¿Qué significa planear la auditoria? Dentro de la auditoria en general, la planeación es uno de los pasos más importantes para garantizar el éxito de la misma. La definición de los objetivos perseguidos en la auditoria informática debe preceder a la elección de los medios y las acciones, si se pretende evitar el predominio de estos últimos. La AI es una excepción y debe ser planificada en todos sus detalles para poder dimensionar el tamaño, caracterÃ−sticas de área dentro de la empresa u organismos a auditar, sus sistemas, su organización y equipo. Con esos datos se podrá determinar el número de caracterÃ−sticas del personal de auditoria, las herramientas necesarias, el tiempo, costo, como asÃ− también la correcta definición de los alcances de la AI, para en cao de ser necesario poder elaborar contratos de servicios externos. Para lograr una buena planeación es conveniente primero obtener información general sobre la organización y sobre la función informática a evaluar. Para ello es preciso una investigación preliminar y algunas entrevistas previas, para establecer un programa de trabajo en el que se incluirá el tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la AI. ¿ Qué es la Auditoria Informática? Es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputos, su utilización, eficiencia y seguridad, de la organización que participan en el procedimiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente para una adecuada toma de decisiones. La auditoria informática deberá comprender no solo la evaluación de los equipos de computación o de un sistema o procedimiento especifico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de la información, como la herramienta que permite obtener la información adecuada y la organización especifica (centro de cómputos, departamento de informática, gerencia de sistemas, etc.) que hará posible el uso de los equipos de cómputos. Su campo de acción será : • Evaluación administrativa del área de informática. Evaluación de : • Los objetivos del área. • Metas, planes, polÃ−ticas y procedimientos de procesos electrónicos estándar. • Organización del área y su estructura orgánica. • Funciones y niveles de autoridad y responsabilidad dl área de sistemas. • Integración de los recursos materiales y técnicos. • Costos y controles presupuestales. • Controles administrativos del área. • Evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la información. Evaluación del: • Análisis de los sistemas y sus diferentes etapas. • Evaluación del diseño lógico del sistema. 1 • Evaluación del desarrollo fÃ−sico del sistema. • Control de proyectos. • Control de sistemas y programación • Instructivos y documentación. • Formas de implantación. • Seguridad lógica y fÃ−sica de los sistemas y sus datos. • Confidencialidad de los sistemas. • Controles de mantenimiento y forma de respaldo de los sistemas • Utilización de los sistemas. • Evaluación del proceso de datos y de los equipos de procedimientos. ( si son suficientes, si los seguros los cubren, si se usan o no.) • Controles de los datos fuentes y manejo de cifras de control • Control de operación • Control de salida • Control de asignación de trabajo • Control de asignación de medios de almacenamiento masivo. (de tareas que existen. • Control de los elementos de cómputos. • Orden en el centro de procedimientos. • Seguridad fÃ−sica y lógica. • Respaldos. El auditor crea el procedimiento para asignar tareas y controlarlas si no existen. ¿Cuáles son las fases de desarrollo de la auditoria informática? Explicar brevemente. Las fases de la auditoria informática son. • Toma de contacto. • Planificación de la operación • Desarrollo de la operación • Desarrollo de la auditoria • Fase de diagnostico • Presentación de las conclusiones • Formulación del plan de mejoras Toma de contacto Esta fase tendrá mucho más sentido si el equipo del auditor es externo a la organización, ya que en ella se recaba toda la información preliminar, y determinación de alcances. Se deberá recabar en cuanto a la organización en general: • Organización • Organigrama • Volumen • LÃ−neas de productos, planes • Situación en el mercado, etc. Se deberá recabar en cuanto al área de sistemas. 2 • La estructura del área de sistemas • Relaciones funcionales y jerárquicas • Recursos humanos: nro. , experiencia, formación, funciones • Recursos materiales: configuración del hard, herramientas de soft, sistema operativo, comunicaciones, etc. • Aplicaciones de desarrollo si las hay, • Aplicaciones en funcionamiento, documentación mantenimiento y adecuación. En definitiva una larga lista que permitirá al auditor conocer la organización donde se ubicará para efectuar su trabajo. Planificación de la operación En esta etapa deberá establecer: • Definitivamente el objetivo de la AI • Las áreas que cubrirá • Personas de la organización que habrá de colaborar y en que momentos de al auditoria. • Plan de trabajo: Tareas, calendario, resultados parciales, presupuesto, equipo auditor necesario. Desarrollo de la auditoria informática Es el momento de ejecutar las tareas que se enuncian en la fase anterior. Es esta una fase de observación, de recogida de datos, situaciones, deficiencias, en resumen un periodo en el que: • Se efectúan las entrevistas previstas en la fase de planificación. • Se completarán todos los cuestionarios que presente el auditor • Se observaran las situaciones deficientes, no solo las aparentes, sino las que hasta ahora no hayan sido detectadas, para lo que se podrá llegar a simular situaciones lÃ−mites. • Se observaran los procedimientos, tanto en los informáticos como en los usuarios. • Se ejecutaran por los tanto, todas las previsiones efectuadas en la etapa anterior con el objetivo de llegar a la siguiente etapa en condiciones de diagnosticar sobre la situación encontrada. Fase de diagnostico Cuando ya se hayan efectuado todos los estudios y revisiones, se debe elaborar el diagnostico. Como resultado de esta etapa han de quedar claramente definidos los puntos débiles, y por contrapunto los fuertes, los riesgos eventuales, y en primera instancia los posibles tipos de solución o mejoras de los problemas planteados. Presentación de las conclusiones Estas conclusiones se discutirán con las personas afectadas por lo que serán suficientemente argumentadas, probadas y argumentadas. Momento delicado en el trato con las áreas, los auditores deben presentar estas conclusiones como un plan de mejoras en beneficio de todos mas que una reprobación de los afectados, salvo en el caso de que esto sea estrictamente necesario. Formulación del plan de mejoras Llegados a este último punto, la dirección conoce ya las deficiencias que el equipo auditor ha observado en 3 su departamento informático, estas han sido discutidas. Más no basta con quedarse ahÃ−, ahora es cuando los auditores han de demostrar su experiencia en situaciones anteriores lo suficientemente contrastada y exitosas y ser capaces de adjuntar, junto con el informe de auditoria, el plan de mejoras que permiten solventar las deficiencias encontradas. El plan de mejoras abarcara todas las recomendaciones que vengan a intentar soslayar las deficiencias detectadas en la realización de la auditoria. Para ello se tendrán en cuenta los recursos disponibles, o al menos potencialmente disponible, por parte de la Empresa objeto de la auditoria. Se trata de distinguir entre las medidas que es posible realizar a corto plazo, de las que lo son a mediano plazo y de las ejecutables a largo plazo. Entre las primeras se incluirán aquellas mejoras puntuales y de fácil realización como son las mejoras en plazo, calidad, planificación o formación. Las medidas de mediano plazo necesitaran de uno a dos años para poderse concretar. AquÃ− pues caben las mejoras más profundas y con mayor necesidad de recursos, como la optimización de programas, o de la documentación, e incluso de algunos aspectos de diseño de los sistemas. Para finalizar las consideraciones a largo plazo, pueden llevar cambios sustanciales en las polÃ−ticas, medios o incluso estructuras del servicio de informática. Estas mejoras pueden pasar por la reconsideración de los sistemas en uso o de los medios, humanos y materiales, con que se cuenta, llegando si es preciso a una seria reconsideración del plan informático. ¿Qué es la auditoria informática operativa y la funcional? En términos generales se puede hablar de dos tipos de AI: • Auditoria operativa: funcionalmente preocupa por actividades que implican a uno o varios servicios. • Auditoria funcional: que examina el funcionamiento de una célula perfectamente definida. Está diferenciación se basa en la extensión del ámbito de su aplicación. Auditoria Informática Operativa Tiene un amplio campo de aplicación. Abarca desde el análisis orgánico a los ensayos. Requiere un análisis a fondo a efectos de determinar anomalÃ−as, y proponer alternativas de solución. Se divide en: Auditoria de gestión: en el entorno de la AIO, controlará el ratio coste/beneficio de la aplicación examinada, vigilando aspectos relativos al planning, controles durante el desarrollo del proyecto, controles internos de control de proyectos y aspectos relativos a la calidad y utilidad de la información que el sistema facilita y la rentabilidad del proyecto. En definitiva cubre todos aquellos aspectos definitorios de una gestión de proyectos. Auditoria de los procedimientos dentro del entorno de la AIO, se encargara de garantizar el exacto cumplimiento de las normas y procedimientos. Podrá emitir juicios de valor sobre los procedimientos y normas auditadas. (por lo general estas normas suelen referirse al mantenimiento de las aplicaciones, normas de programación, de documentación, procedimientos de protección de datos y programas, control de accesos, etc. Auditoria de las cifras en el entorno de una AIO, se ocupa, entre otros de dos aspecto que preocupan en el 4 entorno de los procedimientos de datos: la fiabilidad de la información facilitada y la detección de fraudes y adulteración de datos y programas. Auditoria informática funcional (AIF) La AIF examina e funcionamiento de una o varias funciones de la actividad informática. Pudiendo juzgar no solo el correcto funcionamiento de la función informática sino además sobre la eficiente implantación de ésta en el ámbito general de la estructura empresarial, acupandose también de temas materiales como la seguridad fÃ−sica, los métodos de trabajo (análisis y programación), documentación, explotación, organización, etc. y también otro aspecto como las relaciones informática vs usuarios o los excesos o defectos de información proporcionados por el sistema. Cantidad y calidad de inf. para usuarios. Tendera a examinar a examinar todos aquellos aspectos que contribuyan a que la función informática sea una herramienta eficiente al servicio de la gestión. Crear intereses opuesto, cada área posee distintos objetivos entonces aumenta el control. Se divide en: Auditoria de gestión. Auditoria de los procedimientos. Auditoria de las cifras. Aumenta el control de acuerdo al riesgo (probabilidad de ocurrencia y de la forma de decisión con información o con expectativa. ¿Que significa definir los objetivos y alcances de la AI? Con respecto a los alcances es difÃ−cil determinar hasta donde puede llegar el ámbito de actuación de la auditoria informática. Puede implicar elementos económicos (presupuesto), hasta aspectos de management(pueden ser la posición de la dirección general ante la informática) Son todos ellos parte de un todo que se puede hacer tan extenso como se quiera, en definitiva: una visión global de la actividad de auditoria. Actividad que podrá cubrir aspectos funcionales, abarcando desde la adecuación de los sistemas en funcionamiento a las necesidades reales, hasta la revisión de los tiempos de respuesta, pasando por la fiabilidad de los sistemas y la medición del área de informática. Los aspectos técnicos, los aspectos económicos, aspectos de dirección y la seguridad (tanto a nivel lógico como fÃ−sica). Las gerencias de informática están muy sensibles con temas como la confidencialidad de los datos, con la seguridad de acceso, ante elementos extraños. Rpta: por otro lado la auditoria tiene lógica si se conocen bien los objetivos, como es tan amplio y abarcativo tenemos esta contradicción. Por otro lado no tiene lógica si no se conoce lo que se hace. Por lo tanto el auditor deberá evaluar eficiencia y eficacia con que se esta operando par a que por medio del señalamiento de cursos de acción alternativos se tomen decisiones que permitirán corregir los errores en caso de que 5 existan, o bien mejorar la forma de actuación. Requiere de un juicio profesional sólido y maduro para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos. ¿Cuáles son los objetivos generales de la auditoria informática? La auditoria informática debe tener presentes los objetivos de: • Autorización • Procedimientos y clasificación de transacciones. • Salvaguarda fÃ−sica • Y verificación y evaluación de los equipos y la información. Al igual de los objetivos de control interno. • Protección de los activos de la empresa • Obtención de información financiera veraz, confiable y oportuna • Promoción de la eficiencia en la operación del negocio • lograr que en la ejecución de las operaciones se cumplan las polÃ−ticas establecidas por los administradores de la empresa. ¿Qué debe analizar y evaluar en la investigación preliminar de la informática? Se debe recopilar información para obtener una visión general el área a auditar por medio de observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, asÃ− como el programa detallado de la investigación. La planeación de la auditoria debe señalar en forma detallada el alcance y dirección esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasionen modificaciones al plan general, sean justificadas por escrito. Tener en cuenta los alcances para no crear falsas expectativas, lo que hace y lo que no van hacer y posiblemente luego en el próximo trabajo. Se debe hacer una investigación preliminar solicitando y revisando la información de cada una de las áreas de la organización. Para poder analizar y dimensionar la estructura por auditar se debe solicitar: A nivel organización total: • objetivos a corto y largo plazo • Manual de la organización • Antecedentes o historia del organismo • PolÃ−ticas generales A nivel informática • Objetivos a corto y largo plazo • Manual de organización del área que incluya puesto, niveles jerárquicos y tratados de mando. • Manual de polÃ−ticas, reglamentos internos y lineamientos generales • Número de personas y puesto en el área • Procedimientos administrativos en el área 6 • Presupuestos y costos del área Recursos materiales y técnicos • Solicitar documentos sobre los equipos, números de ellos, localización y caracterÃ−sticas. • Estudios de viabilidad • Número de equipos, localización y las caracterÃ−sticas (de los equipos instalados, por instalar y programados) • Fechas de instalación de los equipos y planes de instalación • Contratos vigentes de compra, renta y servicio de mantenimiento • Contratos de seguros • Convenios que se mantienen con otras instalaciones • Configuración de los equipos y capacidad actuales y máximas • Planes de expansión • Ubicación general de los equipos • PolÃ−ticas de operación • PolÃ−ticas de uso o de equipos Sistemas Descripción general de los sistemas y de los que estén por instalarse que contengan volúmenes de información • Manual de formularios • Manual de procedimientos de los sistemas • Descripción genérica • Diagrama de entrada, archivos y salida • Salidas • Fecha de instalaciones de los sistemas • Proyecto de instalación de nuevos sistemas ¿A su entender la mejor posición funcional del área de auditoria informática es? Generalmente la auditoria informática suele ser encargada por la dirección general o por la propia dirección de informática para rendir cuentas ante la dirección general ¿Cuáles son las causas que se puede solicitar una auditoria informática? La AI puede ser solicitada en relación a: En relación con la auditoria financiera externa: el auditor financiero externo puede requerirla por los siguientes motivos: • La revisión de los procedimientos de control interno • Controles generales • Revisión de aplicaciones (lógica, diseño, controles, programados, informes, etc.) • Revisión de programas • Seguridad fÃ−sica(controles fÃ−sicos, backup, prevención de desastres) Con lo que el auditor financiero podrá dar más consistencia a sus juicios y conclusiones. En relación con la auditoria interna: 7 • Conocer la eficiencia y fiabilidad de los sistemas implantados • Seguimiento de planes informáticos • Control del desarrollo del software. • Controles y diagnostico en la adquisición del hardware. En relación con la eficacia: la eficacia del servicio informático puede aportar los suficientes elementos para motivar la auditoria del sector. Por ejemplo: • Evaluación de rendimiento • Capacidad gerencial y staff. • Evaluación del hardware • MetodologÃ−a de desarrollo • Costos • Evaluación del software de desarrollo En relación con la seguridad: • Seguridad fÃ−sica (elementos tangibles) • Seguridad del teleproceso y los accesos lógicos (encriptar con relación a costos control con el daño potencial) • Seguridad en la operación y explotación • Planes de evitación de desastres y supervivencia en caso de que los desastres ocurran • Seguridad de las aplicaciones y los datos • Seguridad del personal(motivación, lealtad) ¿De que factores debe depender el papel del auditor informático del área de auditoria? El papel del auditor dependerá de: • De la propia organización en la que se devolverá el auditor. estructura, lÃ−neas de dirección y por supuesto el tipo de actividad que desarrolla la empresa, marcan decisivamente la labor a desarrollar por el auditor. • El área de informática objeto de la auditoria, ya que el grado de sofisticación, tamaño, recursos con que se cuenta marcaran la diferencia a la hora de fijar los objetivos de la auditoria informática. Tipos de procesos que se efectúan, si se compra el soft o se desarrolla, etc. • Las relaciones con la auditoria tradicional: ya que si es grande el grado de sistematización de la empresa y los auditores financieros o contables tienen escasa formación informática, el papel del AI puede tener mucho que ver con dar asistencia, soporte y hasta formación de sus colegas de Auditoria Financiera Contable. • Las propias limitaciones técnicas del auditor: ya que difÃ−cilmente un auditor podrá juzgar por ej. el sistema de telecomunicaciones de un centro de cómputos más elemental formación en Teleinformática. ¿Defina los objetivos de la auditoria Informática en el área de la planificación? Los objetivos de la auditoria informática en el área de la planificación son. • Determinar que planes del proceso de datos están coordinados con los planes generales de la organización. • Revisar los planes de informática con vistas a determinar sobre su idoneidad • Contrastar el plan con su realización • Determinar el grado de participación y responsabilidad de directivos y usuarios en la planificación 8 • Participar incluso en el proceso de la planificación • Revisar los planes de desarrollo de software de aplicaciones • Revisar los procedimientos de planificación del software del sistema (software de base) • Comprobar la ejecución del plan en cualquiera de sus niveles. ¿Defina los objetivos de la Auditoria Informática en el área de la planificación y los riesgos de una planificación inadecuada? Los objetivos de la auditoria informática en el área de la planificación son. • Determinar que planes del proceso de datos están coordinados con los planes generales de la organización. • Revisar los planes de informática con vistas a determinar sobre su idoneidad • Contrastar el plan con su realización • Determinar el grado de participación y responsabilidad de directivos y usuarios en la planificación • Participar incluso en el proceso de la planificación • Revisar los planes de desarrollo de software de aplicaciones • Revisar los procedimientos de planificación del software del sistema (software de base) • Comprobar la ejecución del plan en cualquiera de sus niveles. Los riesgos de una planificación inadecuada: la ineficacia en la planificación o su falta comporta una serie de riesgos como: • Desarrollo de aplicaciones inconexas • Información redundantes (puede ser consecuencia del problema anterior, por falta de conexión) • Sensación de informática caótica: difÃ−cil coordinación de los grupos de trabajo debido a la falta o ineficiente planificación de trabajos y recursos • Desconexión del área de informática del resto de la organización: si el usuario no ha participado de la elaboración de la planificación será reticente a utilizar sistemas que son facilitados para intentar cubrir necesidades que no tiene o al menos no son prioridades para su trabajo Auditoria informática en el área de planificación. Defina plan estratégico, plan táctico y plan operacional. De caracterÃ−sticas de cada uno de ellos Planificación de la gerencia de informática A nivel estratégico Fija objetivos a largo plazo A nivel táctico Transforma los objetivos marcados en el nivel estratégico en planes de realización ejecutables a corto plazo A nivel operacional lleva a cabo las tareas que consecuencia directa de los planes tácticos Plan estratégico Es un documento que comprenderá fundamentalmente: • problemas de asignación de recursos, • describiendo aspectos relativos al entorno empresarial (objetivos, problemas, etc.) • a las exigencias de información detectadas • a prioridades y relaciones costo/beneficio • a la propia arquitectura de datos y aplicaciones 9 • o al modo en que se soporta actualmente la actividad del negocio elementos de futuro como son: • el programa de evolución hacia la nuevas situación o el método. • Estructura y recursos necesarios para la realización y dirección de tal evolución, asÃ− como el mecanismo de control con que garantizar en el futuro la actuación del plan del sistema de información CaracterÃ−sticas distintivas del plan estratégico Su duración de 4 a 5 años • Se realizará por la dirección de sistemas a instancias de la información proporcionada por la dirección de la empresa, los usuarios y la gestión de la propia dirección de sistemas. • Se revisara y aprobara por áreas de negocio y dirección • Será un documento conocido en todos los ámbitos de la empresa • Se revisara periódicamente o ante eventuales variaciones en las hipótesis desviaciones del plan inicial Contenido principal del plan a este nivel estratégico cabe citar • Situación actual: no sólo del área de sistemas y hasta de la empresa sino también en relación al momento tecnológico y con la competencia • Hipótesis de previsión: de desarrollo a partir de la situación actual citada en el pto. anterior • PolÃ−tica de la empresa: en lo que respecta a desarrollo explotación, almacenamiento de información, proceso centralizado o distribuido, etc. • Objetivos del área de sistemas. en cuanto a servicios a prestar minimizando costos • Personal del área de sistemas: definiendo la cantidad de empleados y sus perfiles profesionales • Configuración de software: sistemas operativos, utilitarios, sistemas de gestión de bases de datos, monitores de tp, ayudas a la programación, lenguajes de 4 generación • Configuraciones de hardware: ordenador central, y ordenadores distribuidos, periféricos, redes de comunicación, telecomunicaciones. • Estudio de las necesidades de seguridad y prevención de riesgos Plan Táctico El plan táctico tiene por objetivo desarrollar un plan de proyectos, ordenado por prioridades que cubre las necesidades de previsión de aplicaciones, datos y sistemas El contenido de este plan a nivel organización es: • Estimación de los tiempos y recursos a asignar por proyectos evaluando, además, las necesidades de horas hombre • Fijación de costos y factibilidad de ejecución a nivel de proyectos • Evaluación de las necesidades de seguridad y auditoria por proyecto • Programa detallado con plazos y responsables de los proyectos en cuestión, elaborado por la dirección del dpto. de inform, y aprobado por la dirección de la empresa Como caracterÃ−sticas del plan estratégico pueden distinguirse: • El plazo previsto para su ejecución será de medio año 10 • La revisión del plan se efectuara mas frecuentemente, podrÃ−a hacerse en tres meses • Se seguirá por el comité de informática y afectara a los proyectos definidos en el plan estratégico Plan operacional En realidad a este nivel de la organización no es solo un plan sino un conjunto de planes operacionales. Su plazo de realización es corto y estará en función de la envergadura de al tarea a cumplir. Contendrá el mayor nivel de detalle posible. Cada plan será responsabilidad de un jefe de proyecto (o jefatura) y su seguimiento corresponderá al área de informática. Toda planificación, una vez hecha y puesta en marcha, habrá de ser controlada, evaluada la efectividad del plan y su incidencia en el rendimiento de la organización. Es decir se deberá medir y controlar en los tres niveles que se han comentado de la organización y ser evaluada. Defina los objetivos de la auditoria informática en el área de la organización y la administración. • Determinar que planes del proceso de datos están coordinados con los planes generales de la organización • Revisar los planes de informática con vistas a determinar sobre su idoneidad • Contrastar el plan con su realización • Determinar el grado de partición y responsabilidad de directivos y usuarios en la planificación • Participar incluso en el proceso de la planificación • Revisar los planes de desarrollo de software de aplicaciones • Revisar los procedimientos de planificación del software de sistemas • Comprobar la ejecución del plan en cualquiera de sus niveles El auditor informático debe centrar su atención en: • El sistema de información • La planificación del desarrollo • La planificación de proyectos • La definición y distribución de la cartera de aplicaciones, que comprende cuatro aspectos: • Planificación de las aplicaciones • Planificación de los datos • Planificación de los sistemas • Planificación de proyectos Que nos permitirá determinar una auditoria informática en el área de la organización y la administración La información nos servirá para determinar: • Si las responsabilidades en la organización están definidas adecuadamente • Si la estructura organizacional está adecuada a las necesidades • Si el control organizacional es el adecuado • Si se tienen los objetivos y polÃ−ticas adecuadas, se encuentran vigentes y están bien definidas • Si existe la documentación de las actividades, funciones y responsabilidades 11 • Si los puestos se encuentran definidos y señaladas sus responsabilidades • Si el análisis y descripción de puestos esta de acuerdo con el personal que los ocupa • Si se cumplen los lineamientos organizacionales • Si el nivel de salarios es adecuado comparado con el mercado de trabajo • Si los planes de trabajos con los objetivos de la empresa • Si se cuenta con los recursos humanos necesarios que garanticen la continuidad de la operación o se cuenta con indispensables • Si luego de evaluados los planes se encuentran desviaciones En auditoria informática, en el área de organización y administración ¿Qué se debe verificar en relación a la situación presupuestada y financiera? Se deberá verificar: • Costos del área, desglosado por subareas y controles • Presupuesto de la gerencia, desglosado por áreas • CaracterÃ−sticas de los equipos, número y contratos 17- En la auditoria, en el área de organización y administración ¿qué temas se debe recabar durante las entrevistas con el personal relativos a la empresa? • Bases jurÃ−dicas: • si la organización se ajusta o no a las normas jurÃ−dicas • Objetivos de la estructura: permite la estructura que se lleven a cabo con eficiencia las funciones, la distribución del trabajo, los controles internos. • Niveles jerárquicos: • si son suficientes, si se permiten que se desarrollo la supervisión y las operaciones. • Si se permite la comunicación ascendente y descendente ágil • Departamentalización • Si los puestos son adecuados • Si están delimitadas las responsabilidades entre las áreas y las subáreas • Puestos • Si los puestos son adecuados a las necesidades de cada área • Si la cantidad de empleados es la adecuada • Manuales de descripción de puestos • Expectativas • Detectar las expectativas del personal, si se deberá revisar la estructura • Autoridad 12 • Si la autoridad va de acuerdo a la responsabilidad • Si se han presentado conflictos por el ejercicio de autoridad • Funciones • Establecer si se han definido las funciones • Si las funciones están por escrito y se han dado a conocer • Si se conocen las funciones del departamento • Están adecuadas a las necesidades actuales • Están adecuadas a la carga de trabajo • Cuales realiza en forma periódica o eventual • Si permite cumplir con los programas • Apoyos • Si se requiere de otras áreas para cumplir sus funciones • Si el área ayuda a otras • Duplicidad • Si hay duplicidad de funciones en el área, en otras áreas, si se pueden transferir • Objetivos • Si son congruentes con los objetivos de la dirección o subdirección • Si se han dad a conocer los objetivos del área • Objetivos adecuados • Si abarcan los objetivos toda la operación del área • Que aspectos no cubren • Son realistas, se pueden alcanzar, si están de acuerdo con las funciones del área • Cumplimiento de los objetivos • En que grado se cumplen, que se hace en caso de desviación 18- En la auditoria informática en el área de organización y administración ¿qué temas se debe recabar durante las entrevistas con el personal relativos a los RRHH? • Desempeño y cumplimiento: • si es suficiente • si está capacitado para realizar con eficacia las tareas • calidad del trabajo • si es frecuente la repetición de trabajos • si es discreto el personal con el manejo de información confidencial • Capacitación • Si se desarrollan programas de capacitación • Si la supervisión apoya dichos cursos 13 • Si se evalúa los resultados de los programas de capacitación • Supervisión • Como se supervisa al personal • Si se controlan el ausentismo y los retardos • Como se controlan las faltas • Como se manejan los ascensos, promociones y aumentos salariales • Limitaciones • Remuneración • Ambiente • Si el personal esta integrado al grupo • Desarrollo y motivación • Como se estimula y recompensa al personal • Existe oportunidad de ascensos • En la auditoria informática de los procedimientos que puntos deberÃ−an ser evaluados de acuerdo a su criterio con respecto a la seguridad de archivos y datos? • Retención de datos: definir estándares de retención para cada tipo y forma de dato • Establecer para cada aplicación: los periodos de retención para los documentos y archivos importantes • Condiciones de almacenamiento • En la auditoria informática de los procedimientos que puntos deberÃ−an ser evaluados de acuerdo a su criterio con respecto al control de teleproceso. • Registro de control • Uso de teleproceso • Justificar los lugares donde están ubicadas las terminales • Controlar las aciones cuando surgen problemas • Verificar la rapidez y sus procedimientos • Probar la seguridad del sistemas y procedimientos • Inspeccionar la eficacia y realismo de los controles que se aplican • En la auditoria informática de los procedimientos, que deberÃ−an ser evaluados de acuerdo a su criterio con respecto a equipos de back up. • Verificar si se han tenido en cuenta los distintos problemas que pueden derivarse de los niveles de fallo del sistema y equipos asociados • Si se tuvieron en cuenta los respaldos que se necesitasen • Análisis de riesgo (perdidas -seguros) • Si el personal ha recibido la formación sobre los procedimientos alternativos y si se practican periodicamente • Si existen programas para recuperar la información cuando se finalizan las operaciones de emergencia • En la auditoria informática de los procedimientos que puntos deberán ser evaluados de acuerdo a su 14 criterio con respecto a la función del área de cintoteca de la subgerencia de producción • Que existan manuales e instrucciones para la operación de cintoteca y según las exigencias de cada sistema • Si los procedimientos proveen: • almacenamiento seguro • Manipulación adecuada • Uso autorizado de los soportes magnéticos • Si se cumplen las normas y procedimientos • Si se mantiene un registro actualizado de los movimientos de los archivos • Si se puede ejercer el control sobre la biblioteca independientemente de otras áreas • Si existen medidas de protección • Si el lugar es adecuado • Inventario de archivos esta actualizado y como se controla • Verificar se certifica la destrucción o baja de los archivos defectuosos • En la auditoria informática de los procedimientos que punto deberÃ−an ser evaluados de acuerdo con su criterio con respecto a la función del lÃ−der de proyecto y programadores • Si el lÃ−der del proyecto controla eficazmente las normas de desarrollo, diseño, programación, documentación, pruebas e implementación de los sistemas en la empresa • Si se ha establecido un grupo de gestión a nivel de diseño de una manera adecuada, eficaz y representativa • Si el grupo de diseño supervisa los proyectos adecuadamente y se los mantiene dentro de los limites de costo y tiempo • Si se utilizan y supervisan métodos adecuados de control de trabajos • Si el personal de desarrollo no tiene acceso a datos operativos • Si se mantiene la documentación adecuada de todos los trabajos Programador: • Si existe una supervisión eficaz, • si se impone algún control sobre la calidad de los trabajos, • si se cumplen con las normas de programación y si no las hubiera establecidas si la confección de los programas se efectúa bajo las reglas del buen arte • si las pruebas de los prog se efectúa en forma separada de las del sistema y que los programadores no utilicen datos reales ni accedan al ordenador en modo operativo • si los programas que se preparan (en desarrollo) se mantienen en una biblioteca separada y que su envÃ−o a explotación tiene su nivel de autorización. Que la transferencia a explotación no la realicen los programadores • si los trabajos de mantenimiento de programas se controlan y registran cuidadosamente y que las modificaciones se prueben y autorizan(control de cambio) • se la documentación de mantiene siempre actualizada • si se comprueba periódicamente el contenido de los programas que se guardan en las bibliotecas del computador • si las pruebas se realizan en forma separada para que puedan identificarse los errores • si se predice los resultados de las pruebas antes de utilizar los datos • En la auditoria informática de los procedimiento que puntos deberÃ−an ser evaluados a su criterio con 15 respecto a la función de Area de control de la subgerencia de producción • Se ejerza el control independientemente de las presiones de los dptos administrativos o las necesidades del proceso • El personal de control tenga la suficiente autoridad como para imponerlo • Si el control se ejerce en el nivel adecuado (controlar con una autoridad si pasa de un cierto monto el cheque) • Probar si se comprueba la calidad de los trabajos que se entregan • Si se establecen una separación de funciones dentro de la sección de control, ejemplo ejerciendo un control separado entre la entrada y la salida • Los usuarios mantengan un registro adecuado de la recogida y establecimiento de datos de control y que este registro alimenta al sistema central de control • Se mantiene una verificación total e independiente de las actividades mecanizadas, comprobando la exactitud del proceso • Si existen manuales de control para cada sistema • Averiguar el impacto que produce sobre el trabajo el hecho de que en algún momento la sección de control no este operativa cuando estén otras secciones • Verificar hasta que punto ase alteran los estándares de trabajado en diferentes ocasiones y bajo distintas condiciones Corrección y análisis de errores • Verificar los métodos de corrección de errores para ver si se tratan todos y si las correcciones las hacen la s personas adecuada • Hacer un resumen de los tipos y volúmenes de errores que se producen en cada uno de los sistemas y puntos de detección • Analizar el significado de los tipos y volúmenes de errores y los cambios de tendencia que se observan • Indagar las causa de cualquier tipo de incidencia alta de errores y tratar de remediarlas Area de ingreso de datos • Se mantiene un registro adecuado de los trabajos, fallos, problemas y acciones que se adopten frente a los errores • Se ejerce un control eficaz sobre los procedimientos y se mantiene la integridad de los trabajos • Si los procedimientos de verificación son independientes de la preparación inicial de los datos • Se ejerce control sobre las correcciones que se hagan durante la verificación de datos • Verificar hasta que punto se altera los estándares de trabajo en diferentes ocasiones y bajo distintas condiciones • En la auditoria informática de los procedimientos que puntos deberÃ−an ser evaluados de acuerdo a su criterio con respecto a la función del área de despacho de la subgerencia de producción? Impresión de datos • Existen estándares y procedimientos adecuados para el despacho de trabajos y que se estipula claramente la prioridad de cada uno y se cumplen con eficacia • Verificar si existe control sobre el envÃ−o de las cantidades adecuadas y tipos de documentos • Se mantiene actualizado el trabajo de despacho y que los que quede pendiente no quede eternamente • Hay procedimientos adecuados para manejar información confidencial • Se mantiene un registro donde se pueda comprobar o demostrar todo lo que ha sido despachado • Se registran los errores y los problemas, asÃ− como la disponibilidad de los equipos y se verifica el plan de mantenimiento de equipos 16 • Averiguar si existen impresos controlados en manos de personas no autorizadas • Controlar que los métodos de destrucción de impresos caducados y asegurarse de que no se corren riesgos innecesarios • Verificar hasta que punto se alteran los estándares de trabajo en diferentes ocasiones y bajo distintas condiciones • Verificar si se conocen y registran los retrasos • En la auditoria informática de los procedimientos, que deberÃ−an ser evaluados en el área de seguridad de programas y bibliotecas de programas • Que el contenido de las bibliotecas de programas estén respaldados por eficientes normas de seguridad • Se mantienen en un lugar distinto al de trabajo copias actualizadas de las bibliotecas de programas y de documentación • Si la documentación es la adecuada para que los programas puedan correr en otra instalación • Si la documentación es la adecuada para que los programas puedan correr en otras instalaciones • Si las maquinas de reserva tuvieren otro sistema operativo o compiladores si en la instalación remota se mantienen copias de las versiones especialmente compiladas para ella • Se ejerce un control y seguridad adecuados sobre acceso y uso de programas • Si los programas que se están desarrollando o modificando están separados de los operativos y que están en bibliotecas distintas y con distinta clave de seguridad y acceso En cuanto a las bibliotecas de prog y datos: • Que se controle la autorización de salida y/o actualización de los programas y/o archivos, • examinar la posibilidad de que los archivos sean utilizados para fines autorizados, examinar los métodos de tratamiento y almacenaje de archivos • inspeccionar el funcionamiento de la biblioteca de archivos y sus relaciones con la sección de operación • verificar el impacto que produce sobre el control de archivos el hecho de que el área que atiende las bibliotecas y archivos no este operativa cuando lo este la sala de computación • Idem en el área de bibliotecas de documentación • Exista al menos un lugar definido como centro autorizado de documentación • Existan estándares que controlen el funcionamiento de dicho centro • Se responsabilice a las personas que produzcan especificaciones o modificaciones de software o de sistemas par a que depositen copias en las biblioteca • Se designa a alguien para que se encargue especÃ−ficamente de la biblioteca y mantenga los registros, la copia de seguridad de los documentos, actualice las copias, y autorice la salida de la documentación cuando se necesite • Se controlen las modificaciones de la documentación de forma que se pueda seguir la pista de la misma • La seguridad y el control de la documentación son adecuados • Idem en el área de carga de maquina de la subgerencia de producción Agrupa los datos, archivos, formularios y todos los elementos que necesite el operados para efectuar la carga de datos La función clave del operador de carga de maquina esta relacionada con el logro eficiente y efectivo que 17 • Satisfaga las necesidades de tiempo del usuario • Permitan niveles efectivos de utilización de los equipos y sistemas de operación • Permita la ágil utilización de los equipos en lÃ−nea Para lo cual se deberán balancear los factores midiendo los resultados para ir corrigiendo la metodologÃ−a utilizada Se verificara: • Si los estándares, procedimientos instrucciones y manuales son adecuados que cubran todas las posibilidades de proceso s que se puedan suscitar • Si se observan los procedimientos • Si se mantiene un registro adecuado • Si los trabajos que se inician están autorizados • Verificar hasta que punto se altera los estándares de trabajo en diferentes ocasiones y bajo distintas condiciones • Si se cambian frecuentemente los programas de trabajo indicando las causas y las soluciones adoptadas ante los distintos tipos de problemas • Idem en el área de implementacion de la subgerencia de producción • Si existe un registro de los stream que se realizan, por única vez o no • Que las modificaciones a los stream no se efectúen en las áreas de operación o programación • Que los stream generados no puedan ser modificados desde otro ámbito • Se ha previsto preparar stream de recuperación o reproceso de sistemas que hayan de efectuarse en situaciones de emergencia • Verificar hasta que punto se alteran los estándares de trabajo en deferentes ocasiones y bajos distintas condiciones • La preparación de los stream sea independiente a la preparación de datos y al área de operación • Existan estándares, instrucciones y manuales adecuados que gobiernen la preparación de los stream • Se observan los procedimientos Mantenimiento de programas • La metodologÃ−a de control de cambios emita instrucciones sobre los procedimientos del mantenimiento de programas, incluyendo métodos de solicitar y autorizar modificaciones, asÃ− como de realizarlas y probarlas • Se mantienen registros de todas las modificaciones que se han hecho, sus motivos, antecedentes, etc. • Se suspenda el uso mientras se esta modificando • Existe un control cuidadoso y regular por parte de la jefatura sobre el mantenimiento y modificación de los programas • Verificar hasta que punto se alteran los estándares de trabajo en diferentes ocasiones y oportunidades • Idem en el área de operadores • Existan estándares operativos adecuados, tanto generales como especÃ−ficos de cada sistema de aplicación. • Deberán establecer procedimientos y métodos de operación seguros • los estándares deberán documentarse totalmente y dejarse a disposición de los operadores • los mismos deberán prever • el control de los trabajos y los datos, 18 • la separación de los trabajos de operación, • los de seguridad • los de recuperación de procesos • los de desarrollo • los de formación, etc. • asimismo deberán cubrir las medidas de operación que hay que tomar en caso de cancelaciones de programas, que el sistema se caiga o se degrade o imprevistos en general • rearranques, recuperaciones de archivos • los jefes de turno hagan cumplir los estándares mas adecuados a cada circunstancia • los operadores reciban a formación adecuada • se observa una separación de funciones adecuada • que los operadores no realizan funciones que pertenecen a otras secciones y • que el objetivo de mejorar e rendimientos de la instalación no sirva para ignorar las exigencias de seguridad o de control • se mantienen e inspeccionan registros de operación • si se llevan registros sobre fallas del sistema, hw, sw de base o de aplicación, rearranque y recuperación de archivos • observar : • si la jefatura realiza inspecciones periódicas controlando procedimientos de autorización • trabajos realizados contra los planificados • ordenes de trabajo • cumplimiento de normas, etc. • verificar hasta que punto se altera los estándares de trabajo en diferentes ocasiones y bajo distintas condiciones • verificar que el operador no pueda modificar los datos de entrada, bibliotecas de programas o archivos • verificar que sea razonable el plan para coordinar el cambio de turno • AI en el desarrollo de sistemas. Defina el objetivo y los puntos a verificar durante la AI de la mecanización Objetivos : La propuesta de mecanización define las pautas de los nuevos sistema y una vez aceptada se emprenderÃ−a el nuevo trabajo de diseño y programación El auditor deberá asegurarse de que son adecuados los principios básicos de diseño en todo lo relacionado a control y verificaciones interna No se debe abundar en detalles solo deberá brindar información suficiente a la dirección y a los auditores como para poder efectuar un primer análisis de sistema y tomar decisiones en cuanto a si prosecución o no Propuesta: • Búsqueda de elementos que se hayan pasado por alto y verificación de los que se hayan incluido • Análisis del control interno del sistema y sus evidencias auditables incluyendo las fases administrativas • Estudio de las propuestas de control y resultados y de que la valorización se haga del activo y del pasivo va a ser adecuada 19 • Comprobación de la eficacia del sistema contemplando especial mente la emisión de la información de gestión • Estudio de la calidad de gestión del desarrollo del proyecto incluyendo la observación de los estándares • Análisis de las ayudas de auditoria que se facilitan incluyendo las pistas auditables, los listados de rutina y los especiales, ayuda de consulta y distintos registros • Estudio de la eficiencia del sistema propuesto • En la auditoria informática en el desarrollo de sistemas. Define el objetivo y los puntos a verificar durante la AI de la propuesta y la implemetanción Idem propuesta detallada La AI deberá asegurar • En cada etapa se inscriben en el sistema unos procedimientos de control adecuados y que ciertas cifras de control pueden verificarse de modo general independientemente del sistema mecanizado • La evidencia auditable que deja el sistema es suficiente para perseguir errores y corregirlos asÃ− como para que los auditores realicen su labor • Se practica una división de funciones y responsabilidad en la medida que se pueda la salida del sistema verifica antes de distribuirla, y que el tratamiento que se de a la información confidencial sea el adecuado • Los procedimientos de salida llevan incorporados sistemas correctivos de validación y detección de errores y que van a imprimirse y no a las prioridades del computador • El diseño de los datos de salida puede adaptarse a las modificaciones que vayan surgiendo (flexibilidad) • Se ejerce un control adecuado sobre los formularios especiales o negociables. • Los registros de las transacciones de entrelazan suficientemente con su información original y de control • Los controles de entrada son adecuados y que se van a mantener actualizados • Si se ha previsto un control adecuado de la entrada de datos on line y si la seguridad de los enlaces on -line es eficaz y el equipo esta suficientemente protegido • Existe autoridad suficiente para el movimiento y procesamiento de la información • Existe una reconciliación independiente de las cifras de control de los datos de entrada y que las discrepancias se anejan satisfactoriamente y de forma autorizadas • Los informes sobre errores se reciben en el punto mas adelantado posible que existe un control para asegurares de que se corrigen y que los métodos de corrección disponen de las protecciones necesarias • Cuando exista entrada de datos on-line el sistema impedirá eficazmente que los usuarios accedan al sw de aplicación o de utilitarios o que utilicen datos no autorizados • Los formularios y diseños de entrada resultan adecuados a los usuarios asÃ− como las condiciones en las que se van a utilizar • Si la documentación de todos los archivos magnéticos obedece a los estándares adecuados si la reorganización y el diseño de los ficheros es razonable y admite consultas y si se utiliza diccionario de datos que este definido con claridad • Si se ha tenido en cuenta la necesidad de modificaciones y desarrollo al diseñar los archivos • Si todos los archivos están sometidos a controles adecuados y si la cobertura de dichos controles es razonables • Si los totales de control se imprimen habitualmente y se comparan con cifras calculadas independientemente 20 • Si se mantienen registros de las operaciones online • Seguridad • Formación del personal • Si la estructura se adapta a las modificaciones • Si quedan evidencias auditables • Idem durante la AI de los programas y la prueba Objetivo : realizar las comprobaciones sobre los sistemas y comentar con los programadores Puntos a comprobar • Existen procedimientos de gestión adecuados para controlar programas y pruebas y que en esos procedimientos hay verificaciones y controles adecuados • Existan una relación correcta entre los analistas los programadores que participan en el desarrollo • Se controlan y verifican las pruebas de los programas • Las modificaciones que se efectúan en el sistema durante la programación por la razón que fuese se registren debidamente y se añadan a la documentación • Los programas en desarrollo se mantienen en todo momento separados de los operativos • Las pruebas de los programas se realizan aparte y además de las de los subsistemas • En la auditoria informática en el desarrollo de sistemas. Define el objetivo y los momentos en los que puede efecutarse la aud inf de desarrollo La auditoria debe garantizar que se cumplan con todas las etapas y requerimientos del plan de sistemas y la metodologÃ−a en uso para la definición de los objetivos del nuevo sistema sus limites (alcance) su planeación y posterior desarrollo Obj y puntos a verificar: • Examinar la metodologÃ−a de construcción en uso, o en su defecto aconsejar la implementacion de una metodologÃ−a • Revisar la definición de los objetivos del sistema, analizando si se cumple las necesidades de los usuarios • Explotando la potencia del ordenador y mejorando la eficiencia del trabajo de los usuarios • Verificar si el control y la planificación del proyecto es el adecuado asÃ− como el control que se ejerce durante el desarrollo del proyecto • Verificar que el sistema de control de datos es adecuado • Si las verificaciones internas proporcionan los procedimientos y disposiciones del sistema son satisfactorios • Si el control de los formularios es adecuado • Si los manuales que se producen son suficientes si proporcionan la información adecuada a las personas • Se es adecuada la separación d funciones entre las áreas administrativas y mecanizadas del sistema • Si se van a asegurar la confiabilidad y la continuidad del sistema, asÃ− como la salvaguarda de activos y datos • Examinar la lista de los problemas a resolver por el sistema, dictaminando sobre la prioridad y razonabilidad de solución de estos • Verificar los medios dispuestos para el desarrollo del sistema • Comprobar el plan de tareas y previsión de dificultades • Revisar el estudio económico de costos • Evaluar los métodos de recopilación de datos 21 • Analizar los medios de seguridad con que se va a dotar al sistema • Analizar las insuficiencias que haya que estudiar con especial atención durante la auditoria normal u el impacto que va a producir el sistema sobre procedimientos futuros de auditoria • Si son eficientes las disposiciones que se han tomado para el desarrollo y ejecución del sistema Momento para efectuar la aud de desarrollo Existen varios puntos de vista, si se hacen cuando están realizando dicho desarrollo deberán tener buenas oportunidades de que las modificaciones que se sugieran puedan incorporarse al sistema de forma oportuna y económica AsÃ− pues el estudio se hace antes de que el sistema entre en funcionamiento, por lo que muchas evaluaciones pueden resultar teóricas Por otro lado las pautas de diseño suelen variar substancialmente durante el proceso de desarrollo y se corre el riesgo de perder el tiempo de los AI haciéndoles analizar ideas que quizás no lleguen a desarrollarse Por eso muchos auditores prefieren estudiar al sistema un poco después de que haya entrado en funcionamiento • En la auditoria informática en el desarrollo de sistemas. Define el objetivo y los puntos a verificar durante la Aud Inf de la propuesta detallada La propuesta detallada es un documento mas preciso que la propuesta general. Brinda mas detalles sobre las variaciones y particularidades del esquema general de actividades y contempla los procedimientos mecanizados y los administrativos Se deberá analizar. • El impacto general de la propuesta y la justificación detallada del sistema • Los procedimientos administrativos sus especificaciones y la planificación de tiempos • Los procedimientos mecanizados sus especificaciones y planificación de tiempos • Propuesta de planificación de la implementación • La calidad de las comprobaciones internas, la separación de funciones y la factibilidad del control se han mantenido en un nivel aceptable • Ahora deberán solucionarse los puntos débiles o tenerse en cuenta para planificar futuras auditorias • Si se ha adoptado al sistema de estándares adecuados de control y de necesidades de auditoria y gestión En cuanto a las especificaciones no informáticas: • Si los formularios y procedimientos propuestos van a recolectar los datos adecuados, garantizar la autorealización necesaria y el control en todo el sistema • Si son apropiadas las actividades administrativas y si son competencia del personal correspondiente • Si se han previsto los volúmenes y tenido en cuenta los picos de trabajo y la dotación del personal • Si esta claro como hay que utilizar los formularios y si los mismos cumplen las normas de auditoria para un nivel de control razonable • Quien autoriza y quien controla las correcciones de errores o de otros fallos • Idem enumere algunos tipos de auditoria durante el desarrollo de sistemas y explique brevemente 22 • Auditoria de comienzo de desarrollo de sistemas: se deberá tomar contacto con las propuestas nuevas analizar los elementos de gestión y de control, tomar contacto con los proyectos y de documentación que haya establecido la dirección del proyecto. Deberá tener en cuenta: • Si existen controles de gestión adecuados en todas las etapas del proyecto • Si el director de proyecto posee suficiente autoridad para supervisar eficazmente el desarrollo • Si existe una programación adecuada del proyecto con etapas recursos y tiempos • Si están especificados los alcances del proyecto so es el adecuado y si han sido aceptados por todos los responsables del proyecto y áreas involucradas • A. De la propuesta de mecanización: La propuesta de mecanización define las pautas de los nuevos sistema y una vez aceptada se emprenderÃ−a el nuevo trabajo de diseño y programación El auditor deberá asegurarse de que son adecuados los principios básicos de diseño en todo lo relacionado a control y verificaciones interna No se debe abundar en detalles solo deberá brindar información suficiente a la dirección y a los auditores como para poder efectuar un primer análisis de sistema y tomar decisiones en cuanto a si prosecución o no • A de la propuesta detallada La propuesta detallada es un documento mas preciso que la propuesta general. Brinda mas detalles sobre las variaciones y particularidades del esquema general de actividades y contempla los procedimientos mecanizados y los administrativos • De los prog y pruebas: verificaciones, comentarios que se hablaran con los programadores sobre el trabajo real de los mismos. Controles sobre pruebas y programas. Relaciones entre • Del aprovisionamiento del sistema y planificación de la implementación Aprovisionamiento de las personas, equipos formularios y normativas para el adecuado funcionamiento de los sistemas y sus resultados. Asegurar la ejecución en tiempo de las operaciones para satisfacer las necesidades de información • De la documentación y manuales de usuario y operación del sistema Con los sistemas ya operativos debe elaborarse una biblioteca con la documentación, copias autorizadas indicando lo que se hizo. Manuales para distintos tipos de personas (administradores, bibliotecarios, administrativos, operadores) según estándares y normas. • De la conversión de archivos Prepara archivos magnéticos que se convertirá al formato del nuevo medio. Se debe planificar, validar la carga a los nuevos archivos, probar los prog utilizados para la conversión, personal capacitado, completo control en los periodos de carga de los nuevos archivos, identificación de errores y su tratamiento • De las pruebas del sistema Los programadores enlazan sus programas para formar un subsistema que se probara para garantizar su cometido. Los datos de prueba deben reflejar todas las variantes y errores, comprobar resultados reales y previstos, demostrar que el sistema hace lo que deberÃ−a hacer, verificar que los datos de prueba no sean corruptos 23 • De la implantación Se efectúa un paralelo con pruebas de la realidad es una ampliación de la etapa de prueba. Comprobar la calidad de las verificaciones, causas de errores, correcciones y modificaciones • De la continuidad del sistema Los sistemas deben ser capaces de funcionar en todo momento, cualquier tipo de problemas tal vez retrase o haga más lenta la operación pero el sistema debe continuar funcionando. Controlar los procedimientos alternativos, retorno al trabajo normal, copias de seguridad, instrucciones, recuperación, etc. • Seguridad en los sistemas informáticos que son los controles correctivos, que caracterÃ−sticas tienen, de ej. Definición de control Control es la capacidad de ejercer o dirigir una influencia sobre una situación dada o un hecho. Algunos controles son pasivos en naturaleza otros son activos esto es, que algunos no requieren reglamentación antes de tomar una acción ya planeada Ej. de control el uso de paswords Los controles correctivos determinan una acción correctiva para el agente causal (tercer grupo) Generalmente aparecen con los controles de detección para impedir que ocurran mas errores Muchos controles correctivos son del tipo de gestión, o sea, que requieren principios establecidos, procedimientos y programas para ejecutarlos CaracterÃ−sticas • Toman medidas para resolver un problema • Recomponen para volver a procesar • Son costosos Costo: cada vez que los controles y exposiciones están determinados y valorados, la dirección decidirá la cantidad de dinero disponible para el control contra el riesgo que están dispuestos a aceptar El costo de un sistema de seguridad de datos es el costo de los controles necesarios para limitar la exposición Seguridad es la protección de los datos de la revelación no autorizada, modificación y/o destrucción (accidental o intencional). Es beneficioso desarrollar un plan para el conocimiento de los elementos en seguridad de datos, antes de planear, diseñar o analizar cualquier sistema de información • Seguridad de los sistemas informáticos que son los controles preventivos, caract, ej. Ofrecen una primera barrera contra las corrupciones que puedan ocurrirle a un dato y que tiene las siguientes caracterÃ−sticas 24 Son pasivos (no requieren retroalimentación, por ejemplo cuando se desactivan las terminales por un tiempo Solo examinan un cierto porcentaje de violaciones Reducen la frecuencia de amenazas (un control preventivo puede ser auditoria, antecedentes del personal, detectores de incendios, vidrios irrompibles y generalmente son económicos) • Seguridad en los sistemas informáticos que son los controles detectivos, caracterÃ−sticas, ejemplos Ofrecen una segunda lÃ−nea de defensa, actúan después del hecho y están diseñados para detectar la presencia de un agente causal y son pocos eficaces por si mismos ya que anotan un incidente, que si no es tomada una acción correctiva, e3l riesgo de exposición continua. CaracterÃ−sticas Dispara una alarma Registran la incidencia de amenazas Alertan al personal Someten a prueba la operación del control preventivo • Seguridad en los sistemas informáticos, que propiedades deben tener un sistema para garantizar un nivel aceptable de riesgo • Integridad : el sistema deberÃ−a hacer los que se supone que debe hacer • El sistema deberÃ−a poseer todos los elementos de información completa en su totalidad • Auditabilidad: permite a un auditor verificar su actividad con facilidad relativa en cualquier momento • Controlabilidad: permite a la dirección ejercer su influencia ordenada o restringida sobre su uso, su comportamiento o su contenido Seguridad....que es la exposición de datos, cuales son las básicos, de ejemplos Es el resultado o las consecuencias par a los datos de acciones adversas o sucesos. Hay un sin fin de causales y de cosas que pueden ocurrirles a los datos ejemplos: • Una revelación accidental: distribuir un listado a un lugar donde no deberÃ−a ir, transmitir datos a una terminal equivocada • Una modificación accidental que puede darse por un mal funcionamiento del hw o sw • Una destrucción accidental: se cayo el pack de discos y se rompió • Revelación intencional vender información • Modificación intencional • Destrucción intencional robo, sabotaje Seguridad en los sistemas .... que significa limitar el riesgo de los datos, como se puede lograr limitar el riesgo La clave para la seguridad de los datos depende de nuestra capacidad para limitar los riesgos, no al extremo de hacer inaccesible y no operativo al sistema, aunque cualquier sistema que sea accesible también es un riesgo Uno de los mecanismos para limitar el riesgo es limitar los datos. La mejor manera de servir al usuario es 25 darle lo que necesita. Para eso, hay que educar al usuario en cuanto al beneficio de la protección y seguridad de los datos Otro elemento par evitar el riesgo es el dominio del control, es decir, so las áreas pueden ser controladas Otro elemento a asignar responsabilidad individual para cada actividad que ocurre en el entorno del sistema y disponer de un registro de problemas • Seg...que es la exposición de los datos, como se elimina el riesgo de las exposiciones de datos Idem anterior • Segu....que es el SAFE, que pasos o puntos de control define el SAFE en un proceso de información acerca de los sistemas Los puntos de control nos sirven para ayudar a la identificación y definición de las necesidades de control Definimos al Safe como la metodologÃ−a que ideo IBM para determinar todos los puntos de control de datos • Reunión de los datos • Movimiento de entrada de datos • Conversión de esos datos • Comunicación de datos de entrada • Recepción de los datos • Proceso de esos datos • Preparación de los datos de salida • Movimientos de salida de datos • Comunicación de datos de salida • Utilización de los datos • Disponibilidad de los datos • Seg.... que es la seguridad de los datos, que debe definir la alta dirección para elaborar la polÃ−tica de seguridad de los datos de la organización Establece las responsabilidades de seguridad par ala generación, manipulación, servicio y uso de la información. la polÃ−tica debe ser apoyada por normas, reglamentos y procedimientos que deben establecer la dirección en cuanto a planes, nos podemos referir al • plan de registros vitales, • plan de control de accesos (fÃ−sicos o lógicos) • plan de rpta de emergencia(cuando hay perdida de capacidad) • plan de tratamiento interno(como mantener la inf con esa perdida de capacidad) • plan de restauración para volver a su capacidad normal en cuanto a programas ejemplo • un programa de clasificación de los datos (seguridad y costo de datos) • un programa de asignación de riesgos fijar la responsabilidad de cada riesgo 26 • Explique la metodologÃ−a de matrices de control. Elabore un ej. con: Matriz de comunicaciones de datos ..Recurso/activos . Modems Controles. • Usar una transmisión digital de datos, debido a que tiene una tasa menor de errores que la transmisión analógica • Revisar el contrato de mantenimiento y el tiempo medio de servicio acordados con el proveedor con el objeto de obtener una cifra de control constante para ser usada en todo el equipo de comunicaciones de datos • Transmitir los mensajes con prontitud para reducir el riesgo de la perdida • Hacer saber la buena o mala recepción de los mensajes • Considerar el llevar un registro de los mensajes que llegan y salen a lugares remotos • Ver al tiempo de registrar los que cada mensaje interno o externo vaya numerado en serie asÃ− como que lleve estampados la hora y la fecha • Con respecto a la seguridad de los datos, considerar el criptografiar todos los mensajes transmitidos • Establecer si hay una polÃ−tica para el uso del equipo de prueba • Explique la metodologÃ−a de .... Recurso/exposición: la seguridad de la computadora • Salvar una copia de la bitácora de la consola de la computadora y de la bitácora de salida del sistema para una revisión posterior. Estas dos bitácoras pueden servir como un camino de auditoria en relación a lo que fue alimentado a la computadora y acerca de las diversas ordenes del operador • Asegurar que haya un plan para las operaciones de procesos de datos en caso de un desastre total • Fortalecer continuamente la integridad de individuos a través de la educación y el entrenamiento. Esto se puede hacer mejor por medio de la educación continua de los individuos en las áreas de la seguridad y eficiencia • Conducir un análisis de riesgo para identificar programas crÃ−ticos y controlar fuertemente estos programas o sistemas • Asegurar que haya una especie de reporte de utilización de maquinas para identificar al menos el trabajo que se este corriendo al operador de la computadora presente, si fue o no llamado el programador, el tiempo usado de computadora y condiciones usadas durante la corrida • Revisar los organigramas para asegurar que la organización es funcional y que puede operar exitosamente dentro de los confines de la organización • Asegurar que existe una documentación adecuada para todos los sistemas y programas • Asegurar que haya polÃ−ticas escritas respecto a los accesos de cada persona • Control de datos concierne a /expuesto a seguridad/robo • Identificar cada mensaje por una clave individual de usuario, por la terminal y por el número de secuencia de mensaje • Utilizar controles de seguridad fÃ−sica a través del circuito de comunicación de datos: usos de cerradura, guardias, insignias, sensores, alarmas, y medidas de administración para proteger los servicios fÃ−sicos, los circuitos de comunicación de datos • Considerar los siguientes controles especiales en módem que tengan marcados telefónicos y cuando el circuito de comunicación de datos permita conexiones usando un disco marcador de tipo telefónico • Verificar la configuración de la lista de prioridades de cada terminal • Asegurarse de que en los lugares remotos haya una protección adecuada especialmente para las terminales, concentradores multiplexores y procesadores frontales • Asegurarse que los equipos realicen verificaciones de identificación electrónicas de las terminales 27 • Control de datos Riesgo/exposición ERRORES Ejemplo de la matriz de comunicación de datos para el recurso software: identificar las opciones de omisión contenidas en el sw y su impacto si no se operan apropiadamente Para la matriz de programas /procesos Recurso programas: hacer que el programa recalcule los diversos totales contables o financieros significativos y los retransmita a la estación original Verificar el nro. de secuencia de los programas. Verificar la cantidad de transacciones con el sistema central y las estaciones remotas. • Concierne a/exposición: privacia Recurso terminal /inteligencia distribuida: identificar cada mensaje por una clave individual de usuario por la terminal y por el nro. de secuencia del mensaje • Control de datos . que son los controles programados de los datos , enumere los distintos tipos de ej. Los controles de validaciones programadas son rutinas que se escriben en los programas para verificar el proceso de los datos. El hecho de que los datos hayan sido validados no impide que se vuelvan a verificar en otras etapas. Las validaciones pueden tener lugar en las etapas siguientes • Mientras los datos se están utilizando fuera del sistema mecanizado. O con equipos especializados o con procesamiento distribuido (tiene la ventaja de que los errores se descubren muy cerca de su origen y cuando aún existe documentación sobre los datos) Las correcciones se hacen con rapidez y con bajo costo antes de que los errores afecten a otros registros • Mientras se preparan los datos • Durante pasadas de consistencia en el ordenador • Durante pasadas actualización en el ordenador • Durante los controles de salida • Control de datos. los datos pasan de la parte manual a la mecanizada por el área de control de datos , cual es la misión de esta área y que debe verificar el auditor informático. Cuando los datos pasan de la parte manual de la empresa a la parte mecanizada, lo hacen normalmente por la sección de control de datos: La misión de esta sección será generalmente: • Preparar una programación del flujo de datos a lo largo del sistema • Registrar los lotes u otros datos de control de flujo de datos a lo largo del sistema • Controlar el flujo de trabajos que entra y que sale de las secciones de preparación de trabajos • Ejercer el control de procedimientos sobre el proceso de datos • Mantener un registro maestro de los errores detectados en los datos de procedimientos de validación y asegurarse de que tales errores se eliminan • Comprobar las cifras de control de todas las pasadas en el computador, comparándolas con los datos que se prepararon en la sección de control 28 • Los lotes de entrada al computador incluirán • Identificación del lote • Enlace del lote al proceso que lo vaya a tratar • Proporcione datos de control adecuados • Que indique que se han cumplido todos los procedimientos que se hayan especificados • El control de los datos es para que solo pasen por los canales que corresponden, esto mejora la seguridad del proceso porque es más probable que los datos que se estén manejando sean correctos y hayan sido autorizados • Se pueden establecer canales autorizados para los datos y exigir que los destinatarios verifiquen el origen para ver si es valido • Para ello es necesario que dicho origen pueda identificarse y que ciertos tipos de datos solo puedan venir de determinadas secciones o personas • La sección de control verificara si son correctos los canales de datos que entran al computador • Uno de los cometidos de tal sistema seria mantener separados los datos que estuviesen relacionados, de forma tal que no pudieran conectarse entre si hasta que estuviesen en la etapa de proceso y asÃ− el control de flujo de datos pasarÃ−a a ser un tipo de control interno • La sección de control de datos deberá llevar a cabo la operación de los controles de proceso. Los valores totales de la información que se va a utilizar se tomaran de los registros de control de empleados y esto se cotejaran con lo que calcule la computadora, que deberÃ−an imprimirse al final de cada pasada • No se permitirá que los datos pasen de un proceso a otro hasta que la sección de control de datos no haya aceptado • La tarea del auditor informático es asegurar que exista un nivel adecuado de control de datos en general y de que el sistema es fiable. Esto significa que debe señalar los problemas y llegar a una conclusión de control adecuado 29