Sistema de información IV. Resumen Segunda parte

Anuncio
¿Qué significa planear la auditoria?
Dentro de la auditoria en general, la planeación es uno de los pasos más importantes para garantizar el
éxito de la misma.
La definición de los objetivos perseguidos en la auditoria informática debe preceder a la elección de los
medios y las acciones, si se pretende evitar el predominio de estos últimos.
La AI es una excepción y debe ser planificada en todos sus detalles para poder dimensionar el tamaño,
caracterÃ−sticas de área dentro de la empresa u organismos a auditar, sus sistemas, su organización y
equipo. Con esos datos se podrá determinar el número de caracterÃ−sticas del personal de auditoria, las
herramientas necesarias, el tiempo, costo, como asÃ− también la correcta definición de los alcances de la
AI, para en cao de ser necesario poder elaborar contratos de servicios externos.
Para lograr una buena planeación es conveniente primero obtener información general sobre la
organización y sobre la función informática a evaluar. Para ello es preciso una investigación preliminar y
algunas entrevistas previas, para establecer un programa de trabajo en el que se incluirá el tiempo, costo,
personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la AI.
¿ Qué es la Auditoria Informática?
Es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de
cómputos, su utilización, eficiencia y seguridad, de la organización que participan en el procedimiento de
la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización
más eficiente para una adecuada toma de decisiones.
La auditoria informática deberá comprender no solo la evaluación de los equipos de computación o de
un sistema o procedimiento especifico, sino que además habrá de evaluar los sistemas de información en
general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de la información,
como la herramienta que permite obtener la información adecuada y la organización especifica (centro de
cómputos, departamento de informática, gerencia de sistemas, etc.) que hará posible el uso de los equipos
de cómputos.
Su campo de acción será :
• Evaluación administrativa del área de informática. Evaluación de :
• Los objetivos del área.
• Metas, planes, polÃ−ticas y procedimientos de procesos electrónicos estándar.
• Organización del área y su estructura orgánica.
• Funciones y niveles de autoridad y responsabilidad dl área de sistemas.
• Integración de los recursos materiales y técnicos.
• Costos y controles presupuestales.
• Controles administrativos del área.
• Evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la información.
Evaluación del:
• Análisis de los sistemas y sus diferentes etapas.
• Evaluación del diseño lógico del sistema.
1
• Evaluación del desarrollo fÃ−sico del sistema.
• Control de proyectos.
• Control de sistemas y programación
• Instructivos y documentación.
• Formas de implantación.
• Seguridad lógica y fÃ−sica de los sistemas y sus datos.
• Confidencialidad de los sistemas.
• Controles de mantenimiento y forma de respaldo de los sistemas
• Utilización de los sistemas.
• Evaluación del proceso de datos y de los equipos de procedimientos.
( si son suficientes, si los seguros los cubren, si se usan o no.)
• Controles de los datos fuentes y manejo de cifras de control
• Control de operación
• Control de salida
• Control de asignación de trabajo
• Control de asignación de medios de almacenamiento masivo. (de tareas que existen.
• Control de los elementos de cómputos.
• Orden en el centro de procedimientos.
• Seguridad fÃ−sica y lógica.
• Respaldos.
El auditor crea el procedimiento para asignar tareas y controlarlas si no existen.
¿Cuáles son las fases de desarrollo de la auditoria informática? Explicar brevemente.
Las fases de la auditoria informática son.
• Toma de contacto.
• Planificación de la operación
• Desarrollo de la operación
• Desarrollo de la auditoria
• Fase de diagnostico
• Presentación de las conclusiones
• Formulación del plan de mejoras
Toma de contacto
Esta fase tendrá mucho más sentido si el equipo del auditor es externo a la organización, ya que en ella se
recaba toda la información preliminar, y determinación de alcances.
Se deberá recabar en cuanto a la organización en general:
• Organización
• Organigrama
• Volumen
• LÃ−neas de productos, planes
• Situación en el mercado, etc.
Se deberá recabar en cuanto al área de sistemas.
2
• La estructura del área de sistemas
• Relaciones funcionales y jerárquicas
• Recursos humanos: nro. , experiencia, formación, funciones
• Recursos materiales: configuración del hard, herramientas de soft, sistema operativo,
comunicaciones, etc.
• Aplicaciones de desarrollo si las hay,
• Aplicaciones en funcionamiento, documentación mantenimiento y adecuación.
En definitiva una larga lista que permitirá al auditor conocer la organización donde se ubicará para
efectuar su trabajo.
Planificación de la operación
En esta etapa deberá establecer:
• Definitivamente el objetivo de la AI
• Las áreas que cubrirá
• Personas de la organización que habrá de colaborar y en que momentos de al auditoria.
• Plan de trabajo: Tareas, calendario, resultados parciales, presupuesto, equipo auditor necesario.
Desarrollo de la auditoria informática
Es el momento de ejecutar las tareas que se enuncian en la fase anterior. Es esta una fase de observación, de
recogida de datos, situaciones, deficiencias, en resumen un periodo en el que:
• Se efectúan las entrevistas previstas en la fase de planificación.
• Se completarán todos los cuestionarios que presente el auditor
• Se observaran las situaciones deficientes, no solo las aparentes, sino las que hasta ahora no hayan sido
detectadas, para lo que se podrá llegar a simular situaciones lÃ−mites.
• Se observaran los procedimientos, tanto en los informáticos como en los usuarios.
• Se ejecutaran por los tanto, todas las previsiones efectuadas en la etapa anterior con el objetivo de
llegar a la siguiente etapa en condiciones de diagnosticar sobre la situación encontrada.
Fase de diagnostico
Cuando ya se hayan efectuado todos los estudios y revisiones, se debe elaborar el diagnostico. Como resultado
de esta etapa han de quedar claramente definidos los puntos débiles, y por contrapunto los fuertes, los
riesgos eventuales, y en primera instancia los posibles tipos de solución o mejoras de los problemas
planteados.
Presentación de las conclusiones
Estas conclusiones se discutirán con las personas afectadas por lo que serán suficientemente argumentadas,
probadas y argumentadas.
Momento delicado en el trato con las áreas, los auditores deben presentar estas conclusiones como un plan
de mejoras en beneficio de todos mas que una reprobación de los afectados, salvo en el caso de que esto sea
estrictamente necesario.
Formulación del plan de mejoras
Llegados a este último punto, la dirección conoce ya las deficiencias que el equipo auditor ha observado en
3
su departamento informático, estas han sido discutidas. Más no basta con quedarse ahÃ−, ahora es cuando
los auditores han de demostrar su experiencia en situaciones anteriores lo suficientemente contrastada y
exitosas y ser capaces de adjuntar, junto con el informe de auditoria, el plan de mejoras que permiten
solventar las deficiencias encontradas.
El plan de mejoras abarcara todas las recomendaciones que vengan a intentar soslayar las deficiencias
detectadas en la realización de la auditoria. Para ello se tendrán en cuenta los recursos disponibles, o al
menos potencialmente disponible, por parte de la Empresa objeto de la auditoria.
Se trata de distinguir entre las medidas que es posible realizar a corto plazo, de las que lo son a mediano plazo
y de las ejecutables a largo plazo.
Entre las primeras se incluirán aquellas mejoras puntuales y de fácil realización como son las mejoras en
plazo, calidad, planificación o formación. Las medidas de mediano plazo necesitaran de uno a dos años
para poderse concretar. AquÃ− pues caben las mejoras más profundas y con mayor necesidad de recursos,
como la optimización de programas, o de la documentación, e incluso de algunos aspectos de diseño de
los sistemas.
Para finalizar las consideraciones a largo plazo, pueden llevar cambios sustanciales en las polÃ−ticas, medios
o incluso estructuras del servicio de informática. Estas mejoras pueden pasar por la reconsideración de los
sistemas en uso o de los medios, humanos y materiales, con que se cuenta, llegando si es preciso a una seria
reconsideración del plan informático.
¿Qué es la auditoria informática operativa y la funcional?
En términos generales se puede hablar de dos tipos de AI:
• Auditoria operativa: funcionalmente preocupa por actividades que implican a uno o varios servicios.
• Auditoria funcional: que examina el funcionamiento de una célula perfectamente definida. Está
diferenciación se basa en la extensión del ámbito de su aplicación.
Auditoria Informática Operativa
Tiene un amplio campo de aplicación. Abarca desde el análisis orgánico a los ensayos. Requiere un
análisis a fondo a efectos de determinar anomalÃ−as, y proponer alternativas de solución.
Se divide en:
Auditoria de gestión: en el entorno de la AIO, controlará el ratio coste/beneficio de la aplicación
examinada, vigilando aspectos relativos al planning, controles durante el desarrollo del proyecto, controles
internos de control de proyectos y aspectos relativos a la calidad y utilidad de la información que el sistema
facilita y la rentabilidad del proyecto.
En definitiva cubre todos aquellos aspectos definitorios de una gestión de proyectos.
Auditoria de los procedimientos dentro del entorno de la AIO, se encargara de garantizar el exacto
cumplimiento de las normas y procedimientos. Podrá emitir juicios de valor sobre los procedimientos y
normas auditadas. (por lo general estas normas suelen referirse al mantenimiento de las aplicaciones, normas
de programación, de documentación, procedimientos de protección de datos y programas, control de
accesos, etc.
Auditoria de las cifras en el entorno de una AIO, se ocupa, entre otros de dos aspecto que preocupan en el
4
entorno de los procedimientos de datos: la fiabilidad de la información facilitada y la detección de fraudes y
adulteración de datos y programas.
Auditoria informática funcional (AIF)
La AIF examina e funcionamiento de una o varias funciones de la actividad informática. Pudiendo juzgar no
solo el correcto funcionamiento de la función informática sino además sobre la eficiente implantación de
ésta en el ámbito general de la estructura empresarial, acupandose también de temas materiales como la
seguridad fÃ−sica, los métodos de trabajo (análisis y programación), documentación, explotación,
organización, etc. y también otro aspecto como las relaciones informática vs usuarios o los excesos o
defectos de información proporcionados por el sistema.
Cantidad y calidad de inf. para usuarios.
Tendera a examinar a examinar todos aquellos aspectos que contribuyan a que la función informática sea
una herramienta eficiente al servicio de la gestión. Crear intereses opuesto, cada área posee distintos
objetivos entonces aumenta el control.
Se divide en:
Auditoria de gestión.
Auditoria de los procedimientos.
Auditoria de las cifras.
Aumenta el control de acuerdo al riesgo (probabilidad de ocurrencia y de la forma de decisión con
información o con expectativa.
¿Que significa definir los objetivos y alcances de la AI?
Con respecto a los alcances es difÃ−cil determinar hasta donde puede llegar el ámbito de actuación de la
auditoria informática.
Puede implicar elementos económicos (presupuesto), hasta aspectos de management(pueden ser la posición
de la dirección general ante la informática)
Son todos ellos parte de un todo que se puede hacer tan extenso como se quiera, en definitiva: una visión
global de la actividad de auditoria.
Actividad que podrá cubrir aspectos funcionales, abarcando desde la adecuación de los sistemas en
funcionamiento a las necesidades reales, hasta la revisión de los tiempos de respuesta, pasando por la
fiabilidad de los sistemas y la medición del área de informática.
Los aspectos técnicos, los aspectos económicos, aspectos de dirección y la seguridad (tanto a nivel
lógico como fÃ−sica). Las gerencias de informática están muy sensibles con temas como la
confidencialidad de los datos, con la seguridad de acceso, ante elementos extraños.
Rpta: por otro lado la auditoria tiene lógica si se conocen bien los objetivos, como es tan amplio y abarcativo
tenemos esta contradicción. Por otro lado no tiene lógica si no se conoce lo que se hace. Por lo tanto el
auditor deberá evaluar eficiencia y eficacia con que se esta operando par a que por medio del señalamiento
de cursos de acción alternativos se tomen decisiones que permitirán corregir los errores en caso de que
5
existan, o bien mejorar la forma de actuación. Requiere de un juicio profesional sólido y maduro para
juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos.
¿Cuáles son los objetivos generales de la auditoria informática?
La auditoria informática debe tener presentes los objetivos de:
• Autorización
• Procedimientos y clasificación de transacciones.
• Salvaguarda fÃ−sica
• Y verificación y evaluación de los equipos y la información.
Al igual de los objetivos de control interno.
• Protección de los activos de la empresa
• Obtención de información financiera veraz, confiable y oportuna
• Promoción de la eficiencia en la operación del negocio
• lograr que en la ejecución de las operaciones se cumplan las polÃ−ticas establecidas por los
administradores de la empresa.
¿Qué debe analizar y evaluar en la investigación preliminar de la informática?
Se debe recopilar información para obtener una visión general el área a auditar por medio de
observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y
alcance del estudio, asÃ− como el programa detallado de la investigación.
La planeación de la auditoria debe señalar en forma detallada el alcance y dirección esperados y debe
comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que
ocasionen modificaciones al plan general, sean justificadas por escrito.
Tener en cuenta los alcances para no crear falsas expectativas, lo que hace y lo que no van hacer y
posiblemente luego en el próximo trabajo.
Se debe hacer una investigación preliminar solicitando y revisando la información de cada una de las
áreas de la organización.
Para poder analizar y dimensionar la estructura por auditar se debe solicitar:
A nivel organización total:
• objetivos a corto y largo plazo
• Manual de la organización
• Antecedentes o historia del organismo
• PolÃ−ticas generales
A nivel informática
• Objetivos a corto y largo plazo
• Manual de organización del área que incluya puesto, niveles jerárquicos y tratados de mando.
• Manual de polÃ−ticas, reglamentos internos y lineamientos generales
• Número de personas y puesto en el área
• Procedimientos administrativos en el área
6
• Presupuestos y costos del área
Recursos materiales y técnicos
• Solicitar documentos sobre los equipos, números de ellos, localización y caracterÃ−sticas.
• Estudios de viabilidad
• Número de equipos, localización y las caracterÃ−sticas (de los equipos instalados, por instalar y
programados)
• Fechas de instalación de los equipos y planes de instalación
• Contratos vigentes de compra, renta y servicio de mantenimiento
• Contratos de seguros
• Convenios que se mantienen con otras instalaciones
• Configuración de los equipos y capacidad actuales y máximas
• Planes de expansión
• Ubicación general de los equipos
• PolÃ−ticas de operación
• PolÃ−ticas de uso o de equipos
Sistemas
Descripción general de los sistemas y de los que estén por instalarse que contengan volúmenes de
información
• Manual de formularios
• Manual de procedimientos de los sistemas
• Descripción genérica
• Diagrama de entrada, archivos y salida
• Salidas
• Fecha de instalaciones de los sistemas
• Proyecto de instalación de nuevos sistemas
¿A su entender la mejor posición funcional del área de auditoria informática es?
Generalmente la auditoria informática suele ser encargada por la dirección general o por la propia
dirección de informática para rendir cuentas ante la dirección general
¿Cuáles son las causas que se puede solicitar una auditoria informática?
La AI puede ser solicitada en relación a:
En relación con la auditoria financiera externa: el auditor financiero externo puede requerirla por los
siguientes motivos:
• La revisión de los procedimientos de control interno
• Controles generales
• Revisión de aplicaciones (lógica, diseño, controles, programados, informes, etc.)
• Revisión de programas
• Seguridad fÃ−sica(controles fÃ−sicos, backup, prevención de desastres)
Con lo que el auditor financiero podrá dar más consistencia a sus juicios y conclusiones.
En relación con la auditoria interna:
7
• Conocer la eficiencia y fiabilidad de los sistemas implantados
• Seguimiento de planes informáticos
• Control del desarrollo del software.
• Controles y diagnostico en la adquisición del hardware.
En relación con la eficacia: la eficacia del servicio informático puede aportar los suficientes elementos
para motivar la auditoria del sector. Por ejemplo:
• Evaluación de rendimiento
• Capacidad gerencial y staff.
• Evaluación del hardware
• MetodologÃ−a de desarrollo
• Costos
• Evaluación del software de desarrollo
En relación con la seguridad:
• Seguridad fÃ−sica (elementos tangibles)
• Seguridad del teleproceso y los accesos lógicos (encriptar con relación a costos control con el
daño potencial)
• Seguridad en la operación y explotación
• Planes de evitación de desastres y supervivencia en caso de que los desastres ocurran
• Seguridad de las aplicaciones y los datos
• Seguridad del personal(motivación, lealtad)
¿De que factores debe depender el papel del auditor informático del área de auditoria?
El papel del auditor dependerá de:
• De la propia organización en la que se devolverá el auditor. estructura, lÃ−neas de dirección y
por supuesto el tipo de actividad que desarrolla la empresa, marcan decisivamente la labor a
desarrollar por el auditor.
• El área de informática objeto de la auditoria, ya que el grado de sofisticación, tamaño,
recursos con que se cuenta marcaran la diferencia a la hora de fijar los objetivos de la auditoria
informática. Tipos de procesos que se efectúan, si se compra el soft o se desarrolla, etc.
• Las relaciones con la auditoria tradicional: ya que si es grande el grado de sistematización de la
empresa y los auditores financieros o contables tienen escasa formación informática, el papel del
AI puede tener mucho que ver con dar asistencia, soporte y hasta formación de sus colegas de
Auditoria Financiera Contable.
• Las propias limitaciones técnicas del auditor: ya que difÃ−cilmente un auditor podrá juzgar por
ej. el sistema de telecomunicaciones de un centro de cómputos más elemental formación en
Teleinformática.
¿Defina los objetivos de la auditoria Informática en el área de la planificación?
Los objetivos de la auditoria informática en el área de la planificación son.
• Determinar que planes del proceso de datos están coordinados con los planes generales de la
organización.
• Revisar los planes de informática con vistas a determinar sobre su idoneidad
• Contrastar el plan con su realización
• Determinar el grado de participación y responsabilidad de directivos y usuarios en la planificación
8
• Participar incluso en el proceso de la planificación
• Revisar los planes de desarrollo de software de aplicaciones
• Revisar los procedimientos de planificación del software del sistema (software de base)
• Comprobar la ejecución del plan en cualquiera de sus niveles.
¿Defina los objetivos de la Auditoria Informática en el área de la planificación y los riesgos de una
planificación inadecuada?
Los objetivos de la auditoria informática en el área de la planificación son.
• Determinar que planes del proceso de datos están coordinados con los planes generales de la
organización.
• Revisar los planes de informática con vistas a determinar sobre su idoneidad
• Contrastar el plan con su realización
• Determinar el grado de participación y responsabilidad de directivos y usuarios en la planificación
• Participar incluso en el proceso de la planificación
• Revisar los planes de desarrollo de software de aplicaciones
• Revisar los procedimientos de planificación del software del sistema (software de base)
• Comprobar la ejecución del plan en cualquiera de sus niveles.
Los riesgos de una planificación inadecuada: la ineficacia en la planificación o su falta comporta una serie
de riesgos como:
• Desarrollo de aplicaciones inconexas
• Información redundantes (puede ser consecuencia del problema anterior, por falta de conexión)
• Sensación de informática caótica: difÃ−cil coordinación de los grupos de trabajo debido a la
falta o ineficiente planificación de trabajos y recursos
• Desconexión del área de informática del resto de la organización: si el usuario no ha participado
de la elaboración de la planificación será reticente a utilizar sistemas que son facilitados para
intentar cubrir necesidades que no tiene o al menos no son prioridades para su trabajo
Auditoria informática en el área de planificación. Defina plan estratégico, plan táctico y plan
operacional. De caracterÃ−sticas de cada uno de ellos
Planificación de la gerencia de informática
A nivel estratégico Fija objetivos a largo plazo
A nivel táctico Transforma los objetivos marcados en el nivel estratégico en planes de realización
ejecutables a corto plazo
A nivel operacional lleva a cabo las tareas que consecuencia directa de los planes tácticos
Plan estratégico
Es un documento que comprenderá fundamentalmente:
• problemas de asignación de recursos,
• describiendo aspectos relativos al entorno empresarial (objetivos, problemas, etc.)
• a las exigencias de información detectadas
• a prioridades y relaciones costo/beneficio
• a la propia arquitectura de datos y aplicaciones
9
• o al modo en que se soporta actualmente la actividad del negocio
elementos de futuro como son:
• el programa de evolución hacia la nuevas situación o el método.
• Estructura y recursos necesarios para la realización y dirección de tal evolución, asÃ− como el
mecanismo de control con que garantizar en el futuro la actuación del plan del sistema de
información
CaracterÃ−sticas distintivas del plan estratégico
Su duración de 4 a 5 años
• Se realizará por la dirección de sistemas a instancias de la información proporcionada por la
dirección de la empresa, los usuarios y la gestión de la propia dirección de sistemas.
• Se revisara y aprobara por áreas de negocio y dirección
• Será un documento conocido en todos los ámbitos de la empresa
• Se revisara periódicamente o ante eventuales variaciones en las hipótesis desviaciones del plan
inicial
Contenido principal del plan a este nivel estratégico cabe citar
• Situación actual: no sólo del área de sistemas y hasta de la empresa sino también en relación
al momento tecnológico y con la competencia
• Hipótesis de previsión: de desarrollo a partir de la situación actual citada en el pto. anterior
• PolÃ−tica de la empresa: en lo que respecta a desarrollo explotación, almacenamiento de
información, proceso centralizado o distribuido, etc.
• Objetivos del área de sistemas. en cuanto a servicios a prestar minimizando costos
• Personal del área de sistemas: definiendo la cantidad de empleados y sus perfiles profesionales
• Configuración de software: sistemas operativos, utilitarios, sistemas de gestión de bases de datos,
monitores de tp, ayudas a la programación, lenguajes de 4 generación
• Configuraciones de hardware: ordenador central, y ordenadores distribuidos, periféricos, redes de
comunicación, telecomunicaciones.
• Estudio de las necesidades de seguridad y prevención de riesgos
Plan Táctico
El plan táctico tiene por objetivo desarrollar un plan de proyectos, ordenado por prioridades que cubre las
necesidades de previsión de aplicaciones, datos y sistemas
El contenido de este plan a nivel organización es:
• Estimación de los tiempos y recursos a asignar por proyectos evaluando, además, las necesidades
de horas hombre
• Fijación de costos y factibilidad de ejecución a nivel de proyectos
• Evaluación de las necesidades de seguridad y auditoria por proyecto
• Programa detallado con plazos y responsables de los proyectos en cuestión, elaborado por la
dirección del dpto. de inform, y aprobado por la dirección de la empresa
Como caracterÃ−sticas del plan estratégico pueden distinguirse:
• El plazo previsto para su ejecución será de medio año
10
• La revisión del plan se efectuara mas frecuentemente, podrÃ−a hacerse en tres meses
• Se seguirá por el comité de informática y afectara a los proyectos definidos en el plan
estratégico
Plan operacional
En realidad a este nivel de la organización no es solo un plan sino un conjunto de planes operacionales.
Su plazo de realización es corto y estará en función de la envergadura de al tarea a cumplir. Contendrá el
mayor nivel de detalle posible. Cada plan será responsabilidad de un jefe de proyecto (o jefatura) y su
seguimiento corresponderá al área de informática.
Toda planificación, una vez hecha y puesta en marcha, habrá de ser controlada, evaluada la efectividad del
plan y su incidencia en el rendimiento de la organización. Es decir se deberá medir y controlar en los tres
niveles que se han comentado de la organización y ser evaluada.
Defina los objetivos de la auditoria informática en el área de la organización y la administración.
• Determinar que planes del proceso de datos están coordinados con los planes generales de la
organización
• Revisar los planes de informática con vistas a determinar sobre su idoneidad
• Contrastar el plan con su realización
• Determinar el grado de partición y responsabilidad de directivos y usuarios en la planificación
• Participar incluso en el proceso de la planificación
• Revisar los planes de desarrollo de software de aplicaciones
• Revisar los procedimientos de planificación del software de sistemas
• Comprobar la ejecución del plan en cualquiera de sus niveles
El auditor informático debe centrar su atención en:
• El sistema de información
• La planificación del desarrollo
• La planificación de proyectos
• La definición y distribución de la cartera de aplicaciones, que comprende cuatro aspectos:
• Planificación de las aplicaciones
• Planificación de los datos
• Planificación de los sistemas
• Planificación de proyectos
Que nos permitirá determinar una auditoria informática en el área de la organización y la
administración
La información nos servirá para determinar:
• Si las responsabilidades en la organización están definidas adecuadamente
• Si la estructura organizacional está adecuada a las necesidades
• Si el control organizacional es el adecuado
• Si se tienen los objetivos y polÃ−ticas adecuadas, se encuentran vigentes y están bien definidas
• Si existe la documentación de las actividades, funciones y responsabilidades
11
• Si los puestos se encuentran definidos y señaladas sus responsabilidades
• Si el análisis y descripción de puestos esta de acuerdo con el personal que los ocupa
• Si se cumplen los lineamientos organizacionales
• Si el nivel de salarios es adecuado comparado con el mercado de trabajo
• Si los planes de trabajos con los objetivos de la empresa
• Si se cuenta con los recursos humanos necesarios que garanticen la continuidad de la operación o se
cuenta con indispensables
• Si luego de evaluados los planes se encuentran desviaciones
En auditoria informática, en el área de organización y administración ¿Qué se debe verificar en
relación a la situación presupuestada y financiera?
Se deberá verificar:
• Costos del área, desglosado por subareas y controles
• Presupuesto de la gerencia, desglosado por áreas
• CaracterÃ−sticas de los equipos, número y contratos
17- En la auditoria, en el área de organización y administración ¿qué temas se debe recabar durante
las entrevistas con el personal relativos a la empresa?
• Bases jurÃ−dicas:
• si la organización se ajusta o no a las normas jurÃ−dicas
• Objetivos de la estructura: permite la estructura que se lleven a cabo con eficiencia las funciones, la
distribución del trabajo, los controles internos.
• Niveles jerárquicos:
• si son suficientes, si se permiten que se desarrollo la supervisión y las operaciones.
• Si se permite la comunicación ascendente y descendente ágil
• Departamentalización
• Si los puestos son adecuados
• Si están delimitadas las responsabilidades entre las áreas y las subáreas
• Puestos
• Si los puestos son adecuados a las necesidades de cada área
• Si la cantidad de empleados es la adecuada
• Manuales de descripción de puestos
• Expectativas
• Detectar las expectativas del personal, si se deberá revisar la estructura
• Autoridad
12
• Si la autoridad va de acuerdo a la responsabilidad
• Si se han presentado conflictos por el ejercicio de autoridad
• Funciones
• Establecer si se han definido las funciones
• Si las funciones están por escrito y se han dado a conocer
• Si se conocen las funciones del departamento
• Están adecuadas a las necesidades actuales
• Están adecuadas a la carga de trabajo
• Cuales realiza en forma periódica o eventual
• Si permite cumplir con los programas
• Apoyos
• Si se requiere de otras áreas para cumplir sus funciones
• Si el área ayuda a otras
• Duplicidad
• Si hay duplicidad de funciones en el área, en otras áreas, si se pueden transferir
• Objetivos
• Si son congruentes con los objetivos de la dirección o subdirección
• Si se han dad a conocer los objetivos del área
• Objetivos adecuados
• Si abarcan los objetivos toda la operación del área
• Que aspectos no cubren
• Son realistas, se pueden alcanzar, si están de acuerdo con las funciones del área
• Cumplimiento de los objetivos
• En que grado se cumplen, que se hace en caso de desviación
18- En la auditoria informática en el área de organización y administración ¿qué temas se debe
recabar durante las entrevistas con el personal relativos a los RRHH?
• Desempeño y cumplimiento:
• si es suficiente
• si está capacitado para realizar con eficacia las tareas
• calidad del trabajo
• si es frecuente la repetición de trabajos
• si es discreto el personal con el manejo de información confidencial
• Capacitación
• Si se desarrollan programas de capacitación
• Si la supervisión apoya dichos cursos
13
• Si se evalúa los resultados de los programas de capacitación
• Supervisión
• Como se supervisa al personal
• Si se controlan el ausentismo y los retardos
• Como se controlan las faltas
• Como se manejan los ascensos, promociones y aumentos salariales
• Limitaciones
• Remuneración
• Ambiente
• Si el personal esta integrado al grupo
• Desarrollo y motivación
• Como se estimula y recompensa al personal
• Existe oportunidad de ascensos
• En la auditoria informática de los procedimientos que puntos deberÃ−an ser evaluados de acuerdo a su
criterio con respecto a la seguridad de archivos y datos?
• Retención de datos: definir estándares de retención para cada tipo y forma de dato
• Establecer para cada aplicación: los periodos de retención para los documentos y archivos
importantes
• Condiciones de almacenamiento
• En la auditoria informática de los procedimientos que puntos deberÃ−an ser evaluados de acuerdo a su
criterio con respecto al control de teleproceso.
• Registro de control
• Uso de teleproceso
• Justificar los lugares donde están ubicadas las terminales
• Controlar las aciones cuando surgen problemas
• Verificar la rapidez y sus procedimientos
• Probar la seguridad del sistemas y procedimientos
• Inspeccionar la eficacia y realismo de los controles que se aplican
• En la auditoria informática de los procedimientos, que deberÃ−an ser evaluados de acuerdo a su criterio
con respecto a equipos de back up.
• Verificar si se han tenido en cuenta los distintos problemas que pueden derivarse de los niveles de
fallo del sistema y equipos asociados
• Si se tuvieron en cuenta los respaldos que se necesitasen
• Análisis de riesgo (perdidas -seguros)
• Si el personal ha recibido la formación sobre los procedimientos alternativos y si se practican
periodicamente
• Si existen programas para recuperar la información cuando se finalizan las operaciones de
emergencia
• En la auditoria informática de los procedimientos que puntos deberán ser evaluados de acuerdo a su
14
criterio con respecto a la función del área de cintoteca de la subgerencia de producción
• Que existan manuales e instrucciones para la operación de cintoteca y según las exigencias de cada
sistema
• Si los procedimientos proveen:
• almacenamiento seguro
• Manipulación adecuada
• Uso autorizado de los soportes magnéticos
• Si se cumplen las normas y procedimientos
• Si se mantiene un registro actualizado de los movimientos de los archivos
• Si se puede ejercer el control sobre la biblioteca independientemente de otras áreas
• Si existen medidas de protección
• Si el lugar es adecuado
• Inventario de archivos esta actualizado y como se controla
• Verificar se certifica la destrucción o baja de los archivos defectuosos
• En la auditoria informática de los procedimientos que punto deberÃ−an ser evaluados de acuerdo con su
criterio con respecto a la función del lÃ−der de proyecto y programadores
• Si el lÃ−der del proyecto controla eficazmente las normas de desarrollo, diseño, programación,
documentación, pruebas e implementación de los sistemas en la empresa
• Si se ha establecido un grupo de gestión a nivel de diseño de una manera adecuada, eficaz y
representativa
• Si el grupo de diseño supervisa los proyectos adecuadamente y se los mantiene dentro de los limites
de costo y tiempo
• Si se utilizan y supervisan métodos adecuados de control de trabajos
• Si el personal de desarrollo no tiene acceso a datos operativos
• Si se mantiene la documentación adecuada de todos los trabajos
Programador:
• Si existe una supervisión eficaz,
• si se impone algún control sobre la calidad de los trabajos,
• si se cumplen con las normas de programación y si no las hubiera establecidas si la confección de
los programas se efectúa bajo las reglas del buen arte
• si las pruebas de los prog se efectúa en forma separada de las del sistema y que los programadores
no utilicen datos reales ni accedan al ordenador en modo operativo
• si los programas que se preparan (en desarrollo) se mantienen en una biblioteca separada y que su
envÃ−o a explotación tiene su nivel de autorización. Que la transferencia a explotación no la
realicen los programadores
• si los trabajos de mantenimiento de programas se controlan y registran cuidadosamente y que las
modificaciones se prueben y autorizan(control de cambio)
• se la documentación de mantiene siempre actualizada
• si se comprueba periódicamente el contenido de los programas que se guardan en las bibliotecas del
computador
• si las pruebas se realizan en forma separada para que puedan identificarse los errores
• si se predice los resultados de las pruebas antes de utilizar los datos
• En la auditoria informática de los procedimiento que puntos deberÃ−an ser evaluados a su criterio con
15
respecto a la función de Area de control de la subgerencia de producción
• Se ejerza el control independientemente de las presiones de los dptos administrativos o las
necesidades del proceso
• El personal de control tenga la suficiente autoridad como para imponerlo
• Si el control se ejerce en el nivel adecuado (controlar con una autoridad si pasa de un cierto monto el
cheque)
• Probar si se comprueba la calidad de los trabajos que se entregan
• Si se establecen una separación de funciones dentro de la sección de control, ejemplo ejerciendo un
control separado entre la entrada y la salida
• Los usuarios mantengan un registro adecuado de la recogida y establecimiento de datos de control y
que este registro alimenta al sistema central de control
• Se mantiene una verificación total e independiente de las actividades mecanizadas, comprobando la
exactitud del proceso
• Si existen manuales de control para cada sistema
• Averiguar el impacto que produce sobre el trabajo el hecho de que en algún momento la sección de
control no este operativa cuando estén otras secciones
• Verificar hasta que punto ase alteran los estándares de trabajado en diferentes ocasiones y bajo
distintas condiciones
Corrección y análisis de errores
• Verificar los métodos de corrección de errores para ver si se tratan todos y si las correcciones las
hacen la s personas adecuada
• Hacer un resumen de los tipos y volúmenes de errores que se producen en cada uno de los sistemas y
puntos de detección
• Analizar el significado de los tipos y volúmenes de errores y los cambios de tendencia que se
observan
• Indagar las causa de cualquier tipo de incidencia alta de errores y tratar de remediarlas
Area de ingreso de datos
• Se mantiene un registro adecuado de los trabajos, fallos, problemas y acciones que se adopten frente a
los errores
• Se ejerce un control eficaz sobre los procedimientos y se mantiene la integridad de los trabajos
• Si los procedimientos de verificación son independientes de la preparación inicial de los datos
• Se ejerce control sobre las correcciones que se hagan durante la verificación de datos
• Verificar hasta que punto se altera los estándares de trabajo en diferentes ocasiones y bajo distintas
condiciones
• En la auditoria informática de los procedimientos que puntos deberÃ−an ser evaluados de acuerdo a su
criterio con respecto a la función del área de despacho de la subgerencia de producción? Impresión de
datos
• Existen estándares y procedimientos adecuados para el despacho de trabajos y que se estipula
claramente la prioridad de cada uno y se cumplen con eficacia
• Verificar si existe control sobre el envÃ−o de las cantidades adecuadas y tipos de documentos
• Se mantiene actualizado el trabajo de despacho y que los que quede pendiente no quede eternamente
• Hay procedimientos adecuados para manejar información confidencial
• Se mantiene un registro donde se pueda comprobar o demostrar todo lo que ha sido despachado
• Se registran los errores y los problemas, asÃ− como la disponibilidad de los equipos y se verifica el
plan de mantenimiento de equipos
16
• Averiguar si existen impresos controlados en manos de personas no autorizadas
• Controlar que los métodos de destrucción de impresos caducados y asegurarse de que no se corren
riesgos innecesarios
• Verificar hasta que punto se alteran los estándares de trabajo en diferentes ocasiones y bajo distintas
condiciones
• Verificar si se conocen y registran los retrasos
• En la auditoria informática de los procedimientos, que deberÃ−an ser evaluados en el área de seguridad
de programas y bibliotecas de programas
• Que el contenido de las bibliotecas de programas estén respaldados por eficientes normas de
seguridad
• Se mantienen en un lugar distinto al de trabajo copias actualizadas de las bibliotecas de programas y
de documentación
• Si la documentación es la adecuada para que los programas puedan correr en otra instalación
• Si la documentación es la adecuada para que los programas puedan correr en otras instalaciones
• Si las maquinas de reserva tuvieren otro sistema operativo o compiladores si en la instalación remota
se mantienen copias de las versiones especialmente compiladas para ella
• Se ejerce un control y seguridad adecuados sobre acceso y uso de programas
• Si los programas que se están desarrollando o modificando están separados de los operativos y que
están en bibliotecas distintas y con distinta clave de seguridad y acceso
En cuanto a las bibliotecas de prog y datos:
• Que se controle la autorización de salida y/o actualización de los programas y/o archivos,
• examinar la posibilidad de que los archivos sean utilizados para fines autorizados, examinar los
métodos de tratamiento y almacenaje de archivos
• inspeccionar el funcionamiento de la biblioteca de archivos y sus relaciones con la sección de
operación
• verificar el impacto que produce sobre el control de archivos el hecho de que el área que atiende las
bibliotecas y archivos no este operativa cuando lo este la sala de computación
• Idem en el área de bibliotecas de documentación
• Exista al menos un lugar definido como centro autorizado de documentación
• Existan estándares que controlen el funcionamiento de dicho centro
• Se responsabilice a las personas que produzcan especificaciones o modificaciones de software o de
sistemas par a que depositen copias en las biblioteca
• Se designa a alguien para que se encargue especÃ−ficamente de la biblioteca y mantenga los
registros, la copia de seguridad de los documentos, actualice las copias, y autorice la salida de la
documentación cuando se necesite
• Se controlen las modificaciones de la documentación de forma que se pueda seguir la pista de la
misma
• La seguridad y el control de la documentación son adecuados
• Idem en el área de carga de maquina de la subgerencia de producción
Agrupa los datos, archivos, formularios y todos los elementos que necesite el operados para efectuar la carga
de datos
La función clave del operador de carga de maquina esta relacionada con el logro eficiente y efectivo que
17
• Satisfaga las necesidades de tiempo del usuario
• Permitan niveles efectivos de utilización de los equipos y sistemas de operación
• Permita la ágil utilización de los equipos en lÃ−nea
Para lo cual se deberán balancear los factores midiendo los resultados para ir corrigiendo la metodologÃ−a
utilizada
Se verificara:
• Si los estándares, procedimientos instrucciones y manuales son adecuados que cubran todas las
posibilidades de proceso s que se puedan suscitar
• Si se observan los procedimientos
• Si se mantiene un registro adecuado
• Si los trabajos que se inician están autorizados
• Verificar hasta que punto se altera los estándares de trabajo en diferentes ocasiones y bajo distintas
condiciones
• Si se cambian frecuentemente los programas de trabajo indicando las causas y las soluciones
adoptadas ante los distintos tipos de problemas
• Idem en el área de implementacion de la subgerencia de producción
• Si existe un registro de los stream que se realizan, por única vez o no
• Que las modificaciones a los stream no se efectúen en las áreas de operación o programación
• Que los stream generados no puedan ser modificados desde otro ámbito
• Se ha previsto preparar stream de recuperación o reproceso de sistemas que hayan de efectuarse en
situaciones de emergencia
• Verificar hasta que punto se alteran los estándares de trabajo en deferentes ocasiones y bajos
distintas condiciones
• La preparación de los stream sea independiente a la preparación de datos y al área de operación
• Existan estándares, instrucciones y manuales adecuados que gobiernen la preparación de los stream
• Se observan los procedimientos
Mantenimiento de programas
• La metodologÃ−a de control de cambios emita instrucciones sobre los procedimientos del
mantenimiento de programas, incluyendo métodos de solicitar y autorizar modificaciones, asÃ−
como de realizarlas y probarlas
• Se mantienen registros de todas las modificaciones que se han hecho, sus motivos, antecedentes, etc.
• Se suspenda el uso mientras se esta modificando
• Existe un control cuidadoso y regular por parte de la jefatura sobre el mantenimiento y modificación
de los programas
• Verificar hasta que punto se alteran los estándares de trabajo en diferentes ocasiones y
oportunidades
• Idem en el área de operadores
• Existan estándares operativos adecuados, tanto generales como especÃ−ficos de cada sistema de
aplicación.
• Deberán establecer procedimientos y métodos de operación seguros
• los estándares deberán documentarse totalmente y dejarse a disposición de los operadores
• los mismos deberán prever
• el control de los trabajos y los datos,
18
• la separación de los trabajos de operación,
• los de seguridad
• los de recuperación de procesos
• los de desarrollo
• los de formación, etc.
• asimismo deberán cubrir las medidas de operación que hay que tomar en caso de cancelaciones de
programas, que el sistema se caiga o se degrade o imprevistos en general
• rearranques, recuperaciones de archivos
• los jefes de turno hagan cumplir los estándares mas adecuados a cada circunstancia
• los operadores reciban a formación adecuada
• se observa una separación de funciones adecuada
• que los operadores no realizan funciones que pertenecen a otras secciones y
• que el objetivo de mejorar e rendimientos de la instalación no sirva para ignorar las exigencias de
seguridad o de control
• se mantienen e inspeccionan registros de operación
• si se llevan registros sobre fallas del sistema, hw, sw de base o de aplicación, rearranque y
recuperación de archivos
• observar :
• si la jefatura realiza inspecciones periódicas controlando procedimientos de autorización
• trabajos realizados contra los planificados
• ordenes de trabajo
• cumplimiento de normas, etc.
• verificar hasta que punto se altera los estándares de trabajo en diferentes ocasiones y bajo distintas
condiciones
• verificar que el operador no pueda modificar los datos de entrada, bibliotecas de programas o archivos
• verificar que sea razonable el plan para coordinar el cambio de turno
• AI en el desarrollo de sistemas. Defina el objetivo y los puntos a verificar durante la AI de la
mecanización
Objetivos :
La propuesta de mecanización define las pautas de los nuevos sistema y una vez aceptada se emprenderÃ−a
el nuevo trabajo de diseño y programación
El auditor deberá asegurarse de que son adecuados los principios básicos de diseño en todo lo
relacionado a control y verificaciones interna
No se debe abundar en detalles solo deberá brindar información suficiente a la dirección y a los auditores
como para poder efectuar un primer análisis de sistema y tomar decisiones en cuanto a si prosecución o no
Propuesta:
• Búsqueda de elementos que se hayan pasado por alto y verificación de los que se hayan incluido
• Análisis del control interno del sistema y sus evidencias auditables incluyendo las fases
administrativas
• Estudio de las propuestas de control y resultados y de que la valorización se haga del activo y del
pasivo va a ser adecuada
19
• Comprobación de la eficacia del sistema contemplando especial mente la emisión de la
información de gestión
• Estudio de la calidad de gestión del desarrollo del proyecto incluyendo la observación de los
estándares
• Análisis de las ayudas de auditoria que se facilitan incluyendo las pistas auditables, los listados de
rutina y los especiales, ayuda de consulta y distintos registros
• Estudio de la eficiencia del sistema propuesto
• En la auditoria informática en el desarrollo de sistemas. Define el objetivo y los puntos a verificar durante
la AI de la propuesta y la implemetanción
Idem propuesta detallada
La AI deberá asegurar
• En cada etapa se inscriben en el sistema unos procedimientos de control adecuados y que ciertas cifras
de control pueden verificarse de modo general independientemente del sistema mecanizado
• La evidencia auditable que deja el sistema es suficiente para perseguir errores y corregirlos asÃ−
como para que los auditores realicen su labor
• Se practica una división de funciones y responsabilidad en la medida que se pueda
la salida del sistema verifica antes de distribuirla, y que el tratamiento que se de a la información
confidencial sea el adecuado
• Los procedimientos de salida llevan incorporados sistemas correctivos de validación y detección de
errores y que van a imprimirse y no a las prioridades del computador
• El diseño de los datos de salida puede adaptarse a las modificaciones que vayan surgiendo
(flexibilidad)
• Se ejerce un control adecuado sobre los formularios especiales o negociables.
• Los registros de las transacciones de entrelazan suficientemente con su información original y de
control
• Los controles de entrada son adecuados y que se van a mantener actualizados
• Si se ha previsto un control adecuado de la entrada de datos on line y si la seguridad de los enlaces on
-line es eficaz y el equipo esta suficientemente protegido
• Existe autoridad suficiente para el movimiento y procesamiento de la información
• Existe una reconciliación independiente de las cifras de control de los datos de entrada y que las
discrepancias se anejan satisfactoriamente y de forma autorizadas
• Los informes sobre errores se reciben en el punto mas adelantado posible que existe un control para
asegurares de que se corrigen y que los métodos de corrección disponen de las protecciones
necesarias
• Cuando exista entrada de datos on-line el sistema impedirá eficazmente que los usuarios accedan al
sw de aplicación o de utilitarios o que utilicen datos no autorizados
• Los formularios y diseños de entrada resultan adecuados a los usuarios asÃ− como las condiciones
en las que se van a utilizar
• Si la documentación de todos los archivos magnéticos obedece a los estándares adecuados si la
reorganización y el diseño de los ficheros es razonable y admite consultas y si se utiliza
diccionario de datos que este definido con claridad
• Si se ha tenido en cuenta la necesidad de modificaciones y desarrollo al diseñar los archivos
• Si todos los archivos están sometidos a controles adecuados y si la cobertura de dichos controles es
razonables
• Si los totales de control se imprimen habitualmente y se comparan con cifras calculadas
independientemente
20
• Si se mantienen registros de las operaciones online
• Seguridad
• Formación del personal
• Si la estructura se adapta a las modificaciones
• Si quedan evidencias auditables
• Idem durante la AI de los programas y la prueba
Objetivo : realizar las comprobaciones sobre los sistemas y comentar con los programadores
Puntos a comprobar
• Existen procedimientos de gestión adecuados para controlar programas y pruebas y que en esos
procedimientos hay verificaciones y controles adecuados
• Existan una relación correcta entre los analistas los programadores que participan en el desarrollo
• Se controlan y verifican las pruebas de los programas
• Las modificaciones que se efectúan en el sistema durante la programación por la razón que fuese
se registren debidamente y se añadan a la documentación
• Los programas en desarrollo se mantienen en todo momento separados de los operativos
• Las pruebas de los programas se realizan aparte y además de las de los subsistemas
• En la auditoria informática en el desarrollo de sistemas. Define el objetivo y los momentos en los que
puede efecutarse la aud inf de desarrollo
La auditoria debe garantizar que se cumplan con todas las etapas y requerimientos del plan de sistemas y la
metodologÃ−a en uso para la definición de los objetivos del nuevo sistema sus limites (alcance) su
planeación y posterior desarrollo
Obj y puntos a verificar:
• Examinar la metodologÃ−a de construcción en uso, o en su defecto aconsejar la implementacion de
una metodologÃ−a
• Revisar la definición de los objetivos del sistema, analizando si se cumple las necesidades de los
usuarios
• Explotando la potencia del ordenador y mejorando la eficiencia del trabajo de los usuarios
• Verificar si el control y la planificación del proyecto es el adecuado asÃ− como el control que se
ejerce durante el desarrollo del proyecto
• Verificar que el sistema de control de datos es adecuado
• Si las verificaciones internas proporcionan los procedimientos y disposiciones del sistema son
satisfactorios
• Si el control de los formularios es adecuado
• Si los manuales que se producen son suficientes si proporcionan la información adecuada a las
personas
• Se es adecuada la separación d funciones entre las áreas administrativas y mecanizadas del sistema
• Si se van a asegurar la confiabilidad y la continuidad del sistema, asÃ− como la salvaguarda de
activos y datos
• Examinar la lista de los problemas a resolver por el sistema, dictaminando sobre la prioridad y
razonabilidad de solución de estos
• Verificar los medios dispuestos para el desarrollo del sistema
• Comprobar el plan de tareas y previsión de dificultades
• Revisar el estudio económico de costos
• Evaluar los métodos de recopilación de datos
21
• Analizar los medios de seguridad con que se va a dotar al sistema
• Analizar las insuficiencias que haya que estudiar con especial atención durante la auditoria normal u
el impacto que va a producir el sistema sobre procedimientos futuros de auditoria
• Si son eficientes las disposiciones que se han tomado para el desarrollo y ejecución del sistema
Momento para efectuar la aud de desarrollo
Existen varios puntos de vista, si se hacen cuando están realizando dicho desarrollo deberán tener buenas
oportunidades de que las modificaciones que se sugieran puedan incorporarse al sistema de forma oportuna y
económica
AsÃ− pues el estudio se hace antes de que el sistema entre en funcionamiento, por lo que muchas
evaluaciones pueden resultar teóricas
Por otro lado las pautas de diseño suelen variar substancialmente durante el proceso de desarrollo y se corre
el riesgo de perder el tiempo de los AI haciéndoles analizar ideas que quizás no lleguen a desarrollarse
Por eso muchos auditores prefieren estudiar al sistema un poco después de que haya entrado en
funcionamiento
• En la auditoria informática en el desarrollo de sistemas. Define el objetivo y los puntos a verificar durante
la Aud Inf de la propuesta detallada
La propuesta detallada es un documento mas preciso que la propuesta general.
Brinda mas detalles sobre las variaciones y particularidades del esquema general de actividades y contempla
los procedimientos mecanizados y los administrativos
Se deberá analizar.
• El impacto general de la propuesta y la justificación detallada del sistema
• Los procedimientos administrativos sus especificaciones y la planificación de tiempos
• Los procedimientos mecanizados sus especificaciones y planificación de tiempos
• Propuesta de planificación de la implementación
• La calidad de las comprobaciones internas, la separación de funciones y la factibilidad del control se
han mantenido en un nivel aceptable
• Ahora deberán solucionarse los puntos débiles o tenerse en cuenta para planificar futuras
auditorias
• Si se ha adoptado al sistema de estándares adecuados de control y de necesidades de auditoria y
gestión
En cuanto a las especificaciones no informáticas:
• Si los formularios y procedimientos propuestos van a recolectar los datos adecuados, garantizar la
autorealización necesaria y el control en todo el sistema
• Si son apropiadas las actividades administrativas y si son competencia del personal correspondiente
• Si se han previsto los volúmenes y tenido en cuenta los picos de trabajo y la dotación del personal
• Si esta claro como hay que utilizar los formularios y si los mismos cumplen las normas de auditoria
para un nivel de control razonable
• Quien autoriza y quien controla las correcciones de errores o de otros fallos
• Idem enumere algunos tipos de auditoria durante el desarrollo de sistemas y explique brevemente
22
• Auditoria de comienzo de desarrollo de sistemas: se deberá tomar contacto con las propuestas
nuevas analizar los elementos de gestión y de control, tomar contacto con los proyectos y de
documentación que haya establecido la dirección del proyecto. Deberá tener en cuenta:
• Si existen controles de gestión adecuados en todas las etapas del proyecto
• Si el director de proyecto posee suficiente autoridad para supervisar eficazmente el desarrollo
• Si existe una programación adecuada del proyecto con etapas recursos y tiempos
• Si están especificados los alcances del proyecto so es el adecuado y si han sido aceptados por todos
los responsables del proyecto y áreas involucradas
• A. De la propuesta de mecanización:
La propuesta de mecanización define las pautas de los nuevos sistema y una vez aceptada se emprenderÃ−a
el nuevo trabajo de diseño y programación
El auditor deberá asegurarse de que son adecuados los principios básicos de diseño en todo lo
relacionado a control y verificaciones interna
No se debe abundar en detalles solo deberá brindar información suficiente a la dirección y a los auditores
como para poder efectuar un primer análisis de sistema y tomar decisiones en cuanto a si prosecución o no
• A de la propuesta detallada
La propuesta detallada es un documento mas preciso que la propuesta general.
Brinda mas detalles sobre las variaciones y particularidades del esquema general de actividades y contempla
los procedimientos mecanizados y los administrativos
• De los prog y pruebas: verificaciones, comentarios que se hablaran con los programadores sobre el
trabajo real de los mismos. Controles sobre pruebas y programas. Relaciones entre
• Del aprovisionamiento del sistema y planificación de la implementación
Aprovisionamiento de las personas, equipos formularios y normativas para el adecuado funcionamiento de los
sistemas y sus resultados. Asegurar la ejecución en tiempo de las operaciones para satisfacer las necesidades
de información
• De la documentación y manuales de usuario y operación del sistema
Con los sistemas ya operativos debe elaborarse una biblioteca con la documentación, copias autorizadas
indicando lo que se hizo. Manuales para distintos tipos de personas (administradores, bibliotecarios,
administrativos, operadores) según estándares y normas.
• De la conversión de archivos
Prepara archivos magnéticos que se convertirá al formato del nuevo medio. Se debe planificar, validar la
carga a los nuevos archivos, probar los prog utilizados para la conversión, personal capacitado, completo
control en los periodos de carga de los nuevos archivos, identificación de errores y su tratamiento
• De las pruebas del sistema
Los programadores enlazan sus programas para formar un subsistema que se probara para garantizar su
cometido. Los datos de prueba deben reflejar todas las variantes y errores, comprobar resultados reales y
previstos, demostrar que el sistema hace lo que deberÃ−a hacer, verificar que los datos de prueba no sean
corruptos
23
• De la implantación
Se efectúa un paralelo con pruebas de la realidad es una ampliación de la etapa de prueba. Comprobar la
calidad de las verificaciones, causas de errores, correcciones y modificaciones
• De la continuidad del sistema
Los sistemas deben ser capaces de funcionar en todo momento, cualquier tipo de problemas tal vez retrase o
haga más lenta la operación pero el sistema debe continuar funcionando.
Controlar los procedimientos alternativos, retorno al trabajo normal, copias de seguridad, instrucciones,
recuperación, etc.
• Seguridad en los sistemas informáticos que son los controles correctivos, que caracterÃ−sticas tienen, de
ej.
Definición de control
Control es la capacidad de ejercer o dirigir una influencia sobre una situación dada o un hecho. Algunos
controles son pasivos en naturaleza otros son activos esto es, que algunos no requieren reglamentación antes
de tomar una acción ya planeada
Ej. de control el uso de paswords
Los controles correctivos determinan una acción correctiva para el agente causal (tercer grupo)
Generalmente aparecen con los controles de detección para impedir que ocurran mas errores
Muchos controles correctivos son del tipo de gestión, o sea, que requieren principios establecidos,
procedimientos y programas para ejecutarlos
CaracterÃ−sticas
• Toman medidas para resolver un problema
• Recomponen para volver a procesar
• Son costosos
Costo: cada vez que los controles y exposiciones están determinados y valorados, la dirección decidirá la
cantidad de dinero disponible para el control contra el riesgo que están dispuestos a aceptar
El costo de un sistema de seguridad de datos es el costo de los controles necesarios para limitar la exposición
Seguridad es la protección de los datos de la revelación no autorizada, modificación y/o destrucción
(accidental o intencional).
Es beneficioso desarrollar un plan para el conocimiento de los elementos en seguridad de datos, antes de
planear, diseñar o analizar cualquier sistema de información
• Seguridad de los sistemas informáticos que son los controles preventivos, caract, ej.
Ofrecen una primera barrera contra las corrupciones que puedan ocurrirle a un dato y que tiene las siguientes
caracterÃ−sticas
24
Son pasivos (no requieren retroalimentación, por ejemplo cuando se desactivan las terminales por un tiempo
Solo examinan un cierto porcentaje de violaciones
Reducen la frecuencia de amenazas (un control preventivo puede ser auditoria, antecedentes del personal,
detectores de incendios, vidrios irrompibles y generalmente son económicos)
• Seguridad en los sistemas informáticos que son los controles detectivos, caracterÃ−sticas, ejemplos
Ofrecen una segunda lÃ−nea de defensa, actúan después del hecho y están diseñados para detectar la
presencia de un agente causal y son pocos eficaces por si mismos ya que anotan un incidente, que si no es
tomada una acción correctiva, e3l riesgo de exposición continua.
CaracterÃ−sticas
Dispara una alarma
Registran la incidencia de amenazas
Alertan al personal
Someten a prueba la operación del control preventivo
• Seguridad en los sistemas informáticos, que propiedades deben tener un sistema para garantizar un nivel
aceptable de riesgo
• Integridad : el sistema deberÃ−a hacer los que se supone que debe hacer
• El sistema deberÃ−a poseer todos los elementos de información completa en su totalidad
• Auditabilidad: permite a un auditor verificar su actividad con facilidad relativa en cualquier momento
• Controlabilidad: permite a la dirección ejercer su influencia ordenada o restringida sobre su uso, su
comportamiento o su contenido
Seguridad....que es la exposición de datos, cuales son las básicos, de ejemplos
Es el resultado o las consecuencias par a los datos de acciones adversas o sucesos. Hay un sin fin de causales
y de cosas que pueden ocurrirles a los datos ejemplos:
• Una revelación accidental: distribuir un listado a un lugar donde no deberÃ−a ir, transmitir datos a
una terminal equivocada
• Una modificación accidental que puede darse por un mal funcionamiento del hw o sw
• Una destrucción accidental: se cayo el pack de discos y se rompió
• Revelación intencional vender información
• Modificación intencional
• Destrucción intencional robo, sabotaje
Seguridad en los sistemas .... que significa limitar el riesgo de los datos, como se puede lograr limitar el riesgo
La clave para la seguridad de los datos depende de nuestra capacidad para limitar los riesgos, no al extremo de
hacer inaccesible y no operativo al sistema, aunque cualquier sistema que sea accesible también es un
riesgo
Uno de los mecanismos para limitar el riesgo es limitar los datos. La mejor manera de servir al usuario es
25
darle lo que necesita. Para eso, hay que educar al usuario en cuanto al beneficio de la protección y seguridad
de los datos
Otro elemento par evitar el riesgo es el dominio del control, es decir, so las áreas pueden ser controladas
Otro elemento a asignar responsabilidad individual para cada actividad que ocurre en el entorno del sistema y
disponer de un registro de problemas
• Seg...que es la exposición de los datos, como se elimina el riesgo de las exposiciones de datos
Idem anterior
• Segu....que es el SAFE, que pasos o puntos de control define el SAFE en un proceso de información
acerca de los sistemas
Los puntos de control nos sirven para ayudar a la identificación y definición de las necesidades de control
Definimos al Safe como la metodologÃ−a que ideo IBM para determinar todos los puntos de control de datos
• Reunión de los datos
• Movimiento de entrada de datos
• Conversión de esos datos
• Comunicación de datos de entrada
• Recepción de los datos
• Proceso de esos datos
• Preparación de los datos de salida
• Movimientos de salida de datos
• Comunicación de datos de salida
• Utilización de los datos
• Disponibilidad de los datos
• Seg.... que es la seguridad de los datos, que debe definir la alta dirección para elaborar la polÃ−tica de
seguridad de los datos de la organización
Establece las responsabilidades de seguridad par ala generación, manipulación, servicio y uso de la
información.
la polÃ−tica debe ser apoyada por normas, reglamentos y procedimientos que deben establecer la dirección
en cuanto a planes, nos podemos referir al
• plan de registros vitales,
• plan de control de accesos (fÃ−sicos o lógicos)
• plan de rpta de emergencia(cuando hay perdida de capacidad)
• plan de tratamiento interno(como mantener la inf con esa perdida de capacidad)
• plan de restauración para volver a su capacidad normal
en cuanto a programas ejemplo
• un programa de clasificación de los datos (seguridad y costo de datos)
• un programa de asignación de riesgos fijar la responsabilidad de cada riesgo
26
• Explique la metodologÃ−a de matrices de control. Elabore un ej. con: Matriz de comunicaciones de datos
..Recurso/activos . Modems
Controles.
• Usar una transmisión digital de datos, debido a que tiene una tasa menor de errores que la
transmisión analógica
• Revisar el contrato de mantenimiento y el tiempo medio de servicio acordados con el proveedor con
el objeto de obtener una cifra de control constante para ser usada en todo el equipo de comunicaciones
de datos
• Transmitir los mensajes con prontitud para reducir el riesgo de la perdida
• Hacer saber la buena o mala recepción de los mensajes
• Considerar el llevar un registro de los mensajes que llegan y salen a lugares remotos
• Ver al tiempo de registrar los que cada mensaje interno o externo vaya numerado en serie asÃ− como
que lleve estampados la hora y la fecha
• Con respecto a la seguridad de los datos, considerar el criptografiar todos los mensajes transmitidos
• Establecer si hay una polÃ−tica para el uso del equipo de prueba
• Explique la metodologÃ−a de .... Recurso/exposición: la seguridad de la computadora
• Salvar una copia de la bitácora de la consola de la computadora y de la bitácora de salida del
sistema para una revisión posterior. Estas dos bitácoras pueden servir como un camino de auditoria
en relación a lo que fue alimentado a la computadora y acerca de las diversas ordenes del operador
• Asegurar que haya un plan para las operaciones de procesos de datos en caso de un desastre total
• Fortalecer continuamente la integridad de individuos a través de la educación y el entrenamiento.
Esto se puede hacer mejor por medio de la educación continua de los individuos en las áreas de la
seguridad y eficiencia
• Conducir un análisis de riesgo para identificar programas crÃ−ticos y controlar fuertemente estos
programas o sistemas
• Asegurar que haya una especie de reporte de utilización de maquinas para identificar al menos el
trabajo que se este corriendo al operador de la computadora presente, si fue o no llamado el
programador, el tiempo usado de computadora y condiciones usadas durante la corrida
• Revisar los organigramas para asegurar que la organización es funcional y que puede operar
exitosamente dentro de los confines de la organización
• Asegurar que existe una documentación adecuada para todos los sistemas y programas
• Asegurar que haya polÃ−ticas escritas respecto a los accesos de cada persona
• Control de datos concierne a /expuesto a seguridad/robo
• Identificar cada mensaje por una clave individual de usuario, por la terminal y por el número de
secuencia de mensaje
• Utilizar controles de seguridad fÃ−sica a través del circuito de comunicación de datos: usos de
cerradura, guardias, insignias, sensores, alarmas, y medidas de administración para proteger los
servicios fÃ−sicos, los circuitos de comunicación de datos
• Considerar los siguientes controles especiales en módem que tengan marcados telefónicos y cuando
el circuito de comunicación de datos permita conexiones usando un disco marcador de tipo
telefónico
• Verificar la configuración de la lista de prioridades de cada terminal
• Asegurarse de que en los lugares remotos haya una protección adecuada especialmente para las
terminales, concentradores multiplexores y procesadores frontales
• Asegurarse que los equipos realicen verificaciones de identificación electrónicas de las terminales
27
• Control de datos Riesgo/exposición ERRORES
Ejemplo de la matriz de comunicación de datos para el recurso software: identificar las opciones de
omisión contenidas en el sw y su impacto si no se operan apropiadamente
Para la matriz de programas /procesos
Recurso programas: hacer que el programa recalcule los diversos totales contables o financieros significativos
y los retransmita a la estación original
Verificar el nro. de secuencia de los programas.
Verificar la cantidad de transacciones con el sistema central y las estaciones remotas.
• Concierne a/exposición: privacia
Recurso terminal /inteligencia distribuida: identificar cada mensaje por una clave individual de usuario por la
terminal y por el nro. de secuencia del mensaje
• Control de datos . que son los controles programados de los datos , enumere los distintos tipos de ej.
Los controles de validaciones programadas son rutinas que se escriben en los programas para verificar el
proceso de los datos. El hecho de que los datos hayan sido validados no impide que se vuelvan a verificar en
otras etapas.
Las validaciones pueden tener lugar en las etapas siguientes
• Mientras los datos se están utilizando fuera del sistema mecanizado. O con equipos especializados o
con procesamiento distribuido (tiene la ventaja de que los errores se descubren muy cerca de su origen
y cuando aún existe documentación sobre los datos) Las correcciones se hacen con rapidez y con
bajo costo antes de que los errores afecten a otros registros
• Mientras se preparan los datos
• Durante pasadas de consistencia en el ordenador
• Durante pasadas actualización en el ordenador
• Durante los controles de salida
• Control de datos. los datos pasan de la parte manual a la mecanizada por el área de control de datos , cual
es la misión de esta área y que debe verificar el auditor informático.
Cuando los datos pasan de la parte manual de la empresa a la parte mecanizada, lo hacen normalmente por la
sección de control de datos:
La misión de esta sección será generalmente:
• Preparar una programación del flujo de datos a lo largo del sistema
• Registrar los lotes u otros datos de control de flujo de datos a lo largo del sistema
• Controlar el flujo de trabajos que entra y que sale de las secciones de preparación de trabajos
• Ejercer el control de procedimientos sobre el proceso de datos
• Mantener un registro maestro de los errores detectados en los datos de procedimientos de validación
y asegurarse de que tales errores se eliminan
• Comprobar las cifras de control de todas las pasadas en el computador, comparándolas con los datos
que se prepararon en la sección de control
28
• Los lotes de entrada al computador incluirán
• Identificación del lote
• Enlace del lote al proceso que lo vaya a tratar
• Proporcione datos de control adecuados
• Que indique que se han cumplido todos los procedimientos que se hayan especificados
• El control de los datos es para que solo pasen por los canales que corresponden, esto mejora la
seguridad del proceso porque es más probable que los datos que se estén manejando sean
correctos y hayan sido autorizados
• Se pueden establecer canales autorizados para los datos y exigir que los destinatarios verifiquen el
origen para ver si es valido
• Para ello es necesario que dicho origen pueda identificarse y que ciertos tipos de datos solo puedan
venir de determinadas secciones o personas
• La sección de control verificara si son correctos los canales de datos que entran al computador
• Uno de los cometidos de tal sistema seria mantener separados los datos que estuviesen relacionados,
de forma tal que no pudieran conectarse entre si hasta que estuviesen en la etapa de proceso y asÃ− el
control de flujo de datos pasarÃ−a a ser un tipo de control interno
• La sección de control de datos deberá llevar a cabo la operación de los controles de proceso. Los
valores totales de la información que se va a utilizar se tomaran de los registros de control de
empleados y esto se cotejaran con lo que calcule la computadora, que deberÃ−an imprimirse al final
de cada pasada
• No se permitirá que los datos pasen de un proceso a otro hasta que la sección de control de datos
no haya aceptado
• La tarea del auditor informático es asegurar que exista un nivel adecuado de control de datos en
general y de que el sistema es fiable. Esto significa que debe señalar los problemas y llegar a una
conclusión de control adecuado
29
Descargar