Este documento trata sobre la auditoría de sistemas informáticos. En primer lugar, define conceptos clave como auditoría, control y sus elementos. Luego explica las distintas clasificaciones de auditoría y su relación con los procesos informáticos. Finalmente, detalla el proceso de auditoría de sistemas informáticos, incluyendo las etapas de planeación, ejecución y conclusiones. En resumen, provee una introducción completa sobre los fundamentos y proceso de la auditoría de sistemas de información.
Auditoría de sistemas informáticos en la Universidad Técnica de Manabí
1. Universidad Técnica de Manabí
Facultad de Ciencias
Administrativas y Económicas
Carrera de Auditoria
Asignatura:
Auditoria en Sistemas Informáticos
Tema:
MÓDULO DE AUDITORIA EN SISTEMAS
INFORMATICOS
Autores:
Bermello Ochoa Malena Andreina
Mendoza González Andrea Lissette
Robles Quimí José Javier
Soledispa Sancán Jessenia Adriana
Solórzano Arteaga Laura Silvana
Catedrático:
Ing. Kevin Mero
Semestre:
Octavo “M” de Auditoría
1
2. INDICE
Fundamentos de la auditoria de los sistemas informáticos 4
Conceptos generales 4
Elementos de control 4
Relación entre el control y la auditoria 7
Independencia 7
Proceso de auditoría 8
Clasificaciones 9
La auditoria y los procesos informáticos 9
Auditoría de estados contables emitidos 10
Técnicas de auditoría asistidas por computadora 11
Auditoría de sistemas de información computarizados 12
Sistema de información 12
Objetivo de la auditoria 14
Independencia 15
Idoneidad 16
El control de los sistemas de información computarizados 19
Producción, operación y mantenimiento 20
Sistemas y modificación de la información 20
Ingreso de datos para procesamiento 21
Transacciones rechazadas 21
Segregación de funciones 22
Cambios a los programas 23
Seguridad general centros de procesamiento de datos 23
Utilización de los equipos, programas e información inst. 24
Normas de auditoría de sistemas informáticos 26
2
3. El proceso de auditoría de sistemas informáticos 32
Principales pruebas y herramientas auditoría informática 34
Planeación de la auditoría en informática 35
Investigación preliminar 35
Informe 39
3
4. MÓDULO DE AUDITORIA EN SISTEMAS
INFORMATICOS
FUNDAMENTOS DE LA AUDITORIA DE SISTEMAS
1. AUDITORIA.
CONCEPTOS GENERALES
ORIGEN DE LA PALABRA:
Etimológicamente el verbo latino “AUDIRE” significa “OIR” y el sustantivo latino
“AUDITOR” significa “EL QUE OYE”, este significado proviene del origen
histórico de la función de los auditores, quienes antiguamente juzgaban la
veracidad o falsedad de las rendiciones de cuentas, oyendo la explicación de
los responsables de las mismas.
La palabra Auditoría, hasta no hace mucho tiempo, se entendía referida a la
revisión de cuentas o contabilidades. No hacen muchos años se diferenciaron
las palabras “Auditoría” de “Auditoría Contable”.
CONCEPTO:
Distintos profesionales de Ciencias Económicas han tratado de dar un
concepto de “Auditoría” distinto del de “Auditoría de Estados Contables”. De
estos trabajos vale la pena mencionar el de LOPEZ SANTISO de 1.976 1 que
relaciona la auditoría con la teoría de sistemas, de donde surge la siguiente
síntesis:
♦ En Administración, una función de control es la encargada de medir y corregir
los desvíos en las actividades de una organización, de acuerdo a objetivos
predeterminados.
♦ Existen numerosos tipos de controles, en función de los distintos criterios de
clasificación que pueden utilizarse.
ELEMENTOS DE UN CONTROL
Todo control de un sistema operante, posee 4 elementos básicos: que son los
siguientes:
1. Objeto: es lo que se va a examinar o medir, es una o varias características o
condiciones del sistema operante a ser controladas.
4
5. 2. Sensor: Es el método, pauta, estándar o norma que se usa para medir o
comparar con el objeto del control, la característica o condición controlada,
para ver si cumple o se desvía respecto de lo estipulado en este sensor. Es la
unidad de medida del control.
3. Sujeto: del examen, es quien ejecuta o realiza el control. Es el grupo unidad
o equipo de control que compara los datos medidos con el rendimiento
planeado, determina los desvíos o diferencias y lo informa de forma tal que
permitirá corregir la producción del sistema.
4. Grupo Activante: Es el grupo, persona o mecanismo capaz de efectuar las
correcciones en el sistema operante, de los desvíos que surgieron de la
comparación entre el objeto y el sensor.
Estos cuatro elementos básicos de todo control se presentan siempre en la
misma secuencia y con la misma interrelación de acuerdo al siguiente gráfico:
1. Sistema Operante---Característica o Condición controlada
2. Sensor
3. Grupo Activante
4. Grupo de Control
CONCEPTO DE AUDITORIA EN GENERAL
AUDITORIA, podemos definirla como una función de control independiente,
que en forma sistemática y organizada debe:
• Comparar la característica o condición controlada, con respecto a las pautas,
normas o elementos utilizados para medirla. Es decir comparar el objeto con
respecto al sensor.
• Determinar los desvíos e.
• Informar a quien ordena o contrata la auditoría, que jerárquicamente debe
estar por encima del sistema auditado.
5
6. RELACIÓN ENTRE CONTROL Y AUDITORÍA
La auditoría es una función de control porque su accionar se dirige a influenciar
un sistema en sentido restrictivo o directivo. Al constituir un control es la
auditoría como cualquier otro, un control de sistemas.
La auditoría es por otra parte un sistema de control correctivo, del tipo
retroalimentado.
El auditor es el grupo de control que compara los objetivos definidos por el
sistema con los resultados que produce en relación con la característica
controlada, determina los desvíos e informa de ello al grupo activante.
No se concibe la auditoría como un control no correctivo porque toda auditoría
está dirigida a la medición e información de los desvíos.
Tampoco puede pensarse a la auditoría como un sistema de control
prealimentado, porque su fin no es la de un control incluido en la planeación
sino la verificación de algo que ya ha sucedido, aunque se trate por ejemplo de
información proyectada.
La auditoría es en general un control selectivo por lo tanto no es necesario
verificar la totalidad de los resultados producidos por el sistema para obtener
evidencia suficiente sobre el funcionamiento del sistema operante.
Auditoría es un control de secuencia abierta, es decir que el grupo de control
no pertenece al sistema operante sino que es independiente de él.
Cuando el control pertenece al sistema solo se denomina control pero no es
auditoría.
INDEPENDENCIA
Cabe destacar la característica de independiente de esta particular función de
control.
El sujeto que ejecuta este control, es decir el auditor, debe cumplir con este
requisito indispensable, que es ser independiente del objeto auditado y además
parecerlo.
El problema de la independencia del auditor es una cuestión fáctica, ya que un
profesional puede ser imparcial, o no serlo, independientemente de lo que
indiquen las apariencias. Sin embargo la credibilidad de un informe de auditoría
firmado por un familiar directo, o por alguien que depende económicamente del
auditado, probablemente resulte poco creíble a los usuarios de ese informe,
más allá de la objetividad con la que realizó el trabajo de auditoría.
6
7. Desde el punto de vista normativo sólo pueden enumerarse las situaciones que
afectan la independencia aparente, no obstante los cual un auditor debe
cumplir con los dos aspectos: la independencia real y la aparente.
PROCESO DE AUDITORIA
La realización de las tareas de cualquier auditoría en forma sistemática y
organizada, significa que toda auditoría es, en sí misma, un proceso que
requiere del cumplimiento de tres etapas básicas que son:
• PLANIFICACION
• EJECUCION
• CONCLUSIONES
Cada una de estas etapas constituye verdaderos procesos en sí mismos.
La etapa de planificación incluye desde la determinación precisa de los
objetivos y sub objetivos de la auditoría, hasta llegar al programa de trabajo
que es el detalle de los procedimientos o técnicas seleccionados. Estos
deberán permitir reunir evidencia válida y suficiente, respecto de cada uno de
los objetivos y sub objetivos predeterminados.
La etapa de ejecución, como su nombre lo indica, es aquella donde llevamos a
cabo los procedimientos determinados en la planificación y que se reflejan en
los programas de trabajo.
De la aplicación de cada procedimiento obtenemos conclusiones respecto del
objetivo vinculado al mismo, en muchos casos resulta necesaria la aplicación
de más de un procedimiento por cada objetivo, para poder reunir evidencia
suficiente que permita la obtención de conclusiones sobre el mismo.
Esta última etapa del proceso de auditoría se caracteriza fundamentalmente,
por la síntesis de las conclusiones particulares de cada procedimiento aplicado,
para llegar a una o varias conclusiones generales sobre la tarea realizada.
Esta etapa termina con la emisión del correspondiente informe de auditoría que
adopta distintas formas según el tipo de auditoría que se trate.
Las tres etapas del proceso de auditoría están estrechamente vinculadas entre
sí a tal punto que no hay una clara delimitación en el tiempo, respecto del
comienzo y fin de cada una.
Prueba de ello es que para planificar las tareas a realizar, habitualmente resulta
necesaria la aplicación de ciertos procedimientos particulares, al igual que
durante la etapa de ejecución pueden modificarse los programas de trabajo si
los resultados obtenidos de los procedimientos programados fueran
insuficientes o excesivos.
7
8. CLASIFICACIONES:
La función de auditoría es susceptible de clasificación según:
El Sujeto: Auditoría Interna, Externa.
El Objeto: Auditoría de Estados Contables, Operativa, Integral, Fiscal, de
Sistemas de Información, de Información Prospectiva, Militar, Médica, Jurídica,
etc.
2. LA AUDITORÍA Y EL PROCESAMIENTO ELECTRONICO DE
DATOS
La vertiginosa evolución de la Tecnología de la Información (TI) en los últimos
años y la significativa reducción de costos tanto del equipamiento, como de las
aplicaciones, ha traído como consecuencia la generalización del uso del
procesamiento electrónico de datos en prácticamente todos los ámbitos.
Su utilización en el sector productivo, administrativo, comercial, académico, de
investigación y de servicios, tanto en el ámbito público como en el privado es
ya una realidad innegable.
Esta generalización ha sido tan explosiva que algunos servicios vinculados y
habituales en toda organización, como el de auditoría, no ha evolucionado de la
misma forma.
En algunos libros es frecuente encontrar cierta confusión conceptual sobre
temas de auditoría en relación con la informática, suelen aparecer definiciones
confusas y entre cruzadas de al menos tres temas bien diferenciados:
1. AUDITORÍA DE ESTADOS CONTABLES EMITIDOS A PARTIR DE UN
SISTEMA DE INFORMACION COMPUTARIZADO.
2. TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR.
3. AUDITORÍA DE SISTEMAS DE INFORMACION COMPUTARIZADOS.
8
9. A efectos de conceptualizar cada uno, se utilizará la definición de auditoría en
general y se identificarán para cada caso los elementos básicos de toda
función de control, definidos en la primera parte.
2.1. AUDITORÍA DE ESTADOS CONTABLES EMITIDOS A
PARTIR DE UN SISTEMA DE INFORMACION
COMPUTARIZADO.
Objeto:
Lo que se va a verificar o controlar son los estados contables, es decir, el
producto final de una parte del sistema de información de una organización.
A los profesionales en ciencias económicas, las normas de auditoría vigentes
nos obligan a evaluar el sistema de información del cual surgen los estados
contables, independientemente de que sea un sistema manual, mecánico o
electrónico, a efectos de realizar este tipo de tarea.
Esto no significa que cambia el objetivo de la labor de auditoría que sigue
siendo verificar la correcta valuación y exposición de los estados contables de
acuerdo a normas contables vigentes, sino que forma parte del proceso de
planificación de las tareas de este tipo de auditoría.
La naturaleza, el alcance y la oportunidad de los procedimientos se
determinarán en función de las debilidades y fortalezas detectadas en la parte
pertinente del sistema de control interno, en especial el referido a esta parte del
sistema de información.
Las Normas de Auditoría, establecen lo siguiente:
1. Normas sobre Auditoría externa de Información Contable.
1.1. Reunir los elementos de juicio válidos y suficientes que permitan
respaldar su informe a través de la aplicación de los siguientes
procedimientos de auditoría:
1.1.1. Evaluación de las actividades de control de los sistemas que son
pertinentes a su revisión, siempre que, con relación a su tarea, el
auditor decida depositar confianza en tales actividades. Esta
evaluación es conveniente que se desarrolle en la primera etapa
porque sirve de base para perfeccionar la planificación en cuanto a
la naturaleza, extensión y oportunidad de las pruebas de auditoría a
aplicar. El desarrollo de este procedimiento implica cumplir los
siguientes pasos:
1.1.1.1. Relevar las actividades formales de control de los sistemas
que son pertinentes a su revisión.
9
10. 1.1.1.2. Comprobar que esas actividades formales de control de los
sistemas se aplican en la práctica.
1.1.1.3. Evaluar las actividades reales de control de los sistemas,
comparándolas con las que considere razonables en las
circunstancias.
1.1.1.4. Determinar el efecto de la evaluación mencionada sobre la
planificación de modo de replantear, en su caso, la naturaleza,
extensión y oportunidad de los procedimientos de auditoría
seleccionados previamente.
1.1.1.5. Emitir, en su caso, un informe con las observaciones
recogidas durante el desarrollo de la tarea y las sugerencias
para el mejoramiento de las actividades de control de los
sistemas examinados.”
Ningún otro procedimiento está descripto con tal grado de detalle en la norma,
lo que revela la importancia que la misma le otorga a esta parte del proceso de
auditoría, sin perder de vista que el objeto de la auditoría sigue siendo el
producto final de una parte del sistema de información de la organización como
normalmente es el subsistema contable.
La norma usa el término “sistemas” sin distinguir si es manual, mecánico, o
electrónico, sin que por ello haya perdido validez la aplicación de la misma, por
el contrario, es muy probable que la información volcada en los estados
contables tenga mayor dependencia del sistema, en uno computarizado que en
uno manual.
Sensor:
De acuerdo a lo expuesto en el párrafo referido al objeto de esta auditoría, el
sensor o unidad de medida para una auditoría de estados contables,
independientemente de donde surjan, seguirán siendo las normas contables
vigentes.
Sujeto:
Es el profesional en ciencias económicas, quien deberá determinar si los
estados contables se han confeccionado de acuerdo con las normas contables
profesionales vigentes teniendo en cuenta para este caso en particular, el
efecto combinado de los siguientes factores:
10
11. • Grado de utilización del procesamiento electrónico de datos (P.E.D.) en la
emisión de los estados contables.
• Complejidad del ambiente P.E.D.
• Importancia de la Tecnología de Información (T.I.) en el negocio.
La diversidad de equipamientos, configuraciones, sistemas operativos,
aplicaciones, lenguajes de programación, programas de gestión “enlatados”,
etc.
Utilizados actualmente, es tan grande que puede requerir que el equipo de
trabajo de auditoría cuente con el apoyo de especialistas en sistemas y
controles de sistemas, distintos para cada caso.
2.2. TÉCNICAS DE AUDITORÍA ASISTIDAS POR
COMPUTADORA.
Concepto:
Uso de herramientas informáticas para: la ejecución de procedimientos, la
documentación de tareas realizadas por el auditor, etc. independientemente de
las características del sistema de información, del tipo de auditoría, o del
objetivo de la misma.
Son aplicables tanto en un entorno manual como informatizado, para auditorías
de estados contables, de sistemas de información, evaluaciones de control
interno, etc.
Su mayor utilidad se da en contextos computarizados y en aquellas auditorías
donde es necesario el manejo de grandes volúmenes de datos.
Herramientas:
Existen en el mercado varias aplicaciones específicas de auditoría, que
permiten la realización de una gran cantidad de tareas, que significan para el
auditor una ayuda por el ahorro de tiempo que le significa su utilización y la
sistematicidad que se logra en el desarrollo del proceso de una auditoría.
Normalmente estos programas son desarrollos realizados por los grandes
estudios internacionales de auditoría. (Ejemplos de estos aplicativos son IDEA,
ACL, etc.) y su costo suele ser elevado.
11
12. En el caso de pequeños estudios o profesionales independientes es más
común la utilización en tareas de auditoría, de aplicaciones de uso
generalizado como procesadores de texto, hojas de cálculo y administradores
de bases de datos, disponibles en cualquier PC o portátil, con los que se
pueden lograr excelentes resultados, requiriendo sólo cierta pericia y alguna
cuota de imaginación por parte del auditor.
2.3. AUDITORÍA DE SISTEMAS DE INFORMACIÓN
COMPUTARIZADOS.
Objeto:
En este caso el objeto de auditoría es el sistema de información (S.I.)
propiamente dicho.
A efectos de poder caracterizar este tipo de auditoría en particular, resulta
necesario definir qué es y qué incluye el S.I. ya que no existe acuerdo entre los
distintos autores al respecto, encontrando conceptos muy generales que no
aportan claridad sobre el alcance de este tipo de auditorías, o muy restrictivos
ya que sólo se refieren en forma exclusiva a las aplicaciones o programas de
computación.
La importancia de conceptualizar en forma precisa, que incluye el S.I., está
dada por que nos va a definir el alcance y hasta la incumbencia profesional
necesaria para este tipo de auditorías.
3. SISTEMA DE INFORMACION.
CONCEPTO
Es el conjunto de personas, papeles, software, hardware, datos, entorno,
medios de almacenamiento y comunicaciones y las interacciones entre ellos,
que tiene como objetivo la generación de información que cumpla con ciertos
requisitos predeterminados.
Cabe destacar que esta definición de S.I. abarca mucho más que las
aplicaciones o programas, que son sólo una parte del sistema, la auditoría de
S.I. tiene por objeto el sistema en su conjunto, es decir cada uno de los
distintos componentes mencionados, entre ellos el software, y
fundamentalmente las interacciones entre ellos.
12
13. Sensor:
Cual es la unidad de medida, el estándar o la norma con la cual voy a medir o
comparar el sistema de información. Este suele ser otro problema que surge a
los auditores de sistemas de información, al no existir un patrón único aplicable.
En términos generales podemos mencionar:
1. Normas internas del ente:
Algunas organizaciones de cierta envergadura suelen generar su propio
conjunto de normas de funcionamiento materializadas en manuales de
procedimientos, cursogramas, flujogramas, organigramas, documentación de
sistemas, etc. lo que resulta más difícil es que estas normas reflejen el impacto
que la informática a causado en sus sistemas, e incluyan pautas específicas
sobre el tema. Aún en los casos en los que existan, deben mantenerse
actualizadas por la velocidad de los cambios en este tipo de sistemas
(actualizaciones en el equipamiento, en los sistemas operativos, en las
aplicaciones y en las comunicaciones)
2. Normas de organismos de control:
Algunos organismos de control ya han emitido normas específicas referidas a
Tecnología de la Información (TI) ejemplos de ellos en nuestro medio son: el
Banco Central de la República del Ecuador con su Comunicación A 2659, la
Sindicatura General de la Nación con las “Pautas de Control Interno para
Sistemas Computadorizados y Tecnología de Información”, con sus “Normas
de Seguridad de Sistemas de Información” y a través de la adopción de COBIT,
etc.
En algunos casos es necesario complementarlas con otras pautas o normas
referidas a los otros componentes de un sistema de información distintos de la
TI.
3. Estándares emitidos por organizaciones especializadas:
Organizaciones internacionales de profesionales han emitido normas aplicables
a este tipo de auditorías, entre las más relevantes se pueden mencionar:
Informe C.O.S.O.- (Committee of Sponsoring Organizations) elaborado
por la Treadway Commission, (EEUU 1.992) referido a pautas de control
interno en general.
C.O.B.I.T.- Objetivos de control para la información y la tecnología
relacionada desarrollado por la I.S.A.C.A. Asociación de Auditoría y
Control de Sistemas de Información.
Ambos estándares se complementan abarcando prácticamente todos los
aspectos relevantes de un S.I.
13
14. 4. Criterio del Auditor:
Es el menos recomendable y en general el más utilizado, la principal crítica que
se le puede hacer como sensor es la falta de objetividad, ya que es la opinión
del auditor sobre lo que debería ser, y por lo general suele ser muy discutida,
salvo casos de observaciones muy evidentes, o una muy buena
fundamentación del criterio utilizado.
Objetivos de auditoría
Otro problema relacionado con el sensor es su relación con los objetivos del
control.
Definido que es el Sistema de Información y cual es el sensor aplicable, falto
definir que característica u objetivo de control, deberá verificar el auditor.
No hay consenso de cuales son los objetivos de una auditoría de S.I. cada
autor menciona los que cree más relevantes, a modo de ejemplo y no por que
sean los únicos, se detallan los objetivos incluidos en los estándares
mencionados en el párrafo anterior de acuerdo al enfoque que utiliza cada uno,
siendo los más importantes:
1. Efectividad: La información relevante debe ser pertinente para los procesos
del ente, además su entrega debe ser oportuna, correcta, consistente y de
manera utilizable.
2. Eficiencia: La provisión de información debe lograrse a través de la
utilización óptima de los recursos disponibles (Productividad y economía).
3. Confidencialidad: Protección de información sensible contra acceso o
divulgación no autorizada.
4. Integridad: Es la precisión y suficiencia de la información, así como su
validez de acuerdo a las necesidades y expectativas del ente.
5. Disponibilidad: La información debe estar siempre disponible cuando sea
requerida por los procesos del ente, tanto ahora como en el futuro. También
incluye la salvaguarda de los recursos necesarios y de las capacidades
asociadas a la emisión de información.
14
15. 6. Cumplimiento: Está referido a cumplir con leyes, regulaciones, normas
internas, externas y acuerdos contractuales a los que están sujetos los
procesos del ente.
7. Confiabilidad: Se refiere a la provisión de información apropiada para la
correcta toma de decisiones que hacen a la operatoria del ente, reportes
financieros, información fiscal, etc. Es la base del correcto ejercicio de las
responsabilidades.
Cabe destacar que los objetivos de control mencionados se refieren tanto a
características del S.I: como a características de la información propiamente
dicha, en este último caso debe entenderse como que el sistema de
información provea a su producto final de esa condición, caso contrario
estaríamos en presencia de una auditoría de información y no del sistema que
le da origen.
Esto no impide que para auditar un S.I. se puedan aplicar procedimientos sobre
el producto generado por el sistema con el objetivo de verificar alguna
condición a cumplir por éste.
De la lectura de los objetivos mencionados surge que muchos de ellos son muy
amplios o generales y requieren ser abiertos en sub objetivos más concretos,
especialmente a efectos de diseñar los procedimientos aplicables para verificar
su cumplimiento en el S.I.
Sujeto:
El sujeto en este tipo de auditorías, es el Auditor de S.I. que debe reunir los
requisitos de independencia e idoneidad.
INDEPENDENCIA:
Esta independencia respecto del sistema auditado, es la que diferencia a la
Auditoría de cualquier otra función o actividad de control realizada en una
organización. Este requisito se debe cumplir tanto en el caso del auditor
externo (ejemplo: Si el responsable del sistema se desvincula de la
organización, no podría ser inmediatamente contratado como auditor externo
del mismo ya que carece de independencia de criterio para opinar sobre su
tarea anterior) como del auditor interno (El cual debe depender de un nivel
jerárquico suficientemente alto, para evitar que el responsable de las
observaciones que puedan surgir de su tarea, termine siendo su superior).
15
16. Por otra parte existe una nueva tendencia que propugna que el auditor debe
asumir una actitud “pro activa” en su tarea, involucrándose en los proyectos y
desarrollos antes de su finalización, dejando de lado la actitud de crítico de
hechos y situaciones del pasado, esta postura puede ser válida en la medida
que no se vea comprometida su independencia respecto del objeto de la
auditoría.
Básicamente es una cuestión de responsabilidades, cuando se contrata un
auditor externo (para cualquier tipo de auditoría), justamente lo que se busca
es alguien ajeno al objeto a auditar.
El auditor debe tener claro que la responsabilidad de la corrección de lo que va
a examinar, es de alguien que pertenece al ente contratante, si el auditor se
involucra con el objeto de la auditoría, esta responsabilidad del auditado se
diluye y lo que puede ser más grave es que termine siendo compartida con el
auditor.
No obstante lo expuesto nada impide que se puedan auditar etapas
intermedias de un proyecto o desarrollo, emitiendo opiniones por cada una de
ellas.
IDONEIDAD:
En auditorías de S.I. es normal que se formen equipos de trabajo
interdisciplinarios que incluyan especialistas en relevamiento y evaluaciones de
control interno, especialistas informáticos con los conocimientos particulares de
cada caso (redes, comunicaciones, sistemas operativos, lenguajes de
programación, etc.) y especialistas contables. Además todos ellos deben
conocer la actividad, objetivos y metas del ente desde el punto de vista
operativo, comercial, administrativo y legal, o contar con el asesoramiento
pertinente.
La estructura y complejidad del S.I. son las características que van a definir el
tamaño y la especialización del equipo de trabajo. La auditoría de un S.I. no
muy grande y simple probablemente pueda ser auditada por un único
profesional que tenga los conocimientos necesarios para ese caso,
independientemente del título habilitante que posea. Si el tamaño y la
complejidad del sistema crecen puede resultar necesario incrementar el equipo
de trabajo con especialistas o asesores en los temas específicos que se
requieran.
16
17. Para grandes sistemas es recomendable la utilización de equipos
interdisciplinarios con las habilidades específicas requeridas para cada caso en
particular (no todos los profesionales en informática conocen todos los
sistemas operativos, ni todos los lenguajes de programación, ni son expertos
en redes o comunicaciones, como tampoco no todos los profesionales en
ciencias económicas son especialistas en control interno, contabilidad y
auditoría).
Grupo Activante:
Es quien contrata la auditoría y que por su posición jerárquica en la
organización, está en condiciones de tomar las medidas correctivas necesarias
sobre las observaciones y recomendaciones formuladas por el auditor al final
de su tarea.
Quien contrata la auditoría debe fijar en forma precisa el alcance y objetivos de
la misma. El auditor, antes de comenzar su tarea, tiene la obligación de hacerle
conocer la amplitud de objetivos de una auditoría de S.I. a efectos de definir en
forma precisa cuales son los que más le interesan al contratante y asesorarlo
sobre cuales pueden ser de mayor utilidad, a efectos de evitar falsas
expectativas y que la tarea de auditoría sea realmente productiva para la
organización.
4. CONCLUSIONES
De lo expuesto hasta ahora surge que la Auditoría de S.I. incluye aspectos
complejos, agravado por la falta de uniformidad conceptual entre quienes han
escrito sobre el tema.
Entre los aspectos más controvertidos pueden sintetizarse los siguientes:
Alcance de la auditoría: por la amplitud del objeto de auditoría, es decir
el S.I. que involucra no sólo el componente informático (hardware,
software, seguridad informática), sino también los elementos humanos y
materiales y la interacción entre ellos, pasando por el control interno de
toda la organización.
Objetivos de auditoría: como ya se desarrolló anteriormente el número
de objetivos es muy alto y muy variado respecto de las habilidades que
se requieren para su verificación, lo que implica la formación de equipos
de auditoría interdisciplinarios o correr el riesgo que los resultados de la
misma sean parciales.
Para dar una idea de la magnitud de la tarea, la planificación de una
auditoría de S.I. en principio nos llevaría a pensar en verificar el
cumplimiento de cada objetivo propuesto respecto de cada elemento
que conforma el sistema, en cada uno de los sectores de la organización
17
18. o subsistemas de información, dando por resultado una tarea de una
magnitud más que considerable.
Desde el punto de vista normativo, para este tipo de tareas no existen
normas profesionales de auditoría de S.I. y menos aún normas sobre
como debieran ser los sistemas de información. Los profesionales en
ciencias económicas debemos aplicar lo que resulte pertinente de las
Normas de Auditoría vigentes y las emitidas por los organismos de
control para los casos particulares en que sean aplicables como el
memorando de auditoría A-36 de la F.A.C.P.C.E.
La incumbencia profesional es otro tema en discusión en el cual los
profesionales de la informática, tratan de defender que es un campo
exclusivo de su incumbencia, los de ciencias económicas tenemos una
importante experiencia en relevamiento y evaluación de S.I. aunque no
siempre los conocimientos suficientes sobre sistemas
computadorizados. Personalmente creo que en un mercado competitivo
como el actual, quien contrata una auditoría de este tipo busca
soluciones, independientemente del título habilitante que posea, por eso
creo que un equipo interdisciplinario, específico para cada caso en
particular, es la mejor forma de encarar este tipo de tareas y obtener
resultados satisfactorios.
En lo académico, tanto las carreras informáticas y desde hace algún
tiempo las de ciencias económicas incluyen en sus planes de estudio
esta materia.
Por otra parte son varias las unidades académicas que ofrecen
posgrados sobre Auditoría de S.I. con una duración variable entre uno y
dos años.
Además organizaciones internacionales como la I.S.A.C.A. otorgan,
previo examen, una certificación internacional de auditor de sistemas
(C.I.S.A.) y empieza a perfilarse como una carrera autónoma.
Por todo lo expuesto estamos ante una materia, especialización o carrera
nueva, con mucho por definir y precisar para llegar a conceptos comunes que
permitan al menos el uso de un lenguaje común que incluya aspectos como
definiciones, alcances, objetivos, incumbencias profesionales, etc.
Es de esperar que los organismos técnicos de las distintas profesiones
involucradas, trabajando en forma conjunta, elaboren y emitan normas
aplicables a los distintos aspectos analizados de la misma.
18
19. EL CONTROL DE LOS SISTEMAS DE INFORMACIÓN
COMPUTARIZADOS
Los sistemas de información computarizados, incluyendo equipos (hardware),
programas (software) y personal, se generarán a partir de los requerimientos
formalmente establecidos por los usuarios. Su ejecución partirá de un Plan
Integral de Sistemas aprobado por el ejecutivo máximo y se sujetará a las
disposiciones de la Dirección Nacional de Informática de la Contraloría General
del Estado y de otros organismos competentes.
El Plan Integral de Sistemas contendrá como mínimo:
• La definición de los sistemas de información automatizados que necesita
la institución.
• La priorización de los mismos.
• La base tecnológica requerida para su implementación (equipos,
programas y personal)
• El presupuesto financiero
• El cronograma de las actividades principales a desarrollar para la
ejecución del plan.
Para la incorporación de nuevos sistemas y para la actualización o crecimiento
de los existentes, se utilizará tecnología probada y actual, tanto en los equipos
como en los programas de soporte computacional (software de base).
El proceso de desarrollo de sistema seguirá una metodología que comprenda
al menos:
Un análisis de factibilidad
Una propuesta de desarrollo
Un diseño conceptual y físico
Una prueba de aceptación luego de una etapa de trabajo en paralelo
Un plan de implantación que considere:
Capacitación
Adecuación a los nuevos sistemas
Mantenimiento.
Esta metodología incorporará en todas sus fases, la participación de todos los
usuarios y de la Unidad de Auditoria Interna, donde esta exista, así como
instancias de aprobación y aceptación escritas por parte de los usuarios
directamente involucrados y la entrega obligatoria de la documentación
19
20. detallada de cada fase, del sistema en general y de su operación o del usuario.
En caso de adquisición de programas computacionales (paquetes) se preverán
tanto en el proceso como en los contratos respectivos, mecanismos que
aseguren el cumplimiento satisfactorio de los requerimientos del usuario, la
obtención de la licencia de uso legalizada, la recepción de los programas,
diseños, documentación en general y la garantía ofrecida por el proveedor.
PRODUCCIÓN, OPERACIÓN Y MANTENIMIENTO
Para los sistemas incorporados a su gestión, en cada entidad se elaborarán
procedimientos formales y detallados del
funcionamiento y operación, tanto a nivel de usuarios como de la unidad de
sistemas de información computarizados.
Los sistemas en producción se someterán a constantes pruebas y
evaluaciones para identificar inconsistencias o inconformidades respecto a su
funcionamiento. Para solucionar estas deficiencias se aplicarán los
procedimientos de mantenimiento de los sistemas, los mismos que serán
definidos por la entidad.
El mantenimiento comprenderá tanto a los equipos como a los programas,
especialmente cuando se trate de programas comerciales de constante
actualización.
ACCESO A LOS SISTEMAS Y MODIFICACIÓN DE LA INFORMACIÓN
El ejecutivo máximo de cada entidad pública o por su delegación los directivos
y jefes de unidades administrativas, establecerán las medidas que permitan
acceder y modificar los datos e información contenidos en los sistemas
computarizados sólo a personal autorizado. Estas se concretarán en controles
de acceso físico y lógico.
Entre los controles de acceso físico a los puntos terminales del sistema de
información computarizado se tendrán a los siguientes:
• Mantener los puntos terminales bajo llave
• Mantener los puntos terminales bajo supervisión directa
• Utilizar llaves para operar los puntos terminales.
Entre los controles de acceso lógico a los sistemas y la información contenida
en el computador, se utilizará:
• Claves de acceso (palabras secretas)
• Rangos limitados de actividades (menúes restringidos)
• Perfiles de acceso, de acuerdo a las funciones y jerarquías de los
usuarios
20
21. • Una bitácora de operación de los sistemas llevada en forma manual o
computarizada, la misma que consistirá en al menos:
Un registro de utilización de cada uno de los sistemas por cada uno de
los usuarios
Registro de los intentos de acceso no autorizados
Implantación de circuitos especiales que identifican al dispositivo
terminal como autorizado para acceder a los sistemas.
Se entenderá por "puntos terminales" a los terminales de computación, los
microcomputadores independientes y los conectados a otros equipos, ya sea
en la modalidad de red o multiusuario, y todos aquellos dispositivos que
permitan la intercomunicación directa del usuario con el computador.
INGRESO DE DATOS PARA PROCESAMIENTO
El ejecutivo máximo de cada entidad pública o por su delegación los directivos
y jefes de las unidades administrativas serán responsables de asegurar que los
sistemas tengan controles manuales o automáticos de validación de los datos a
ser ingresados para procesamiento.
Una parte esencial de la validación serán los procedimientos para verificar que
la información registrada en los documentos fuente sea pertinente y para
identificar errores de formato, campos faltantes y el ajuste de valores dentro de
límites de razonabilidad para ese proceso.
Otro aspecto importante constituirán los procedimientos que garanticen el
ingreso al computador solo de datos válidos en el contexto del procesamiento
al que van a ser sometidos; es decir, que sean consistentes con los archivos
maestros, estén balanceados, sean íntegros, exactos, completos e ingresen
una sola vez.
TRANSACCIONES RECHAZADAS
En sistemas computarizados que procesen transacciones, aquellas que no
cumplan con las características establecidas para su ingreso al computador
serán devueltas al usuario o incluidas en un archivo de transacciones en
suspenso para su posterior corrección. Una vez corregidas serán sometidas a
los mismos mecanismos de control establecidas para las transacciones
originales.
El proceso de corrección de estas transacciones será definido de manera que
se cumpla oportunamente y con eficiencia.
De acuerdo a las necesidades de información y al menos al fin de cada mes, el
responsable final de la información revisará las transacciones rechazadas que
21
22. se mantengan pendientes y tomará las acciones para su corrección.
Se mantendrá un registro u otro tipo d e control sobre las transacciones
rechazadas y el estado en que se encuentra cada una.
Así mismo se realizarán periódicamente análisis estadísticos y de excepción de
las transacciones rechazadas para detectar errores repetitivos y adoptar
medidas que eviten su recurrencia.
PROCESAMIENTO Y ENTREGA DE DATOS
El ejecutivo máximo de cada entidad pública o por su delegación los ejecutivos
y jefes de las unidades administrativas establecerán para los sistemas de
carácter administrativo, financiero y técnico controles para asegurar que los
datos procesados y la información obtenida sean consistentes, completos y
correspondan al período correcto. Estos controles podrán ser manuales o
automáticos y según el tipo de información procesada podrán consistir en:
• Totalización de valores críticos, antes y después del procesamiento.
• Verificación de compatibilidad de fechas y números de transacciones.
• Conciliación del número de movimientos y modificaciones de los datos.
• Balanceo de saldos o totales de conciliación.
• Utilización correcta de archivos para procesamiento.
• Verificación de que los datos trasmitidos hayan sido completos e
íntegros.
• Consistencia en la recuperación de las transacciones, luego de una
interrupción del procesamiento.
• Validez de los datos generados automáticamente.
• Generar rastros o pistas de auditoria.
La información procesada será entregada de forma oportuna y completa, a los
usuarios autorizados, dejando constancia escrita de esta entrega.
SEGREGACIÓN DE FUNCIONES
El ejecutivo máximo de cada entidad pública definirá y aprobará la estructura
organizativa y funcional de la unidad de Sistemas de Información
Computarizados (SIC), separando las responsabilidades individuales de los
usuarios internos y de los servidores de dicha unidad, de manera que se evite
la concentración de funciones que creen riesgos de cometimiento de errores o
irregularidades.
Así mismo definirá la estructura jerárquica necesaria para el adecuado
funcionamiento de los sistemas de información computarizados, en lo que
respecta a la dirección, supervisión y operación en la parte técnica y al enlace
entre las unidades de sistemas de información computarizados y sus usuarios.
22
23. Para el adecuado funcionamiento de los sistemas de información
computarizados, los usuarios generalmente asumirán la responsabilidad sobre
la iniciación y aprobación de transacciones, así como sobre la idoneidad,
consistencia y seguridad de los datos ingresados para procesamiento. Los
servidores de la unidad de Sistemas de Información Computarizados serán
responsables del procesamiento y distribución de la información obtenida como
resultado, así como de la seguridad e integridad de los datos informados.
En los casos de los sistemas que funcionen independientemente de la unidad
de Sistemas de Información Computarizados, se debe compensar la falta de
segregación de funciones incorporando controles por parte del usuario que
podrán consistir en:
• Mantener registros por tipo de transacción.
• Obtener totales de control de datos permanentes.
• Conciliar los datos ingresados con la información de salida.
• Revisar todos los datos de entrada y salida considerados significativos.
• Supervisar directamente la utilización de los sistemas.
Para garantizar la confiabilidad de la operación de la unidad de Sistemas de
Información Computarizados, esta mantendrá una división funcional que
permita segregar la administración de la unidad, el desarrollo de sistemas, el
mantenimiento del software de base, la operación del computador (incluyendo
biblioteca y archivos), el control y la seguridad de los datos.
Por unidad de Sistemas de Información Computarizados se entenderá al área
responsable de desarrollar, actualizar y operar los sistemas computarizados, a
nivel de toda la institución o de una parte de ella.
CAMBIOS A LOS PROGRAMAS
Las modificaciones a los programas de un sistema de información
computarizado que no signifiquen desarrollo de nuevos sistemas o
subsistemas, pero que impliquen cambios en los resultados generados por el
computador, seguirán un procedimiento que se inicie con la petición formal de
los usuarios y especifique las autorizaciones internas a obtener antes de su
aplicación. Dichas modificaciones quedarán adecuada y completamente
documentadas.
SEGURIDAD GENERAL EN LOS CENTROS DE PROCESAMIENTO DE
DATOS.
Los centro de procesamientos de datos de la institución establecerán
mecanismos que protejan y salvaguarden, contra pérdidas y fugas, los medios
físicos (equipos y programas) y la información. Con este fin aplicarán por lo
menos las siguientes medidas:
23
24. • Procedimientos de acceso físico restringido al centro de procesamiento
de datos, biblioteca magnética, documentos, datos y documentación de
los programas.
• Obtención periódica de respaldos y ubicación física de los más
importantes en lugares resguardados, fuera de los centros de
procesamiento de datos.
• Seguridades e instalaciones físicas adecuadas.
• Un plan de contingencia que prevea las acciones a tomar en caso de
una emergencia o suspensión en el procesamiento de la información por
problemas con los equipos, con los programas o con el personal.
• Procedimiento de seguridad a observarse por parte del personal que
trabaja en turnos por la noche o en fin de semana.
Se entenderá por centro de procesamiento de datos al área física donde se
ubiquen el o los computadores que almacenan la información.
UTILIZACIÓN DE LOS EQUIPOS, PROGRAMAS E INFORMACIÓN
INSTITUCIONAL
El ejecutivo máximo de cada entidad pública o por su delegación los directivos
y jefes de las unidades administrativas, establecerán procedimientos para
asegurar el uso eficiente, efectivo y económico de los equipos, programas de
computación e información computarizada, a través de:
• El registro y seguimiento de la operación de los mismos.
• La capacitación de los funcionarios en la utilización de los equipos y
programas.
• La evaluación periódica de los objetivos cumplidos mediante la
computarización.
• Los equipos y programas serán utilizados exclusivamente en las
actividades propias de la institución.
La información obtenida del proceso computarizado será de uso e intercambio
entre las instituciones del sector público, con excepción de aquella considerada
expresamente reservada o de uso restringido. En el caso de fijarse un precio
para la información a proporcionar a estas entidades, el mismo considerará
únicamente los costos de su obtención, procesamiento y transmisión que será
materia del Reglamento pertinente.
APROVECHAMIENTO DE LOS RECURSOS COMPUTARIZADOS DEL
SECTOR PÚBLICO
El ejecutivo máximo de la entidad pública establecerá mecanismos que
aseguren eficiencia, efectividad y economía en el aprovechamiento de los
24
25. recursos computarizados (equipos, programas e información) del sector
público.
Estos mecanismos promoverán y viabilizarán el intercambio de información
interinstitucional así como de programas de aplicación desarrollados al interior
de las instituciones.
Complementariamente, la Dirección Nacional de Informática autorizará la
adquisición de bienes y servicios para sistemas computarizados, tomando en
cuenta la compatibilidad tanto en equipos como en programas que permita la
interconexión de los sistemas y mantendrá un registro del Parque Informático
del Sector Público. Esta última información será difundida periódicamente a las
instituciones interesadas, a nivel nacional.
Cada entidad pública deberá mantener un registro de los equipos y programas
que posee, para que puedan ser considerados en el Parque Informático del
Sector Público.
El Parque Informático del Sector Público estará conformado por la suma de los
equipos, programas e información computarizados (software y hardware) que
posean las entidades gubernamentales.
25
26. NORMAS DE AUDITORIA DE SISTEMAS
INFORMATICOS VIGENTES EN EL ECUADOR
NORMAS DE CONTROL INTERNO PARA EL SECTOR PÚBLICO.
400 - 01 TITULO: ORGANIZACIÓN DEL AREA INFORMATICA
Cada entidad establecerá los lineamientos que orienten el proceso de
organización del área de informática, aspecto que implica la definición de
actividades a cumplir, las funciones y responsabilidades del personal, al igual
que las interrelaciones de los elementos comprendidos en este sector con las
áreas operativas de la entidad. Estos elementos formarán parte del Manual de
Organización y Funciones, correspondiente. La estructura básica del área de
Informática estará constituida por áreas que son importantes para el
funcionamiento, de acuerdo a las necesidades de cada entidad. Corresponde
a la máxima autoridad de la entidad aprobar las políticas que permitan
organizar apropiadamente al área de informática y asignar los recursos
humanos calificados y equipos de computación necesarios.
400 – 02 TITULO: PLAN INFORMATICO, ADQUISICION O ACTUALIZACION
DE SISTEMAS
Los sistemas de información computarizados se generan de acuerdo a los
requerimientos o necesidades establecidas en cada entidad del sector público,
será necesario que la máxima autoridad apruebe un PLAN INTEGRAL
INFORMATICO, con sujeción a las disposiciones vigentes. Dicho plan será de
carácter obligatorio, independiente del nivel de complejidad o tamaño de la
entidad, además será el que regule y determine el desarrollo informático de la
institución a corto y mediano plazo.
El Plan Integral Informático debe contener lo siguiente:
1. Fase organizacional referente a la misión de la entidad, estructura
orgánica, ANALISIS FODA situación actual del área informática en:
Recursos humanos, HARDWARE y SOFTWARE;
2. La definición de los Sistemas de Información Computarizados que
necesita la institución;
3. La priorización de los mismos;
4. La base tecnológica requerida para su implantación (equipos, programas y
personal);
5. El presupuesto financiero;
6. Plan de inversiones; y,
7. El cronograma de las actividades principales a desarrollar para la
ejecución del plan.
Esa metodología incorporará en todas sus fases, la participación de los
usuarios y de la Unidad de Auditoría Interna, donde ésta exista, así como
instancias de aprobación y aceptación escritas por parte de los usuarios
directamente involucrados y la entrega obligatoria de la documentación
detallada de cada fase, del sistema en general y de su operación o del usuario.
26
27. En caso de adquisición de programas de computación (paquetes de software)
se preverán tanto en el proceso como en los contratos respectivos,
mecanismos que aseguren el cumplimiento satisfactorio de los requerimientos
de la entidad, la obtención de la licencia de uso legalizada, la recepción de los
programas, diseños, documentación en general y la garantía de mantenimiento
ofrecida por el proveedor. En la adquisición de equipos de computación
(hardware), los contratos respectivos, tendrán el detalle suficiente que permita
establecer la marca y las características técnicas de los principales
componentes al igual que la garantía ofrecida por el proveedor, a fin de
determinar la correspondencia de los equipos adquiridos con los
requerimientos establecidos en el proceso de contratación, lo que quedará
confirmado en las actas de entrega/recepción. Para la incorporación de nuevos
sistemas y para la actualización o crecimiento de los existentes, se utilizará
tecnología probada y actual tanto en los equipos como en los programas de
computación de soporte (software de base). El proceso de desarrollo de
sistemas seguirá una metodología que comprenda al menos:
1. Un análisis de factibilidad;
2. Una propuesta de desarrollo;
3. Un diseño conceptual y físico;
4. Una prueba de aceptación luego de una etapa de trabajo en paralelo;
5. Un plan de implantación que considere:
Capacitación
Adecuación de los nuevos sistemas
Mantenimiento
400 – 03 TITULO: OPERACION Y MANTENIMIENTO
Para los sistemas incorporados a su gestión, en cada entidad se elaborarán
procedimientos formales y detallados del funcionamiento y operación, tanto a
nivel de usuarios como de la unidad de sistemas de información
computarizados. Los sistemas en operación se someterán a constantes
pruebas y evaluaciones para identificar inconsistencias o inconformidades
respecto a su funcionamiento. Para solucionar estas deficiencias se aplicarán
los procedimientos de mantenimiento de los sistemas, los mismos que serán
definidos por la entidad. Para el mantenimiento de sistemas, la entidad contará
con mecanismos documentados de los cambios y ajustes efectuados.
400 - 04 TITULO: ACCESO A LOS SISTEMAS Y MODIFICACION DE
LA INFORMACION.
La máxima autoridad de cada entidad pública o por su delegación los directivos
y jefes de unidades administrativas, en coordinación con el jefe de la unidad de
Procesamiento Automático de Datos, establecerán las medidas que permitan
acceder y modificar los datos e información contenidos en los sistemas
computarizados solo a personal autorizado. Estas se concretarán en controles
de acceso físico y lógico. Entre los controles de acceso físico a los puntos
terminales del sistema de información computarizado se tomarán en cuenta los
siguientes:
27
28. 1. Mantener los puntos terminales bajo llave;
2. Mantener los puntos terminales bajo supervisión directa; y,
3. Utilizar llaves para operar los puntos terminales.
Entre los controles de acceso lógico a los sistemas y la información contenida
en la computadora, se utilizará:
1. Claves de accesos (palabras secretas);
2. Rangos limitados de actividades (menúes restringidos);
3. Perfiles de acceso, de acuerdo a las funciones y jerarquías de los usuarios;
4. Una bitácora de operación de los sistemas llevada en forma manual o
computarizada, la misma que consistirá en al menos:
Un registro de utilización de cada uno de los sistemas por cada uno de
los usuarios;
Registro de los intentos de acceso no autorizados;
Implantación de circuitos especiales que identifican al dispositivo
terminal como autorizado para acceder a los sistemas.
Se entenderá por “puntos terminales” a las terminales de computación, los
microcomputadores independientes y los conectados a otros equipos, ya sea
en la modalidad de red o multiusuario, y todos aquellos dispositivos que
permitan la intercomunicación directa del usuario con el computador.
400 - 05 TITULO: ENTRADA Y SALIDA DE DATOS
Deben diseñarse controles con el propósito de salvaguardar los datos fuente,
las operaciones de proceso y salida de información, con la finalidad de
preservar la integridad de la información procesada por la entidad.
Para implementar los controles sobre datos fuente, es necesario que la entidad
designe a los usuarios encargados de salvaguardar los datos. Para ello, deben
establecerse políticas que definan las claves de acceso para los tres niveles:
Primer nivel: únicamente tiene opción de consulta de datos;
Segundo nivel: captura, modifica y consulta datos; y,
Tercer nivel: captura, modifica, consulta y además puede realizar bajas
de datos.
Los controles de salida de datos protegerán la integridad de la información,
para cuyo efecto es necesario tener en cuenta aspectos tales como:
Copias de la información en otras unidades;
La identificación de las personas que entregan el documento de salida;
La definición de las personas que reciben la información.
Los controles de operación de los equipos de cómputo están dados por
procedimientos estandarizados y formales que se efectivizan de la siguiente
forma:
Describen en forma clara y detallada los procedimientos;
Actualizan periódicamente los procedimientos; y,
Asignan los trabajos con niveles efectivos de utilización de equipos.
En tal razón, los jefes de las unidades administrativas, serán responsables de
asegurar que los sistemas tengan controles, sean éstos manuales o
automáticos de validación de los datos que van a ser ingresados al
28
29. computador, puntualizando en los procedimientos para verificar que la
información registrada en los documentos fuente es correcta, es decir, permitan
identificar los errores y efectuar los ajustes que sean necesarios en el proceso.
Se aplicarán procedimientos que garanticen el ingreso al computador de datos
válidos, es decir, que sean consistentes con los archivos. Corresponde a la
Dirección de la entidad, en coordinación con el Área de Informática, establecer
los controles de datos fuente, los controles de operación y los controles de
seguridad, con el objeto de asegurar la integridad y adecuado uso de la
información que produce la entidad.
400 – 06 TITULO: TRANSACCIONES RECHAZADAS
La entidad definirá procedimientos para el caso de producirse transacciones
rechazadas por efecto del procesamiento de la información; las transacciones
que no cumplan con las características para su ingreso al computador, serán
incluidas en un archivo de transacciones en suspenso; y, al final de cada
proceso, el responsable de la información las revisará para tomar las acciones
necesarias para su corrección.
De acuerdo a las necesidades de información al menos al fin de cada mes, el
responsable final de la información revisará las transacciones rechazadas que
se mantengan pendientes y tomará las acciones para su corrección.
Se mantendrá un registro u otro tipo de control sobre las transacciones
rechazadas y el estado en que se encuentra cada una. Una vez corregidas
serán sometidas a los mismos mecanismos de control establecidos para las
transacciones originales. Con la finalidad de detectar errores repetitivos de las
transacciones rechazadas, mensualmente se efectuará un análisis estadístico y
de excepción de éstas, y se adoptarán las medidas que eviten su recurrencia.
El proceso de corrección de estas transacciones será definido de manera que
se cumpla oportunamente y con eficiencia.
400 - 07 TITULO: PROCESAMIENTO Y ENTREGA DE DATOS
La máxima autoridad de cada entidad pública o por su delegación los jefes de
las unidades administrativas, establecerán controles en los sistemas de
información para asegurar que los datos procesados y la información obtenida
sean completos y correspondan al período correcto, estos controles podrán ser
manuales o automáticos, según la información procesada, y consistirán en:
1. Totalización de valores críticos, antes y después del procesamiento;
2. Verificación de compatibilidad de fechas y transacciones y modificaciones de
los datos;
3. Balanceo de saldos o totales de conciliación;
4. Utilización correcta de archivos para procesamiento;
5. Verificar que los datos transmitidos hayan sido completos;
6. Consistencia en la recuperación de transacciones, luego de una interrupción;
7. Validez de datos generados automáticamente; y,
8. Generar rastro o pistas de auditoría.
La información procesada será entregada de forma oportuna y completa a los
usuarios autorizados, dejando constancia escrita de esta entrega.
29
30. 400 – 08 TITULO: SEGREGACION DE FUNCIONES EN EL AREA DE
INFORMATICA
La máxima autoridad de una entidad del sector público, será la encargada de
definir las funciones de la unidad de Procesamiento Automático de Datos.
Esta segregación de funciones será definida en la estructura orgánica y se
especificará las responsabilidades individuales de los usuarios internos de cada
servidor; así como también definirá la estructura jerárquica necesaria para el
adecuado funcionamiento de los Sistemas de Información Computarizados en
lo que corresponde a la dirección, supervisión y operación de la parte técnica y
al enlace entre las unidades de sistemas de información computarizados y sus
usuarios. En el caso de los sistemas que funcionen independientemente de la
unidad de Procesamiento Automático de Datos o en aquellas actividades que
debido a su tamaño no disponen de una unidad de sistemas, se compensará la
falta de segregación de funciones incorporando controles por parte del usuario,
siendo el jefe o responsable del área el que debe implementar dichos controles,
que, entre otros, pueden ser:
Supervisar directamente la utilización y seguridad de los sistemas;
Mantener registros por tipo de transacción;
Obtener totales de control de datos permanentes;
Conciliar los datos ingresados con la información de salida; y,
Revisar los datos de entrada y salida considerados significativos.
Para garantizar la confiabilidad de las operaciones de la unidad de
Procesamiento Automático de Datos se mantendrá una división funcional que
permita segregar la administración de la unidad, el desarrollo de sistemas, el
mantenimiento del software de base, la operación del computador, el control y
la seguridad de los datos. Por unidad de Procesamiento Automático de Datos
se entenderá al área responsable de desarrollar, actualizar y operar los
sistemas computarizados, a nivel de toda la institución o de una parte de ella.
400 – 09 TITULO: SEGURIDAD GENERAL EN LOS CENTROS DE
PROCESAMIENTO DE DATOS.
Los centros de procesamiento de datos de la institución, establecerán
mecanismos que protejan y salvaguarden contra pérdidas y fugas de los
medios físicos (equipos y programas) y la información. Con este fin aplicarán
por lo menos las siguientes medidas:
1. Procedimientos de acceso físico restringido al centro de procesamiento de
datos, biblioteca magnética, documentos, datos y documentación de los
programas;
2. Obtención periódica de respaldos y ubicación física de los más importantes
en lugares resguardados, fuera de los centros de procesamiento de datos;
3. Seguridades e instalaciones físicas adecuadas;
4. Un plan de contingencias que prevea las acciones a tomar en caso de una
emergencia o suspensión en el procesamiento de la información por problemas
con los equipos, con los programas o con el personal; el Plan de Contingencias
abarcará los siguientes aspectos:
30
31. 1. Plan de Reducción de Riesgos (Plan de Seguridad)
2. Plan de Recuperación de Desastres:
Actividades Previas al Desastre
Actividades durante el Desastre (Plan de Emergencias, entrenamiento)
Actividades después del Desastre.
El plan de contingencias es un documento de carácter confidencial que
describe los procedimientos que debe seguir la oficina de informática para
actuar en caso de una emergencia que interrumpa la operatividad del sistema
de cómputo. La aplicación del plan permite operar en un nivel aceptable
cuando las facilidades de procesamiento de información no están disponibles.
El plan de contingencias aprobado, se distribuye entre el personal responsable
de su operación. La revisión del plan debe realizarse cuando se haya efectuado
algún cambio en la configuración de los equipos.
Corresponde al área de informática elaborar, mantener y actualizar el Plan de
Contingencias, a fin de asegurar el funcionamiento de los sistemas de
información que requiere la entidad para el desarrollo de sus actividades.
5. Procedimientos de seguridad a observarse por parte del personal que trabaja
en turnos por la noche o en fin de semana. Se entenderá por centro de
procesamiento de datos al área física donde se ubica a los computadores que
almacenan la información.
400 – 10 TITULO: UTILIZACION DE LOS EQUIPOS, PROGRAMAS E
INFORMACION INSTITUCIONAL
La máxima autoridad de cada entidad pública o por su delegación los directivos
y jefes de las unidades administrativas, establecerán procedimientos para
asegurar el uso eficiente, eficaz y económico de los equipos, programas de
computación e información computarizada, a través de:
1. El registro y seguimiento de la operación de los mismos;
2. La capacitación de funcionarios en la utilización de los equipos y programas;
3. La evaluación periódica de los objetivos cumplidos mediante la
computarización.
Los equipos y programas serán utilizados exclusivamente en las actividades
propias de la institución.
La información obtenida del proceso computarizado será de uso e intercambio
entre las instituciones del sector público, con excepción de aquella considerada
expresamente como reservada o de uso restringido. En el caso de fijarse un
valor para la información a proporcionar a estas entidades, el mismo
considerará únicamente los costos de su obtención, procesamiento y
transmisión que será materia del reglamento pertinente.
400 - 11 TITULO: APROVECHAMIENTO DE LOS RECURSOS
COMPUTARIZADOS DEL SECTOR PUBLICO.
La máxima autoridad de cada entidad pública establecerá mecanismos que
aseguren eficiencia, efectividad y economía en el aprovechamiento de los
recursos computarizados (equipos, programas e información) del sector
público. Estos mecanismos promoverán y viabilizarán el intercambio de
31
32. información interinstitucional así como de programas de aplicación
desarrollados al interior de las instituciones. Complementariamente, el
organismo competente autorizará la adquisición de bienes y servicios para
sistemas computarizados, tomando en cuenta la “compatibilidad” tanto en
equipos como en programas que permita la interconexión de los sistemas y
mantendrá un registro del Parque Informático del Sector Público. Esta última
información será difundida periódicamente a las instituciones interesadas, a
nivel nacional.
Cada entidad pública mantendrá un registro de los equipos y programas que
posee, para que puedan ser considerados en el Parque Informático del Sector
Público. El Parque Informático del Sector Público estará conformado por las
sumas de los equipos, programas e información computarizados (software y
hardware) que posean las entidades gubernamentales.
400 – 12 TITULO: ADMINISTRACION DEL SOFTWARE
Dado que el software, está protegido por la Ley de Derecho de Autor y no
puede utilizarse, reproducirse o distribuirse sin la autorización expresa del
fabricante; con la finalidad de administrar, garantizar la legitimidad del software
para evitar disputas legales a futuro, es necesario formular políticas
institucionales del software, que cubra la adquisición y el uso del software en
las entidades del Sector Público.
EL PROCESO DE AUDITORIA DE SISTEMAS
INFORMATICOS
La auditoría informática es un proceso llevado a cabo por profesionales
especialmente capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un sistema de información salvaguarda el
activo empresarial, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización, utiliza eficientemente los recursos, y
cumple con las leyes y regulaciones establecidas. Permiten detectar de forma
sistemática el uso de los recursos y los flujos de información dentro de una
organización y determinar qué información es crítica para el cumplimiento de su
misión y objetivos, identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan flujos de información eficientes.
Auditar consiste principalmente en estudiar los mecanismos de control que
están implantados en una empresa u organización, determinando si los mismos
son adecuados y cumplen unos determinados objetivos o estrategias,
estableciendo los cambios que se deberían realizar para la consecución de los
mismos. Los mecanismos de control pueden ser directivos, preventivos, de
detección, correctivos o de recuperación ante una contingencia.
32
33. Los objetivos de la auditoría Informática son:
• El control de la función informática
• El análisis de la eficiencia de los Sistemas Informáticos
• La verificación del cumplimiento de la Normativa en este ámbito
• La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa
como:
• Desempeño
• Fiabilidad
• Eficacia
• Rentabilidad
• Seguridad
• Privacidad
Generalmente se puede desarrollar en alguna o combinación de las siguientes
áreas:
• Gobierno corporativo
• Administración del Ciclo de vida de los sistemas
• Servicios de Entrega y Soporte
• Protección y Seguridad
• Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y herramientas estándar para el
ejercicio de la auditoría informática ha promovido la creación y desarrollo de
mejores prácticas como COBIT, COSO e ITIL.
Actualmente la certificación de ISACA para ser CISA Certified Information
Systems Auditor es una de las más reconocidas y avaladas por los estándares
internacionales ya que el proceso de selección consta de un examen inicial
bastante extenso y la necesidad de mantenerse actualizado acumulando horas
(puntos) para no perder la certificación.
La técnica de la auditoría, siendo por tanto aceptables equipos
multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería
Técnica en Informática y licenciados en derecho especializados en el mundo de
la auditoría.
33
34. Principales pruebas y herramientas para efectuar una auditoría
informática
En la realización de una auditoría informática el auditor puede realizar las
siguientes pruebas:
• Pruebas sustantivas: Verifican el grado de confiabilidad del SI del
organismo. Se suelen obtener mediante observación, cálculos,
muestreos, entrevistas, técnicas de examen analítico, revisiones y
conciliaciones. Verifican asimismo la exactitud, integridad y validez de la
información.
• Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo
revelado mediante el análisis de la muestra. Proporciona evidencias de
que los controles claves existen y que son aplicables efectiva y
uniformemente.
Las principales herramientas de las que dispone un auditor informático son:
• Observación
• Realización de cuestionarios
• Entrevistas a auditados y no auditados
• Muestreo estadístico
• Flujogramas
• Listas de chequeo
• Mapas conceptuales
La naturaleza especializada de la auditoria de los sistemas de información y las
habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el
desarrollo y la promulgación de Normas Generales para la auditoria de los
Sistemas de Información. La auditoria de los sistemas de información se define
como cualquier auditoria que abarca la revisión y evaluación de todos los
aspectos (o de cualquier porción de ellos) de los sistemas automáticos de
procesamiento de la información, incluidos los procedimientos no automáticos
relacionados con ellos y las interfaces correspondientes.
Para hacer una adecuada planeación de la auditoría en informática, hay que
seguir una serie de pasos previos que permitirán dimensionar el tamaño y
características de área dentro del organismo a auditar, sus sistemas,
organización y equipo. A continuación, la descripción de los dos principales
objetivos de una auditoria de sistemas, que son, las evaluaciones de los
procesos de datos y de los equipos de cómputo, con controles, tipos y
seguridad.
34
35. La auditoría en informática deberá comprender no sólo la evaluación de los
equipos de cómputo, de un sistema o procedimiento específico, sino que
además habrá de evaluar los sistemas de información en general desde sus
entradas, procedimientos, controles, archivos, seguridad y obtención de
información. La auditoría en informática es de vital importancia para el buen
desempeño de los sistemas de información, ya que proporciona los controles
necesarios para que los sistemas sean confiables y con un buen nivel de
seguridad. Además debe evaluar todo (informática, organización de centros de
información, hardware y software).
PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA
Para hacer una adecuada planeación de la auditoría en informática, hay que
seguir una serie de pasos previos que permitirán dimensionar el tamaño y
características de área dentro del organismo a auditar, sus sistemas,
organización y equipo.
En el caso de la auditoría en informática, la planeación es fundamental, pues
habrá que hacerla desde el punto de vista de los dos objetivos:
• Evaluación de los sistemas y procedimientos.
• Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener
información general sobre la organización y sobre la función de informática a
evaluar. Para ello es preciso hacer una investigación preliminar y algunas
entrevistas previas, con base en esto planear el programa de trabajo, el cual
deberá incluir tiempo, costo, personal necesario y documentos auxiliares a
solicitar o formular durante el desarrollo de la misma.
INVESTIGACIÓN PRELIMINAR
Se deberá observar el estado general del área, su situación dentro de la
organización, si existe la información solicitada, si es o no necesaria y la fecha
de su última actualización. Se debe hacer la investigación preliminar solicitando
y revisando la información de cada una de las áreas basándose en los
siguientes puntos:
ADMINISTRACIÓN.- Se recopila la información para obtener una visión
general del departamento por medio de observaciones, entrevistas preliminares
y solicitud de documentos para poder definir el objetivo y alcances del
departamento. Para analizar y dimensionar la estructura por auditar se debe
solicitar a nivel del área de informática:
35
36. • Objetivos a corto y largo plazo.
• Recursos materiales y técnicos
• Solicitar documentos sobre los equipos, número de ellos, localización y
características.
• Estudios de viabilidad.
• Número de equipos, localización y las características (de los equipos
instalados y por instalar y programados)
• Fechas de instalación de los equipos y planes de instalación.
• Contratos vigentes de compra, renta y servicio de mantenimiento.
• Contratos de seguros.
• Convenios que se tienen con otras instalaciones.
• Configuración de los equipos y capacidades actuales y máximas.
• Planes de expansión.
• Ubicación general de los equipos.
• Políticas de operación.
• Políticas de uso de los equipos.
SISTEMAS.- Descripción generales de los sistemas instalados y de los que
estén por instalarse que contengan volúmenes de información.
• Manual de formas.
• Manual de procedimientos de los sistemas.
• Descripción genérica.
• Diagramas de entrada, archivos, salida.
• Salidas.
• Fecha de instalación de los sistemas.
• Proyecto de instalación de nuevos sistemas.
• En el momento de hacer la planeación de la auditoria o bien su
realización, debemos evaluar que pueden presentarse las siguientes
situaciones.
• Se solicita la información y se ve que:
• No tiene y se necesita.
• No se tiene y no se necesita.
• Se tiene la información pero:
• No se usa.
• Es incompleta.
• No está actualizada.
• No es la adecuada.
• Se usa, está actualizada, es la adecuada y está completa.
En el caso de no se tiene y no se necesita, se debe evaluar la causa por la que
no es necesaria. En el caso de No se tiene pero es necesaria, se debe
recomendar que se elabore de acuerdo con las necesidades y con el uso que
36
37. se le va a dar. En el caso de que se tenga la información pero no se utilice, se
debe analizar por qué no se usa. En caso de que se tenga la información, se
debe analizar si se usa, si está actualizada, si es la adecuada y si está
completa.
El éxito del análisis crítico depende de las consideraciones siguientes:
• Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la
información sin fundamento)
• Investigar las causas, no los efectos.
• Atender razones, no excusas.
• No confiar en la memoria, preguntar constantemente.
• Criticar objetivamente y a fondo todos los informes y los datos
recabados.
PERSONAL PARTICIPANTE.- Una de las partes más importantes dentro de la
planeación de la auditoría en informática es el personal que deberá participar y
sus características. Uno de los esquemas generalmente aceptados para tener
un adecuado control es que el personal que intervengan esté debidamente
capacitado, con alto sentido de moralidad, al cual se le exija la optimización de
recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.
Con estas bases se debe considerar las características de conocimientos,
práctica profesional y capacitación que debe tener el personal que intervendrá
en la auditoria. En primer lugar se debe pensar que hay personal asignado por
la organización, con el suficiente nivel para poder coordinar el desarrollo de la
auditoria, proporcionar toda la información que se solicite y programar las
reuniones y entrevistas requeridas. Éste es un punto muy importante ya que,
de no tener el apoyo de la alta dirección, ni contar con un grupo
multidisciplinario en el cual estén presentes una o varias personas del área a
auditar, sería casi imposible obtener información en el momento y con las
características deseadas.
También se debe contar con personas asignadas por los usuarios para que en
el momento que se solicite información o bien se efectúe alguna entrevista de
comprobación de hipótesis, nos proporcionen aquello que se esta solicitando, y
complementen el grupo multidisciplinario, ya que se debe analizar no sólo el
punto de vista de la dirección de informática, sino también el del usuario del
sistema. Para completar el grupo, como colaboradores directos en la
realización de la auditoria se deben tener personas con las siguientes
características:
• Técnico en informática.
• Experiencia en el área de informática.
37
38. • Experiencia en operación y análisis de sistemas.
• Conocimientos de los sistemas más importantes.
En caso de sistemas complejos se deberá contar con personal con
conocimientos y experiencia en áreas específicas como base de datos, redes,
etc. Lo anterior no significa que una sola persona tenga los conocimientos y
experiencias señaladas, pero si deben intervenir una o varias personas con las
características apuntadas.
El hecho de contar con la información del avance nos permite revisar el trabajo
elaborado por cualquiera de los asistentes.
PASOS A SEGUIR
Se requieren varios pasos para realizar una auditoría. El auditor de sistemas
debe evaluar los riesgos globales y luego desarrollar un programa de auditoría
que consta de objetivos de control y procedimientos de auditoría que deben
satisfacer esos objetivos.
El proceso de auditoría exige que el auditor de sistemas reúna evidencia,
evalúe fortalezas y debilidades de los controles existentes basado en la
evidencia recopilada, y que prepare un informe de auditoría que presente esos
temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoría debe
garantizar una disponibilidad y asignación adecuada de recursos para realizar
el trabajo de auditoría además de las revisiones de seguimiento sobre las
acciones correctivas emprendidas por la gerencia.
INFORME
En si todos los encuestados respondieron la totalidad de las preguntas. Todos
tienen la misma respuesta en la pregunta sobre la inteligencia artificial, todos
dicen prácticamente lo mismo acerca de lo que es la auditoria de sistemas en
que es un sistema de revisión, evaluación, verificación y evalúa la eficiencia y
eficacia con que se está operando los sistemas y corregir los errores de dicho
sistema. Todos los encuestados mostraron una características muy similares
de las personas que van a realizan la auditoria; debe haber un contador, un
ingeniero de sistemas, un técnico y que debe tener conocimientos, práctica
profesional y capacitación para poder realizar la auditoria.
Todos los encuestados conocen los mismos tipos de auditoría, Económica,
Sistemas, Fiscal, Administrativa.
Para los encuestados el principal objetivo de la auditoria de sistemas es
Asegurar una mayor integridad, confidencialidad y confiabilidad de la
información mediante la recomendación de seguridades y controles.
38
39. Mirando en general a todos los encuestados se puede ver que para ellos la
auditoria de sistemas es muy importante porque en los sistemas esta toda la
información de la empresa y del buen funcionamiento de esta depende gran
parte del funcionamiento de una empresa y que no solo se debe comprender
los equipos de computo sino también todos los sistemas de información desde
sus entradas, procedimientos, controles, archivos, seguridad y obtención de
información.
La auditoria de los sistemas de informática es de mucha importancia ya que
para el buen desempeño de los sistemas de información, ya que proporciona
los controles necesarios para que los sistemas sean confiables y con un buen
nivel de seguridad.
39