-'10, de las la tecno-al tengan ica. >logia, en f Internet de sectas una tica J.S man~
~A
ia que se ( eficacia
uipos de lllCS~
'Ompren
'OS estn
le pro~-
81
C)
Evaluacin de los sistema~ y procedimientos, y de la eficiencia y eficacia que se t1enen en el uso de la informacin. lo cual comprende:
Evaluacin de l anlisis de lo~ sistemas y sus dif~rentes etapas. Evaluacin del diseo lgico del sistema. Evaluacin del desarrollo fsico del sistema. Facilidades para la elaboracin de los sistemas. Control de proyectos. Control de sistemas y programacin. Instructivos y documentacin. l'ormas de implantacin. Scgu ridad fsica y lgica de los sistemas. Confidencialidad de los bistemas. Controles de mantenimiento y forma de respaldo de los sistemas. Uhliz.-.cin de los sistl'mas . Prevencin de factores que puedan causar contingencias; seguros y re-
cupcracin en caso de desastre. Productividad . Derechos de autor y secretos industriales .
Evaluacin del proceso de datos y de los equipos de cmputo que com prcnd!':
Controles de los datos fuente y manejo de cifras de control. Control de operacin . Control de salida . Control de asignacin de trabajo . Control de medios de a lmacenamiento masivos . Control de otros elemento;, de cmputo . Control de medios de comunicacin Orden en el centro de cmputo .
D) Seguridad:
Seguridad fsica y lgica. Confidencialidad. R(.'Spaldos. Seguridad del per;onal Seguros. Seguridad en la utilu.acin de los equi>O'o. Plan de contingencia y procedimiento de respaldo para casos de dc-
Sii'Jtre. Restauracin de equipo y de sistemas.
Los principales objetivos de 1~ auditoa en informtica son los siguientes: S...haguardar los acti\'lh Se refiere a la prott'CCin del hardware, soft-
ware y recursos humano:.. Integridad de datos. Los datos deben mantener consll>tcncia y no dupliGlroe.
DEFINICIN OE AUOITORI.A EN INFORMA TICA
22 CAPITULO 1
CONCEPTO DE AUOJTORiA
EN INFORMTICA Y DIVERSOS TIPOS
DE AUDITORIAS
Efectividad de sistemas. Los sistemas deben cumplir con los objetivos de la organizacin. Eficiencia de sistemas. Que se cumplan los objetivos con los menores recur-sos. Seguridad y confidencialidad .
Para que sea eficiente la auditora en informtica, sta se debe realizar tam-bin durante el proceso de diseo del sistema. Los diseadores de sistemas tie-nen la difcil tarea de asegurarse que interpretan las necesidades de los usua-rios, que disean los controles requeridos por los auditores y que aceptan y entienden los diseos propuestos.
La interrelacin que debe existir entre la auditora en informtica y los dife-rentes tipos de auditora es la siguiente: el ncleo o centro de la informtica son los programas, los cuales pueden ser auditados por medio de la auditora de programas. Estos programas se usan en las computadoras de acuerdo con la organizacin del centro de cmputo (personal).
La auditora en informtica debe evaluar todo (informtica, organizacin del centro de cmputo, computadoras, comunicacin y programas), con auxilio de los principios de auditora administrativa, auditora interna, auditora con-table/financiera y, a su vez, puede proporcionar informacin a esos tipos de aud itora. Las computadoras deben ser una herramienta para la realizacin de cualquiera de las auditoras.
La adecuada salvaguarda de los activos, la u1tegridad de los datos y la efi-ciencia de los sistemas solamente se pueden lograr si la administracin de la organizacin desarrolla un adecuado sistema de control interno.
El tipo y caractersticas del control u1terno dependern de una serie de fac-tores, por ejemplo, si se trata de un medio ambiente de minicomputadoras o macrocomputadoras, si estn conectadas en serie o trabajan en forma indivi-dua l, si se tiene Internet y Extranet. Sin embargo, la divisin de responsabilida-des y la delegacin de autoridad es cada vez ms difcil debido a que mucho' usuarios comparten recursos, lo que dificulta el proceso de control interno.
Como se ve, la evaluacin que se debe desarrollar para la realizacin de la auditora en informtica debe ser hecha por personas con un alto grado de co-nocimiento en informtica y con mucha experiencia en el rea.
La informacin pwporcionada debe ser confiable, oportuna, verdica, y debe manejarse en forma segura y con la suficiente confidencialidad, pero debe estar contenida dentro de parmetros legales y ticos.
AuDITORA DE PROGRAMAS La auditora de programas es la evaluacin de la eficiencia tcnica, del uso de diversos recursos (cantidad de memoria) y del tiempo que utilizan los progra-mas, su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluar el riesgo que tienen para la organizacin.
La auditora de pwgramas tiene un mayor grado de pwfundidad y de de-talle que la auditora en informtica, ya que analiza y evala la parte central del
m .. ,~ se
tl!ngan lo' general se optimizar un
Para CIOn del . mentacitln
'\'OS de la
JreS recur-
olzar tam ;tema) tie-los usua-aceptan y
y los difc-ntica son ditora de Xlo con la
anizacin on auxilio tora con- tipos de zacin de
.s y la efi-1n de la
ie de fac-tadora5 o ,. indi\'1 153bilida-' much la auditora de programas sea eficiente, las personas que la reahccn h.>n de ~r ronoc1m1entos profundos sobre sistemas operati\'OS, sis-temas de admmistraon de b.15e de datos, lenguaJCS de programacin. u literas, ,....,.de datos. mt-dio- d
CAPTULO
Planeacin de la auditora en informtica
OBJETIVOS Al finalizar este capitulo, usted:
1. Conocer las distintas fases que comprende la auditorla en informtica. 2. Comprender la importancia en el trabajo de auditorfa de la planeacin, el
examen y la evaluacin de la informacin, la comunicacin de los resultados y el seguimiento.
3. Explicar el valor de la evaluacin de los sistemas de acuerdo al riesgo. 4. Oescnbir las fases que deben seguirse para realizar una adecuada investt
gacin preliminar. 5. Definir cules son las principales caracterfsticas que requiere el personal
que habr de participar en una aud~ora. 6. Conocer cmo se elabora una carta-convenio de servicios profesionales de
auditora.
26 CAPITU~O 2
PlANEA0 de recoleccin y evaluacin de evidl'fl-cias para determinar cundo son s.11v,guard,ldos los activos de los sistemas computarizados, de qu man~ra se m.mtiene la integridad dacin deber establecer claramente los propsitos del departamento de .1uditora interna, especificar que el alcance del trabajo no derial
L. dep.u men los, ex hihdadesde tores ,alific las nsponsa nu~nto no n~
El depar
Que'" 1 t.'S un pr trabajo d
Que los tructivos
Quese 9 Que la a
dtnda u Que los ~ Que los ~
d1sciplin
Cada au
54. requie ca, de au1 pericia la
,;den-.temas cmo
cursos os Ira-salva-aquc-llldos
~uese la des. orga a an-ea las
1 acer-
l!Za
os del debe dy/o
udita. yob-tados
audi-ltoria )S (O-rea.
emos
; que bjeti-ware, !pen d. La esen-
cial"' para la ad('('Uada conducCIn de las auditoras; esto se logra a travs de una adecuada oblLa obdindad '" una actitud de independencia mental que los auditores mkm
28 CAPiTuLO 2
tuaciones que posiblemente se encuentren. ocupndose de ellas sin tener que recurrir en exceso a ayudas o investigaciones tcnicas.
PLANEACION Tener habilidad para: aplicar amplios conocimientos a situaciones que po-siblemente se vayan encontrando, reconocer las desviaciones significativas y poder llevar a cabo las investigaciones necesarias para a lcanzar solucio-nes razonables.
DE LA AUDITORiA EN INFORMTICA
Cuidado profesional
Entre las habilidades que deben tener los auctitores estn:
Habilidad para comwcarse efectivamente y dar un trato adecuado a las personas. Los auditores internos deben tener habilidad para comwcarse tanto de manera oral como escrita, de tal manera que puedan transmitir clara y efectivamente asuntos como: los objetivos de la auditora, las eva-luaciones, las conclusiones y las recomendaciones.
Los auditores en informtica son responsables de continuar su desarrollo profesional para poder mantener su pericia profesional. Debern mantt'-nerse informados acerca de las mejoras y desarrollos recientes.
Los auditores en informtica deben ejercer el debido cuidado profesional al realizar sus auctitoas. El cuidado profesional, deber estar de acuerdo con la complejidad de la auditora q ue se realiza. Los auditores deben estar atentos a la posibilidad de errores intencionales, de errores omisiones, de la ineficiencia, del desperd icio, de la inefectividad y del conflicto de intereses. Tambin debern estar alertas ante aquellas concticiones y actividades en donde es ms probable que existan irregularidades. Adems, debern de identificar los controles inadecuados y emitir recomendaciones para pro-mover el cumplimiento con procedimientos y prcticas aceptables.
El debido cuidado im plica una razonable capacidad, no infalibilidad ni ac-ciones extraordinarias. Requiere que e l auctitor realice exmenes y verificacio-nes con un alcance razonable, pero no requiere auditoras detalladas de todas las operaciones. Por consiguiente, el auditor no puede dar una absoluta seguri-dad de que no existan incumplimientos o irregularidades. Sin embargo, la posi-bilidad de que existan irregularidades materiales o que no se cumplan las dis-posiciones debe ser considerada siempre que el auctitor emprende una auditora. Cuando el aud itor detecte una irregularidad que va en contra de lo establecido deber informarlo a las autoridades adecuadas de la organizacin. El auditor puede recomendar cualquier investigacin que considere necesaria en esas cir-cunstancias. Posteriormente, el auditor deber efectuar su seguimiento para veri-ficar que se ha cumplido con lo sealado.
El ejercicio del debido cu idado profesional significa e l uso razonable de las experiencias y juicios en el desarrollo de la auditora.
Para este fin el auditor deber considerar:
El alcance del trabajo de auctitora necesario para lograr los objetivos de la auditora.
La materialidad o importancia relativa de los asuntos a los que se aplican los procedimientos de la auctitora.
revisar la a sistema esta y metas de !
Los obje
La confi sar la co dos par Elcump tos. La salva El uso e Ellogrod mas.
El sistem, control y el Cl deben examin
Quelo
s sin tener
tes quepo-;nificativas " ' sol u do-
:uado a las lmunicarse . transmitir .a. las eva
1 desarrollo rn mantc-
ofesional al tcuerdocon
~eben estar ;iones, de la le intereses. i ,;dades en debern de $para pro-'les.
ilidad ni ac-verificado-
las de todas >luta seguri-.rgo, la posi-plan las dis->a auditora. cst
30 CAPmJL02
Pl.ANEACI()N OE LA AUOOOOIA EN INI'OAMATlCA
Uso eficiente de recursos
Los mtodos empleados para salvaguardar los activos de diferente -.on los adecuados.
Los l'St,\ndarc de oper.lcin e&tablecidos han sido entendidos y se cum plen.
Las dcsvoacioncs a los estndares de operacin se identifican, anali;:an y se comunican a los responsables para que tomen las medidas correctivas.
Se toman las medidas correctivas.
J.as .1uditorCas relacionadas con el uso econmico y diciente de lo& recursos debern identificar situaciones tales como:
Subutilizacin de instalaciones. Trabajo no productivo. Procl'
Par.1lngr tnturm,lon 1 evaluar Para !re' ostas PI'('' ddwr.i induu sohCl'SC
Mct,1.,. Programa Plant~ de lnform~ (
1 'S md,\$ plunll'nto, sobi
ntes tipos ,;a les. annal y presupuesto financiero. Informes de '"tividadc'>.
Las met.1S se debern c,t,lbk'Cer de tal manera que se pueda lograr su cum-plimiento, sobrt.' la bas(' de los planes cspcficos de operacin y de los presu-
31 FASES DE V. AUOITORIA
Objetivos de la planeacln
32 CApjTULO 2
PLANEACIN OE LA AUOITORIA EN INFORMTICA
puestos, los que hasta donde S('a posible debern ser cuantificables. Debern acompaarse de los criterios para med irlas y de fechas lmite pa ra su logro.
Los programas de trabajo de auditora debern incluir: las actividades que se van a auditar, cundo ~n aud itadas, el tiempo estimado requeido, to mando en consideracin el alcance del trabajo de auditora planeado y la natu raleza y extensin del trabajo de auditora realizado por otros. Los programas de trabajo deber,m ser lo suficientemente lexibles para cubrir demandas im previstas.
los planes de contratacin de empleados y los presuput!Stos financieros -incluyendo el nmero de auditores, su conocimiento, su experiencia y las disciplinas requeridas para realizar su trabajo-, debern contemplar.e al ela borar los programas de trabaJO de auditora, as como las actividades adminis trativas, la escolaridad y el adii.'Stramiento requeridos, la investigacin sobre auditora y los esfuerzos de desarrollo.
ReviSiN PRELIMINAR El primer paso en el desarrollo de la auditora, despus de la plancacin, es la revisin preliminar del rea de in formtica. El objetivo de la revisin preli mi nares el de obtener la informacin necesaria para que el auditor pueda tomar la decisin de cmo proet.'
Debern ogro. odes que rido, to-la natu-wamas odas im-
anderos ja y las .e alela-tdminis->n sobre
)n, es la prelimi-:omar la ninarel
rompe-
:nas con jo;;temas .secuen-
O>razo-lesde el directa-licar los rque se los con-
edio de vida des dencias ediode sta ser bajo, la
La revisin prtliminar elaborada por un auditor interno difiere de la reali-zada por un auditor externo en tres aspectos. En primer lugar, el auditor inter-no normalmlnte reqmere de menione. y trabajos, especialmente en la parte gerencoal y de organiz.lCJn, ya que l e.. parte de la organizacin y est familiarizado con la misma. En wgundo, el auditor externo se enfoca ms en las C!U!\olS de las prdidas y en los controles necesarios para justificar sus decisio-nes; el auditor interno hene una amplia perspectiva, la cual incorpora en sus consideraciones sobre la eficiencia y la eficacia con la que se trabaja. En tercero, SI el auditor onterno supone '>Crias debilidades en los controles internos, en lu-gar de prOCl'.a de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a la revisin con los usuarios (prue-bas compensatorias), o a las pruebas sustantivas. En algunos casos el auditor puede, dspus de hacer un anlisis detallado, decidir que con los controles ontemo.. se lin sufic1ente confianza, y en otros casos que los procedimientos alternos de auditora purol'n ser ms apropiados.
En la fase de evaluacin dl'tallada es importante para el auditor identificar las causas de las prdidas existentes dentro de la instalacin y los controles para reducir las pt'rdidas y los efectos causados por stas. Al terminar la revi-:o~n detallada el auditor debe evaluar en qu momento los controles estableci-dO!. reducen las prd1das esperadas a un nivel aceptable. Los mtodos de ob-tencin de mforn1acin al momento de la cvaluadn detallada son los mismos usados en la Investigacin prelim1nar, y lo nico que difiere es la profundidad con que se obtiene la inforn1acin y se evala.
Como en el ca'
34 CAPiTUL0 2
PlANEACION DE lA AUOITOAIA EN INFORMTICA
ExAMEN v EVALUACiN DE LA INFORMACIN Los auditores internos debern obtener, analizar, interpretar y documentar la mformacin para apoyar los resultados de la auditora.
J::l proceso de examen y evaluacin de la informacin es e l siguiente:
St debe obtener la informacin de todos los asuntos relacionados con los objetivos y alcances de la auditora.
La informacin deber ser suficiente, competente, relev,1ntc y Litil para que proporcione bases slid,,. en relacin con los hallazgos y rt'Comendaciones de la auditora. La informacin suficiente significa que est basada en he-chO>., que es adecuada y convincente, de tal forma que una pcr;ona pruden-te e mformada pueda llegar a las mismas conclusion~>;, que el auditor. La informacin competen!(' significa que es confiable y puede obtenerse de la mejor manera, usando las tcnicas de auditora apropiadas. La informacin relevante apoya los hallazgos y recomendaciones de aud itora y es consis-tclltC co11 los objetivos de sto. l.a informacin til ayuda a la o rganizacin a lograr sus metas.
Los procedimientos de auditora, incluyendo el empleo de las tcrLicas de pruebas selectivas y el muestreo estadstico, debern ser elegidos con ante-rioridad, cuando esto sea posible, y ampliarse o modific,use cuando las cir-cunst,,ncias lo requieran.
El proceso de recabar, anahzar, mterpretar y documentar la mformacin deber supervisarse para proporcionar una seguridad ra1onable de que la objetividad del auditor se mantuvo y que las metas de auditora se cum-plieron.
Los documentos de trabajo de lo auditora debern ,;er preparados por los auditores y revisados por la gerencia de auclitora. Estos documentos debe-r,in regis tra r la informacin obtenida y el anlisis realitado, y deben apo-yar las bases de los hallazgos de auditora y las recomendaciones que se harn.
Lo' auditores debern reportar los resultados del trabao de auditora. El audttor deber discutir las conclusiones y recomendacione; en los niveles apro-ptado> de la administracin antl'S de emitir su iJorme final. Los informes de-bern ser objetivos, claros, concisos, constructivos y oportunos. Los informes prcsentar.ln el propsito, alcance y resultados de la auditora y, cuando se con-sidere apropiado, contendrn la opinin del aud itor.
Los informes pueden iJ1cluir recomendaciones para mejoras potenciales y reconocer el trabajo sati; factorio y la> medidas correctivas. Los puntos de vista de lo> auditados respecto a las concluiones y recomendactones pueden ser in-cluidos en el informe de auditora.
Lo' i\Uclitores internos re,1li.t.lrn el seguimiento de las r~'COmendaciones, para a-egurarse que se tomaron las acciones apropiadas '>Obre los hallazgos de ,mditora reportados.
El dirE selecciona
Descri Selecc Entrer
todos Eva] u
ao. Aseso:
sionaJ.
El trab la adecuad
El diJE ner un pro lamento do una seguri normas ap
Unpr<
Supen. Revisi< Rcvisic
La supo ca lx) contir las normas
Las re' del deparu l1uditora rE: r.1 que cual
Para e\ pr,\c::ticarse
PRUEI
El objttivo c-ontroles in de terminar .m confiablo
Adcm! cut!ntemenl asis tidas po
mentar la
nte:
>s con los
.para que 1dacioncs da en he-.apruden-odttor. La terse de la :Onnacin es consis-;anizadn
k nicas de :con ante-tdo las cir-
formacin de que la a se cum-
los por los ntosdebe-leben apo-nes que se
ditorla. El velesapro formes de-s informes tdose con-
~enales y "OS de vista
36 CAPITULO 2
PI.ANEACION OE LA AUDITOAJA EN INFORMA TlCA
1 Tipos de pruebas
controles. Por ejemplo, para evaluar la existencia y con fiabilidad de los contro-1('5 de un sistema en red, se requerir el entrar a la red y evaluar directamente al sistema.
PRUEBAS DE CONTROLES DEL USUARIO
En algunos casos el auditor puede decidir el no confi~r en 1
ontro-enteal
temo' es que ntica. epue-'oeehas
te que eden El au-,......,e eden
i!gUri
leva-senta ~rcu costo in o
El aud1tor debe partiopar en trs ~t.1do-. del "'tema:
Dur.ntc la fase de diseo del sistcm.l [)ur.lnt Cada evaluacin sobre la confianza de lo> >bh!ma> de control in temo l't' quire de evaluaciones complejas re.1luadas en forma conjunta con las e\iden-''" obtenidas.
FASES DE LA AUOITOfliA
-~-38 CAPITULO 2
PLANEACIN OE LA AUOITORIA EN INFORMATICA
1 Ejemplo
1 Ejemplo
1 Ejemplo
1 Ejemplo
1 Ejemplo
EvALUACiN DE LOS SISTEMAS DE ACUERDO AL RIESGO Una de las formas de evaluar la importancia que puede tener par~ la organiza-cin un determinado sistema, es considerar el riesgo que implica el que no sea utilizado adecuadam('ntt', la prdida de la informacin o bien el que -.ea usado por personal ajeno a la orgaiLlcin. Para evaluar el riesgo de un sistema con mayor detalle va'>C ('] apartado "Plan de contingencia y pr()C('(jimientos de respaldo para casos de d~tre", en el captulo 6.
Algunos sistemas de aplicacionc:> son de ms alto riesgo que om, dt-b1do a que:
Son susceptibles a diferentes tipos de prdida econmica.
Fraudes y desfalcos entre los cuales estn los sistemas financieros.
El auditor debe de poner L'Special a tencin a aquellos sistemas que requie-ran de un adecuado control financie ro.
Flujo de caja, inversiones cuentas por pagar y cobrar, nm1na.
Las faUas pueden impactar grandemente a la organizacin.
Una falla en el procesamento de la nm111a puede tener como consecuencsa el que se tenga una huelga.
Interfieren con otr~ >blcmas, y los errores generados permean a otros sis-temas.
Potencialmente, alto riL>sgo debido a daos en la competencia. Algunos sis-temas le dan a la orgamz.tcin un nivel competitivo muy alto dentro de un mercado.
Sistema de planeacin estratgica. Patentes, derechos de autor, los cuales son tas mayores fuentes de recursos de la organizacin. Otros a travs de los cuales su prdida puede destruir la imagen de la organizacin.
Sistemas de tecnologa de punta o avanzada. Si los ~istemas utiliLan tecno-loga avanzada o de punta.
Sistemas de bases de datos, sistemas dstnbuidos o de comunicacl6n, teooo-loga sobre la cual la OfV81\IZ3cin tenga muy poca expenencsa o respaldo. la cual es ms probable que sea una fuente de problemas de control.
Sistemas de alto costo. Si~temas que son muy costosos de dt'Silrrollar, '"' cuales son frecuentemente sistemas complejos que pueden pre:
;.miza-no sea usado
na con tos de
.,ido a
equic-
JS sis-
lS sis-deun
lS lS
ecno-
)-a
tr~ los r mu-
INVESTIGACIN PRELIMINAR E.< ne< ..,.no iniciar el traba,o d~ obtencin dt> dato. con un contacto preliminar que J"'nnota una pnmt>ra odea giOO..I El ~o dt> este primer contacto es percibir rpidamente las "'tructuras fundamentales y di!erencias principales entre el orga-ru .. mo a audltar y otras org.ltULloone que se hayan in\estigado.1
L.1 investigacin preliminar debe incorporar fases de evaluacin del con-trol gerencial y del control de las aplicaciones. Durante la revisin de los con-troles gerenciales e l audotor debe entender a la organizacin y las polticas y prcticas gerenciales usadas en cada uno de los niveles, dentro de la jerarqua de la instalacin en que se encuentran las computadoras. Durante la revisin de los
40 CAPiTULO 2
PLANEACIN OE LA AUOITORiA EN INFORMTICA
Requerimientos de una auditarla
puesto y se registraron correctamente los costos en el desarrollo de la aplica-cin_ y cuando sta contempla el nivel de servicio en trminos de calidad y tiempos mnimos de entrega de resultados de la operacin del computador.
El xito de la direccin de informtica dentro de una organizacin depende finalmente de que todas las personas responsables adoptan una actitud positi-va respecto a su trabajo y evalen constantemente la eficiencia en su propio trabajo, as como el desarrollado en su rea, estableciendo metas y estndares que incrementen su productividad.
La direccin de informtica, segn las diferentes reas de la organizacin, es evaluada desde diferentes puntos de vista.
Los usuarios a nivel operativo generalmente la ven como una herramienta para incrementar su eficiencia en el trabajo. Para estos usuarios, la direccin de informtica es una funcin de servicio. Cada grupo de usuarios tiene su propia expectativa del tipo y nivel de servicio, sin considerar el costo del mismo y normalmente sin tomar en cuenta las necesidades de otros grupos de usuarios.
Los altos ejecutivos consideran a la direccin de informtica como una in-versin importante, que tiene la funcin de participar activamente en el cum-plimiento de los objetivos de la organizacin. Por eUo, esperan un mximo del retomo de su inversin; esperan que los recursos destinados a la direccin de informtica proporcionen un beneficio mximo a la organizacin y que sta participe en la administracin eficiente y en la minimizacin de los costos me-diante informacin que permita una adecuada toma de decisiones. Los directi-vos, con toda la razn, consideran que la organizacin cada da depende ms del rea de uormtica y consecuentemente esperan que se deba administrar lo ms eficiente y eficaz posible.
Esencialmente, la meta principal de los administradores de la direccin de informtica es la misma que inspira cualquier departamento de servicio: com-binar un servicio adecuado con una operacin econmica.
El problema estriba en balancear el nivel de servicio a los usuarios, que siempre puede ser incrementado a costa de un incremento del factor econmico o \'iceversa.
Para poder analizar y dimensionar la estructura a auditar se debe solicitar:
A nivel organizacin total:
Objetivos a corto y largo plazos. Manual de la organizacin. Antecedentes o historia del organismo. Polticas generales.
A rvel del rea de informtica:
Objetivos a corto y largo plazos. Manual de organizacin del rea que incluya puestos, funciones, niveles
jerrquicos y tramos de mando. Manual de polticas, reglamentos internos y lineamientos generales. Nmero de personas y puestos en el rea.
Proc Pres1
Recu
Solic local. prog:
Es tu< Fech1 Conb Cont1 Conv Con6 Confi
locali. Plane Ubica Polti< Polti< Poltic
extem
Sisterr
Descri larse, e
Manu~ Manw Descri Diagra Fecha Proyec Bases< Proced Sistem .
En el rr cin, deben
Se solic
o No o No
Se tiene
o No o Es i
la aplica-calidad y utador. 1depende ud positi-su propio stndares
lllizacin,
rramienta -eccin de su propia mismo y usuarios.
10 una in-nel cum-xmo del eccin de que sta ~stos me-lS directi-ende ms nistrar lo
eccin de cio: com-
rios, que :onmico
solicitar:
, nil eles
Procedimientos administrativos dl'l .>ro.>a . Presupuestos y costos del rea. INVESTIGACION
Ro.>cursos materiales y tcnicos:
Solicitar documentos sobre los equipos, as como el nmero de l'llos, MI localizacin y sus caractersticas (de los equipos instalados, por instalar y programados).
E.~tudios de viabilidad. Fechas de instalacin de los equipos y planes dl' instalacin. Contratos vigentes de compra, n.>nta y
42
Uso
CAPfruLO 2 PLANEACIN
DE LA AUDITORfA EN INFORMTICA
de infonnacin
o
o
o
No est actualizada. No es la adecuada. Se usa_ est actualizada, es la adecuada y est completa.
En el caso de que no se disponga de la informacin y se considere que no se necesita, se debe eva luar la causa por la que no es necesaria, ya que se puede estar solicitando un tipo de informacin que debido a las caractersticas del organismo no se requiera. Eso nos dar un parmetro muy importante para hacer una adecuada planeacin de la audito ra.
En el caso de que no se tenga la informacin pero que sea necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar.
En el caso de que se tenga la informacin pero que no se utilice, se debe analizar por qu no se usa. El motivo puede ser que est incompleta, que no est actualizada, que no sea la adecuada_ etc. Hay que analizar y definir las causas para sealar alternativas de solucin, lo que nos lleva a la utilizacin de la in-formacin.
En caso de que se tenga la informacin, se debe analizar si se usa, si est actualizada, si es la adecuada y si est completa; de ser as, se considerar den-tro de las conclusiones de la evaluacin, ya que como se dijo la aud itora no slo debe considerar errores, sino tambin sealar los aciertos.
Antes de conclu ir esta etapa no se olvide que el xito del anlisis critico depende de las consideraciones siguientes:
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin ftmdarnento ). Investigar las causas, no los efectos.
Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados.
PeRSONAL PARTICIPANTE
Una de las partes ms importantes en la planeacin de la auditora en inform-tica es el personal que deber participar.
En este punto no veremos el nmero de personas que debern participar, ya que esto depende de las dimensiones de la organizacin, de los sistemas y de los equipos; lo que se deber considerar son las ca ractersticas del personal que habr de participar en la auditora.
Uno de los esquemas generalmente aceptados para tener un adecuado con-trol es que el personal que intervenga est debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.
Con estas bases debemos considerar los conocinentos, la prctica profe-sional y la capacitacin que debe tener el personal que intervendr en la auditoria.
En prime~ zacin, que dE la auditora, las reuniones
ste es UD di rcccin, ni una o varias cin en el mo
Tambin s en el moment de comproba do, y complen slo el punto del sistema.
Paracomp de la auditora
Tcnico e Conocimie ExperiencH Experienci Conocimiet Conocimi
caciones, d Conocimiet
En el caso1 mientes y expe1 caciones, etct
Lo anterior y experiencias ! con las caracte
Una vez pla bilidad de pre de auditores ext
La carta con su confirmaci" auditora, las lin dad y los inforrr
Una vez que do en la figura 2. Este formato de cuado control d i de formulacin, 1 dad, el nmero < mutacin, el nf1
!nO se ouede !S del
~para
!debe ese le
debe o est a usas la in-
i est den-
)S)o
rtico
ni la
!dOS.
1rm-
:ipar, . y de lque
ron-enga lr.;()S
rofe-ora.
En primer lugar, debemos pensar que hay personal asignado por la organi-z~on, que deba tener el suficiente nivel para poder coordinar el desarrollo de la aud1toria, proporcionamos toda la inforrnacin que se solicite y programar la> reuniones y entrevistas requeridas.
~ste es un punto muy importante ya que, de no tener e l apoyo de la a lta direccin, ni contar con un grupo mu ltidisciplinorio en d cual estn presentes una o varias personas del rea a auditar, ser casi imposible obtener inforrna-aon en el momento y con las caractersticas deseadas.
Tambuin se debe contar con personas a;ignadas por los usuarios para que e1 el momento que se solicite inforrnacin, o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se est solicitan-do, 1 ((Implementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de inforrntica, smo tambin el del usuario Jet "stema.
Para complementar el grupo, como colaboradotl-s directos en la realizacin de la auditora. se deben tener personas con las siguientes caractersticas:
Tcnico en informtica. Conociffilentos de administracin, contadura y finanzas. Experiencia en el rea de informtica. Experiencia en operacin y anlisis d( s is temas. Conocimientos y experiencia en psicologfa induotrial. Conocimiento de los sistemas operativo~, baS('S de datos, redes y comuni-
caCiones, dependiendo del rea y caractersticas a auditar. Conocimientos de los sistemas ms 1mportantes.
En el caso de sistemas complejos se deber contar con personal con conoci-uurntos y experiencia en reas especifica'> como bao,e de datos, redes, comuni-
caoo~~ e-tctera. lo anterior no significa que una ~la persona deba tener los conocimientos
y tx]X'rienaas sealadas, pero s que deben intervenir una o varias personas con lao caractersticas apuntadas
Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posi-bdidad de presentar la carta -convenio de servicios profesionales (en el caso de auditores externos}- y el plan de trabajo.
La carta convenio es un compromiso que e l auditor dirige a su cliente para su confirmacin de aceptacin. En ella se ('Sp
44 CAPITuLO 2
PlAHEACION DE LA UOrTOOI EN INFORM TIC
El control del avance de la auditorio lo podemos llevar m~diante el form> de la figura 2.2. el cual nos permite cumplir con los procedimientos de control ase;uramo-. que el trabajo
el formato e control y programa laneacin. rl trabajo
1 figura 2.3, figura 2.4.
Agura 2.1. Programa de audltorla en Informtica
PERSOt4Al PARTICIPANTE
OACN."'SMO HOJA MJIL; DE
FECHA DE F
46 CAPITULO 2
PLANEACIN OE LA AUDITOA[A EN INFORMTICA
Figura 2.2. Avance del cumplimiento del programa de auditora en Informtica
ORGANISMO --
NM. HOJA NUf\L OE --- 1.
PEfUOOO OUE REPORTA
SITUACIN DE LA AUOITOAIA PERkXIO REAl DE lA AVDITORtA OlAS GRADO olAs REALES OE H
jemplo de propuesta de servicios de auditarla en Informtica :DENTES
ntecedentes especficos del proyecto de auditora.) fOS DE LA AUDITORA EN INFORMTICA jetivo especfico de la auditora.) :es DEL PROYECTO
!l proyecto comprende:
n de la direccin de informtica en lo que corresponde a:
ganizacin. iones. tivos. ctura. rsos humanos. 1as y polticas . . citacin. !S de trabajo. oles. 1dares. iciones de trabajo. cin presupuesta! y financiera.
m de los sistemas:
18Cin de los dilerentes sistemas en operacin (flujo, proced-os, documentacin, organizacin de archivos, estndares de amacin, controles, utilizacin de los sistemas, opiniones de ;u arios). acin de avances de los sistemas en desarrollo y congruencia 1 diseo general, control de proyectos, modularidad de los siste-
oonti
o las
ones,
yen
3
4.
V.
Anlisis de la segundad lgiCa y confidencialidad. Evaluacin de los proyectos en desarrollo, prioridades y personal as1gnado. Evaluacin de la partJc1pac1n de auditora interna . Evaluacin de controles . Evaluac1n de las liCencias. la obtencin de derechos de autor y de la confidenc1ahdad de la mfomnac1n. Entrevistas con usuanos de los sistemas . Evaluacin directa de la mfomnacin obtemda contra las necesida des y requenm1entos de los usuanos. Anlisis objetivo de la estructuracin y flujo de los programas . Anhsis y evaluacin de la infomnacin compilada . Elaboracin de infomne .
Para la evaluacin de los equipos se llevarn a cabo las siguientes acti vidades:
Solicitud de los estudios de viabilidad, costo/beneficio y caractersti cas de los equipos actuales, proyectos sobre adquisicin o amplia cin de equipo y su actualizacin. Solicitud de contratos de compra o renta de los equipos.
Solicilud de contratos de mantenimiento de los equipos . Solicitud de contratos y convenios de respaldo.
Solicitud de contratos de seguros. Bitcoras de los equipos.
Elaboracin de un cuestionarlo sobre la utilizacin de equipos, archi vos, unidades de entrada/salida, equipos perifricos, y su seguridad. Vis1ta a las 1nstalac1ones y a los lugares de almacenamiento de ar-chivos magnticos. Vis1ta tcnica de comprobac1n de segundad fsica y lgica de las Instalaciones. Evaluacin tcn1ca del s1stema elctrico y ambiental de los equipos, del local utilizado y en general de las instalaciones. Evaluacin de los SIStemas de seguridad de acceso.
Evaluacin de la 1nlomnacin recopilada, obtencin de grficas, por centaes de utll1.2:acin de los equipos y su justificacin.
Elaboracin de 1nfomne.
Elaborac1n del infomne final, presentacin y discusin del mismo, y pre sentac16n de conclusiones y recomendaciones.
TlEMPO Y COSTO
(Poner el tiempo en que se realizar et proyecto, de preferencia indicando el bempo de cada una de las etapas: el costo del mismo, que incluya el perso nal participanle en la aud1tora y sus caractersticas, y la forma de pago.)
PERSONAl. PAATlCIPNITE
49 __ ..J
50 CA PITULO 2
PLANEACOON DE LA AUDITORIA EN ONFORMATICA
Figura 2.4. Ejemplo de contrato de audltorfa en Informtica
Contrato de prestacin de servocios profesionales de auditarla en informtica que celebran por una parte
. representado por __ en su carcter de y que en lo suce-sovo se denominar "el chente", por otra parte , representada por __ a quien se denominar "el auditor", de conformidad con las declaraciones y clusulas siguientes:
DECLARACIONES
l. El cliente declara:
a) Queesuna b) Que est representado para este acto por
y que tiene como su domicilio
e) Que requiere obtener servicios de auditora en informtica, por lo que ha decidido contratar los servicios del auditor.
11. Declara el auditor:
a) Que es una socoedad annima, constituida y existente de acuerdo con las leyes y que dentro de sus objetivos primordiales est el de prestar auditora en onforrntica
b) Que est constituida legalmente segn escrilura nmero de fecha__ anle el notario pblico nm.
del Lic.
e) Que seala como su domicilio ___ _
111. Declaran ambas partes:
a) Que habiendo llegado a un acuerdo sobre lo anles mencionado, lo formalizan otorgando el presente contrato que se contiene en las siguientes:
CLUSULAS
Primera. Objeto El auditor se obliga a preslar al cliente los servicios de auditarla en inform toca para llevar a cabo la evaluacon de la direccin de onformtica del cliente. que se detallan en la propuesta de servicios anexa que, formada por las par tes, forma parte integrante del contrato.
Ir
Segund~ El alcanc contrato
B) Eva
Q
~
~ E ~ F d p o ~ e S
b)
te E
P< S! ~
