1. 1
METODOS DE AUDITORIA
Papel Del Auditor Informático.
Si se entiende que la auditoria informática comprende las tareas de evaluar, analizar los procesos
informáticos, el papel de auditor debe estar encaminado hacia la búsqueda de problemas existentes
dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas. Además que el
auditor Informático debe estar capacitado en los siguientes aspectos:
Deberá ver cuándo se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la
empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema
y del estudio de las soluciones más idóneas, según los problemas detectados en el sistema informático,
siempre y cuando las soluciones que se adopten no violen la ley ni los principios éticos.
Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los requisitos mínimos,
aconsejables y óptimos para su adecuación con la finalidad de que cumpla para lo que fue diseñado,
determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones, posibles mejoras, costos.
El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas,
dañina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificaciones
carentes de bases científicas insuficientemente probadas o de imprevisible futuro.
El auditor al igual que otros profesionales (Ej. Médicos, abogados, educadores, etc.) pueden incidir en la
toma de decisiones en la mayoría de sus clientes con un elevado grado de autonomía, dado la dificultad
práctica de los mismos, de constatar su capacidad profesional y en desequilibrio de desconocimientos
técnicos existente entre al auditor y los auditados (Puede pesar gravemente).
El auditor deberá prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su
alcance con absoluta libertad, respecto a la utilización de dichos medios y en unas condiciones técnicas
adecuadas para el idóneo cumplimiento de su labor. En los casos en que precariedad de los medios
puestos a su disposición, impidan o dificulten seriamente la realización de la auditoria deberá negarse
realizar hasta que se le garantice un mínimo de condiciones técnicas que no comprometan la calidad de
sus servicios o dictámenes.
Cuando durante la ejecución de la auditoria, el auditor considere conveniente recabar informe de otros
más calificados, sobre un aspecto o incidencia que superase su capacidad profesional para analizarlo en
idóneas condiciones deberá remitir el mismo a un especialista en la materia o recabar su dictamen para
reforzar la calidad y viabilidad global de la auditoria. El auditor debe actuar con cierto grado de humildad
evitando dar la impresión de estar al corriente de una información privilegiada sobre nuevas tecnologías
a fin de actuar en de previsiones rectas y un porcentaje de riesgo debidamente fundamentado. El auditor
tanto en sus relaciones con el auditado como con terceras personas deberá en todo momento, deberá
actuar conforme a las normas implícitas o explícitas de dignidad de la profesión y de corrección en el
trato personal. (Que en todo momento, como cuando estamos en el bar, cafetería, o fiesta por que los
auditores tienen la responsabilidad). El auditor deberá facilitar e incrementar la confianza de auditado en
base a una actuación de transparencia, en su actividad profesional sin alardes científico- técnico, que,
por su incomprensión, pueden restar credibilidad a los resultados obtenidos y a las directrices
aconsejadas.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
2. 2
Tipos de Auditoria Informática.
Auditoria Informática De Explotación: La explotación informática se ocupa de producir resultados, tales
como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos,
etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y
se someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirven
los datos, pero pueden que no sirvan; estos dos juntos realizan una información buena)
Auditoria Informática De Desarrollo De Proyectos O Aplicaciones: La función de desarrollo es una
evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tener
las siguientes fases:
Prerrequisitos del usuario y del entorno
Análisis funcional
Diseño
Análisis orgánico (pre programación y programación)
Pruebas
Explotación
Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden
producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la auditoria
deberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado
por la máquina, los resultados sean exactamente los previstos y no otros (El nivel organizativo es medio
por los usuarios, se da cuenta el administrador Ej. La contabilidad debe estar cuadrada)
Auditoria Informática De Sistemas: Se ocupa de analizar la actividad que se conoce como técnica de
sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las
comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunque
formen parte del entorno general del sistema (Ej. De auditar el cableado estructurado, ancho de banda
de una red LAN)
Auditoria Informática De Comunicación Y Redes: Este tipo de auditoría deberá inquirir o actuar sobre los
índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá
conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer
cuantas líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición de
inoperatividad informática. Todas estas actividades deben estar coordinadas y dependientes de una sola
organización (Debemos conocer los tipos de mapas actuales y anteriores, como son las líneas, el ancho
de banda, suponer que todas las líneas están mal, la suposición mala confirmarlo).
Auditoria De La Seguridad Informática: Se debe tener presente la cantidad de información almacenada
en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las
empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los
robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe
también cuidar la información de los virus informáticos, los cuales permanecen ocultos y dañan
sistemáticamente los datos.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
3. 3
Campos de Acción de la Auditoria Informática.
Su campo de acción será:
a) Evaluación administrativa del área de informática.
1. Los objetivos del área
2. Metas, planes, políticas y procedimientos de procesos electrónicos estándar.
3. Organización del área y su estructura orgánica.
4. Funciones, niveles de autoridad y responsabilidad del área de sistemas.
5. Integración de los recursos materiales y técnicos
6. Costos y controles presupuestales
7. Controles administrativos del área
b) Evaluación de los sistemas, procedimientos, y de la eficiencia que se tiene en el uso de la información.
1. Análisis de los sistemas y sus diferentes etapas.
2. Evaluación del diseño lógico del sistema.
3. Evaluación del desarrollo físico del sistema
4. Control de proyectos
5. Control de sistemas y programación
6. Instructivos y documentación
7. Formas de implantación
8. Seguridad lógica y física de los sistemas y sus datos.
9. Confidencialidad de los sistemas
10. Controles de mantenimiento y forma de respaldo de los sistemas.
11. Utilización de los sistemas.
c) Evaluación del proceso de datos y de los equipos de procesamiento.
1. Controles de los datos fuentes y manejo de cifras de control
2. Control de operación
3. Control de salida
4. Control de asignación de trabajos
5. Control de asignación de medios de almacenamiento masivos
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
4. 4
6. Control de otros elementos de cómputo
7. Orden en el Centro de Procesamiento.
8. Seguridad física y lógica.
9. Respaldos.
Planeación de la Auditoria Informática.
La definición de los objetivos perseguidos en la auditoria informática debe preceder a la elección
de los medios y de las acciones, si se pretende evitar el predominio de estos últimos.
Para lograr un buena planeación es conveniente primero obtener información general sobre la
organización y sobre la función informática a evaluar. Para ello es preciso una investigación preliminar
y algunas entrevistas previas, para establecer un programa de trabajo en el que se incluirá el tiempo,
costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la AI.
Investigación Preliminar
Se debe recopilar información para obtener una visión general del área a auditar por medio de
observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el
objetivo y alcance del estudio, así como el programa detallado de la investigación.
La planeación de la auditoría debe señalar en forma detallada el alcance y dirección esperados y
debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones
inesperadas que ocasionen modificaciones al plan general, sean justificadas por escrito.
Se debe hacer una investigación preliminar solicitando y revisando la información de cada una de
las áreas de la organización.
Para poder analizar y dimensionar la estructura por auditar se debe solicitar:
1- A nivel Organización Total:
a) Objetivos a corto y largo plazo
b) Manual de la Organización
c) Antecedentes o historia del Organismo
d) Políticas generales
2- A nivel Área informática:
a) Objetivos a corto y largo plazo
b) Manual de organización del área que incluya puestos, niveles jerárquicos y tramos de
mando.
c) Manual de políticas, reglamentos internos y lineamientos generales.
d) Número de personas y puestos en el área
e) Procedimientos administrativos en el área.
f) Presupuestos y costos del área.
3- Recursos materiales y técnicos
a) Solicitar documentos sobre los equipos, número (de los equipos por instalados, por
instalar y programados), localización y características.
b) Fechas de instalación de los equipos y planes de instalación.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
5. 5
c) Contratos vigentes de compra, renta y servicio de mantenimiento.
d) Contrato de seguros
e) Convenios que se mantienen con otras instalaciones
f) Configuración de los equipos, capacidades actuales y máximas.
g) Planes de expansión
h) Ubicación general de los equipos
i) Políticas de operación
j) Políticas de uso o de equipos
4- Sistemas
a) Manual de formularios.
b) Manual de procedimientos de los sistemas
c) Descripción genérica
d) Diagrama de entrada, archivo y salida.
e) Salidas impresas
f) Fecha de instalación de los sistemas
g) Proyectos de instalación de nuevos sistemas.
COMENTARIOS:
En el momento de planear la AI – auditoria informática - (o bien cuando se está efectuando)
debemos evaluar que pueden presentarse las siguientes situaciones:
a) Se solicita información y se ve que:
No se tiene y SE necesita
No se tiene y NO se necesita
b) Se tiene la información pero:
No se usa
Es incompleta
No está actualizada
No es la adecuada
c) Se usa, esta actualizada, es la adecuada y está completa
a1) En el caso de que no se disponga de la información y se considere que no se necesita para la
AI, se debe evaluar la causa por la que no es necesaria. (este parámetro nos servirá para la
planeación de la auditoria)
a2) En el caso de que no se tenga la información pero que la misma sea necesaria para la AI, se
debe recomendar que se elabore de acuerdo a las necesidades y al uso que se le va a dar.
b) en el caso de que se tenga la información pero no se use, se debe analizar porque no se usa: es
incompleta, no está actualizada, no sea la adecuada, etc.
Como resultado de los trabajos preliminares se debe explicitar:
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
6. 6
objetivo
alcance
limitaciones y colaboración necesarias
grado de responsabilidad
Informes que se entregaran
Etapas de la Metodología Informática.
El método de trabajo del auditor pasa por las siguientes etapas:
Alcance y Objetivos de la Auditoría Informática
Estudio inicial del entorno auditable
Determinación de los recursos necesarios para realizar la auditoría
Elaboración del plan y de los Programas de Trabajo
Actividades propiamente dichas de la auditoría
Confección y redacción del Informe Final
Redacción de la Carta de Introducción o Carta de Presentación del Informe final
Fase 1: Definición de Alcance y Objetivos
El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre
auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones
de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.
Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los
que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las
metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los objetivos generales y
comunes de a toda auditoría Informática: La operatividad de los Sistemas y los Controles Generales de
Gestión Informática.
Fase 2: Estudio Inicial
Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática.
Para su realización el auditor debe conocer lo siguiente:
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
7. 7
Organización:
Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental.
Para realizar esto en auditor deberá fijarse en:
1)Organigrama: El organigrama expresa la estructura oficial de la organización a auditar.
Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal
circunstancia.
2) Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente a la
Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos.
3) Relaciones Jerárquicas y funcionales entre órganos de la Organización:
El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el
organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes.
Las de Jerarquía implican la correspondiente subordinación. Las funcionales por el contrario, indican
relaciones no estrictamente subordinables.
4) Flujos de Información: Además de las corrientes verticales intradepartamentales, la estructura
organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas
extradepartamentales.
Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión,
siempre y cuando tales corrientes no distorsionen el propio organigrama.
En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin los
cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen porque hay
pequeños o grandes fallos en la estructura y en el organigrama que los representa.
Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales o simple
comodidad. Estos flujos de información son indeseables y producen graves perturbaciones en la
organización.
5) Números de Puesto de Trabajo: El equipo auditor comprobará que los nombres de los Puesto de los
Puestos de Trabajo de la organización corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de
funciones operativas redundantes.
Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal
circunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes.
6) Números de Personas por Puestos de Trabajo: Es un parámetro que los auditores informáticos deben
considerar. La inadecuación del personal determina que el número de personas que realizan las mismas
funciones rara vez coincida con la estructura oficial de la organización.
Fase 3: Entorno Operacional
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
8. 8
El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a
desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:
a. Situación geográfica de los Sistemas:
Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la
empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así
como el uso de los mismos estándares de trabajo.
b. Arquitectura y configuración de Hardware y Software:
Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos,
ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración
de los sistemas esta muy ligada a las políticas de seguridad lógica de las compañías.
Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de
los equipos.
c. Inventario de Hardware y Software:
El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de
la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remotas,
periféricos de todo tipo, etc.
El inventario de software debe contener todos los productos lógicos del Sistema, desde el
software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele
ser habitual clasificarlos en facturables y no facturables.
d. Comunicación y Redes de Comunicación:
En el estudio inicial los auditores dispondrán del número, situación y características principales
de las líneas, así como de los accesos a la red pública de comunicaciones.
Igualmente, poseerán información de las Redes Locales de la Empresa.
Aplicaciones bases de datos y ficheros
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los
procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente:
a. Volumen, antigüedad y complejidad de las Aplicaciones
b. Metodología del Diseño
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
9. 9
Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las
aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de manifiesto.
c. Documentación
La existencia de una adecuada documentación de las aplicaciones proporciona beneficios
tangibles e inmediatos muy importantes.
La documentación de programas disminuye gravemente el mantenimiento de los mismos.
d. Cantidad y complejidad de Bases de Datos y Ficheros.
El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas
en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta
operación se repetirá con los ficheros, así como la frecuencia de actualizaciones de los mismos.
Estos datos proporcionan una visión aceptable de las características de la carga informática.
Fase 4: Determinación de recursos de la Auditoría Informática
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y
materiales que han de emplearse en la auditoría.
- Recursos humanos
- Recursos materiales
Recursos materiales
Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el
cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema
auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
a. Recursos materiales Software
Programas propios de la auditoría: Son muy potentes y Flexibles. Habitualmente se añaden a las
ejecuciones de los procesos del cliente para verificarlos.
Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de
Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.
b. Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de
control deben efectuarse necesariamente en las Computadoras del auditado.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
10. 10
Para lo cuál habrá de convenir el, tiempo de máquina, espacio de disco, impresoras ocupadas, etc.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las características y perfiles del
personal seleccionado depende de la materia auditable.
Es igualmente señalable que la auditoría en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia multidisciplinaria.
Perfiles Profesionales de los auditores informáticos
Profesión Actividades y conocimientos deseables
Informático en general Con experiencia amplia en ramas distintas. Es deseable
que su labor se haya desarrollado en Explotación y en
Desarrollo de Proyectos. Conocedor de Sistemas.
Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos.
Experto analista. Conocedor de las metodologías de
Desarrollo más importantes.
Técnico de Sistemas Experto en Sistemas Operativos y Software Básico.
Conocedor de los productos equivalentes en el
mercado. Amplios conocimientos de Explotación.
Experto en Bases de Datos y Con experiencia en el mantenimiento de Bases de
Administración de las mismas. Datos. Conocimiento de productos compatibles y
equivalentes. Buenos conocimientos de explotación
Experto en Software de Comunicación Alta especialización dentro de la técnica de sistemas.
Conocimientos profundos de redes. Muy experto en
Subsistemas de teleproceso.
Experto en Explotación y Gestión de Responsable de algún Centro de Computos. Amplia
CPD´S experiencia en Automatización de trabajos. Experto en
relaciones humanas. Buenos conocimientos de los
sistemas.
Técnico de Organización Experto organizador y coordinador. Especialista en el
análisis de flujos de información.
Técnico de evaluación de Costes Economista con conocimiento de Informática. Gestión
de costes.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
11. 11
Elaboración del Plan y de los programas de trabajo
Una vez asignados los recursos, el responsable de la auditoría y sus colaboradores establecen un
plan de trabajo. Decidido éste, se procede a la programación del mismo.
El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:
a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración
es más compleja y costosa.
b) Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no solamente el
número de auditores necesarios, sino las especialidades necesarias del personal.
En el Plan no se consideran calendarios, porque se manejan recursos genéricos y no específicos
En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios
En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las
prioridades del cliente.
El Plan establece disponibilidad futura de los recursos durante la revisión.
El Plan estructura las tareas a realizar por cada integrante del grupo.
En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.
Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo
suficientemente como para permitir modificaciones a lo largo del proyecto.
Fase 5: Actividades de la Auditoría Informática
Auditoría por temas generales o por áreas específicas:
La auditoría Informática general se realiza por áreas generales o por áreas específicas. Si se examina por
grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos.
Cuando la auditoría se realiza por áreas específicas, se abarcan de una vez todas las peculiaridades que
afectan a la misma, de forma que el resultado se obtiene más rápidamente y con menor calidad.
Técnicas de Trabajo:
· Análisis de la información recabada del auditado
· Análisis de la información propia
· Cruzamiento de las informaciones anteriores
· Entrevistas
· Simulación
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
12. 12
· Muestreos
Herramientas:
· Cuestionario general inicial
· Cuestionario Checklist
· Estándares
· Monitores
· Simuladores (Generadores de datos) ·
Paquetes de auditoría (Generadores de Programas)
· Matrices de riesgo
Fase 6: Informe Final
La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final
es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final,
los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos
de apreciación en el auditor.
Estructura del informe final
El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se
incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con
indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.
· Definición de objetivos y alcance de la auditoría.
· Enumeración de temas considerados:
Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas
objeto de la auditoría.
· Cuerpo expositivo:
Para cada tema, se seguirá el siguiente orden a saber:
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
13. 13
a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente
una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la
situación real
b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras.
c) Puntos débiles y amenazas
d) Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles,
el verdadero objetivo de la auditoría informática.
e) Redacción posterior de la Carta de Introducción o Presentación.
Modelo conceptual de la exposición del informe final:
· El informe debe incluir solamente hechos importantes.
La inclusión de hechos poco relevantes o accesorios desvía la atención del lector.
· El Informe debe consolidar los hechos que se describen en el mismo.
El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de
estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al
menos los siguientes criterios:
1. El hecho debe poder ser sometido a cambios.
2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación.
3. No deben existir alternativas viables que superen al cambio propuesto.
4. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares
existentes en la instalación.
La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una
debilidad que ha de ser corregida.
Flujo del hecho o debilidad:
1 – Hecho encontrado· Ha de ser relevante para el auditor y pera el cliente
· Ha de ser exacto, y además convincente.
· No deben existir hechos repetidos.
2 – Consecuencias del hecho· Las consecuencias deben redactarse de modo que sean directamente
deducibles del hecho.
3 – Repercusión del hecho· Se redactará las influencias directas que el hecho pueda tener sobre otros
aspectos informáticos u otros ámbitos de la empresa.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
14. 14
4 – Conclusión del hecho· No deben redactarse conclusiones más que en los casos en que la
exposición haya sido muy extensa o compleja.
5 – Recomendación del auditor informático
· Deberá entenderse por sí sola, por simple lectura.
· Deberá estar suficientemente soportada en el propio texto.
· Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su implementación.
· La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas
que puedan implementarla.
Fase 7: Carta de Introducción o Presentación del Informe Final
La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría
realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que
encargo o contrato la auditoría.
Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no hará
copias de la citada carta de Introducción.
La carta de introducción poseerá los siguientes atributos:
Tendrá como máximo 4 folios
Incluirá fecha, naturaleza, objetivos y alcance
Cuantificará la importancia de las áreas analizadas.
Proporcionará una conclusión general, concretando las áreas de gran debilidad.
Presentará las debilidades en orden de importancia y gravedad.
En la carta de Introducción no se escribirán nunca recomendaciones.
Herramientas y Técnicas para la Auditoría Informática
Cuestionarios
Las auditorías informáticas se materializan recabando información y documentación de todo tipo.
Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de
debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda
la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos
demostrables, llamados también evidencias.
Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de cuestionarios
preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea
obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y
muy específicos para cada situación, y muy cuidados en su fondo y su forma.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
15. 15
Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine
a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de
información es una de las bases fundamentales de la auditoría.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro
medios la información que aquellos preimpresos hubieran proporcionado.
Entrevistas
El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas:
1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de
sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y
busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge
más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por
las respuestas escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa
fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga
a sí mismo. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema
previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos
tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas,
también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparación
muy elaborada y sistematizada, y que es diferente para cada caso particular.
Checklist
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función
de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales
para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter
al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor
conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática
de sus Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de los Checklists, ya que consideran que leerle una pila de
preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es
usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento
interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de
puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de
formularse flexiblemente.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
16. 16
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists
deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma.
Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones
muy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión,
percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las
preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el
auditor debe poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes
y clasificadas por materias, todavía lo es más el modo y el orden de su formulación. Las empresas
externas de Auditoría Informática guardan sus Checklists, pero de poco sirven si el auditor no las utiliza
adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de
autoridad, prestigio y ética.
El auditor deberá aplicar la Checklist de modo que el auditado responda clara y escuetamente. Se
deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten
sustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a que exponga
con mayor amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la presión
sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto,
bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas,
en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los
puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas
complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El
entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará
las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en
su presencia.
Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofía" de calificación
o evaluación:
a. Checklist de rango
Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de
1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo)
Ejemplo de Checklist de rango:
Se supone que se está realizando una auditoría sobre la seguridad física de una instalación y, dentro
de ella, se analiza el control de los accesos de personas y cosas al Centro de Computos. Podrían
formularse las preguntas que figuran a continuación, en donde las respuestas tiene los siguientes
significados:
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
17. 17
1 : Muy deficiente
2 : Deficiente
3 : Mejorable
4 : Aceptable
5 : Correcto
Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan
clasificadas previamente. Basta con que el auditor lleve un pequeño guión. La cumplimentación del
Checklist no debe realizarse en presencia del auditado.
¿Existe personal específico de vigilancia externa al edificio?
-No, solamente un guardia por la noche que atiende además otra instalación adyacente.
<Puntuación: 1>
Para la vigilancia interna del edificio, ¿Hay al menos un vigilante por turno en los aledaños del
Centro de Computos?
-Si, pero sube a las otras 4 plantas cuando se le necesita.
<Puntuación: 2>
¿Hay salida de emergencia además de la habilitada para la entrada y salida de máquinas?
-Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.
<Puntuación: 2>
El personal de Comunicaciones, ¿Puede entrar directamente en la Sala de Computadoras?
-No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente mas que por causa muy
justificada, y avisando casi siempre al Jefe de Explotación.
<Puntuación: 4>
El resultado sería el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25 Deficiente.
b. Checklist Binario
Es el constituido por preguntas con respuesta única y excluyente: Si o No. Aritméticamente,
equivalen a 1(uno) o 0(cero), respectivamente.
Ejemplo de Checklist Binario:
Se supone que se está realizando una Revisión de los métodos de pruebas de programas en el
ámbito de Desarrollo de Proyectos.
¿Existe Normativa de que el usuario final compruebe los resultados finales de los programas?
<Puntuación: 1>
¿Conoce el personal de Desarrollo la existencia de la anterior normativa?
<Puntuación: 1>
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
18. 18
¿Se aplica dicha norma en todos los casos? <Puntuación: 0>
¿Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia de Bases
de Datos reales? <Puntuación: 0>
Obsérvese como en este caso están contestadas las siguientes preguntas:
¿Se conoce la norma anterior? <Puntuación: 0>
¿Se aplica en todos los casos? <Puntuación: 0>
Los Checklists de rango son adecuadas si el equipo auditor no es muy grande y mantiene criterios
uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que en el
checklist binario. Sin embargo, la bondad del método depende excesivamente de la formación y
competencia del equipo auditor.
Los Checklists Binarios siguen una elaboración inicial mucho más ardua y compleja. Deben ser de
gran precisión, como corresponde a la suma precisión de la respuesta. Una vez construidos, tienen la
ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genérico del <si o no> frente
a la mayor riqueza del intervalo.
No existen Checklists estándar para todas y cada una de las instalaciones informáticas a auditar.
Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptación
correspondientes en las preguntas a realizar.
Trazas y/o Huellas
Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como
de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos
Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los
datos a través del programa.
Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de
datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta
auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más
adecuadas para su empleo.
Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean productos que
comprueban los valores asignados por Técnica de Sistemas a cada uno de los parámetros variables de las
Librerías más importantes del mismo. Estos parámetros variables deben estar dentro de un intervalo
marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el número de
iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o
permisivos en la asignación de unidades de servicio para según cuales tipos carga. Estas actuaciones, en
principio útiles, pueden resultar contraproducentes si se traspasan los límites.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
19. 19
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripción de la auditoría
informática de Sistemas: el auditor informático emplea preferentemente la amplia información que
proporciona el propio Sistema: Así, los ficheros de “Accounting” o de “contabilidad”, en donde se
encuentra la producción completa de aquél, y los “Log” de dicho Sistema, en donde se recogen las
modificaciones de datos y se pormenoriza la actividad general.
Del mismo modo, el Sistema genera automáticamente exacta información sobre el tratamiento de
errores de maquina central, periféricos, etc.
La auditoría financiero-contable convencional emplea trazas con mucha frecuencia. Son programas
encaminados a verificar lo correcto de los cálculos de nóminas, primas, etc.
Software de Interrogación
Hasta hace ya algunos años se han utilizado productos software llamados genéricamente “paquetes
de auditoría”, capaces de generar programas para auditores escasamente cualificados desde el punto de
vista informático.
Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que
permitieran la obtención de consecuencias e hipótesis de la situación real de una instalación.
En la actualidad, los productos Software especiales para la auditoría informática se orientan
principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa
auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos
disponen del software nativo propio de la instalación.
Del mismo modo, la proliferación de las redes locales y de la filosofía "Cliente-Servidor", han llevado
a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales y
mainframe, de modo que el auditor informático copia en su propia PC la información más relevante para
su trabajo.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e información parcial
generada por la organización informática de la Compañía.
Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por
este, que son tratados posteriormente en modo PC. El auditor se ve obligado (naturalmente,
dependiendo del alcance de la auditoría) a recabar información de los mencionados usuarios finales, lo
cual puede realizar con suma facilidad con los polivalentes productos descritos. Con todo, las opiniones
más autorizadas indican que el trabajo de campo del auditor informático debe realizarse principalmente
con los productos del cliente.
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente
determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo de
Procesadores de Texto, paquetes de Gráficos, Hojas de Cálculo, etc.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
20. 20
Clasificación por Áreas de Aplicación de la Auditoria Informática
PLANIFICACIÓN: Donde se pasa revista a las distintas fases de la planificación.
ORGANIZACIÓN Y ADMINISTRACIÓN: en este punto se examinaran aspectos como las relaciones con los
usuarios, con los proveedores, asignación de recursos, procedimientos, etc.
DESARROLLO DE SISTEMAS: área importante donde la auditoría deberá velar por la adecuación de la
informática a las necesidades reales de la Empresa.
EXPLOTACIÓN: aquí se analizarán los procedimientos de operación y explotación en el centro de proceso
de datos.
ENTORNO DE HARDWARE: donde se vigilará entre otras cosas los locales, el software de acceso, alarmas,
sistemas anti-incendios, protección de los sistemas, fiabilidad del Hardware, etc.
ENTORNO DEL SOFTWARE: en esta área la Auditoria Informática analizará los sistemas de prevención y
detección de fraudes, los exámenes a aplicaciones concretas, los controles a establecer, en definitiva,
todo lo relacionado con la fiabilidad, integridad y seguridad del software.
Planificación
Objetivos
- Determinar que planes del proceso de datos están coordinados con los planes
generales de la organización.
- Revisar planes de informática y determinar su idoneidad.
- Contrastar el plan con su realización
- Determinar el grado de participación y responsabilidad de directivos y usuarios
en la planificación.
- Participar incluso en el proceso de la planificación
- Revisar los planes de desarrollo de software de aplicaciones.
El auditor informático centrará especialmente su atención en:
a) El sistema de información
b) La planificación del desarrollo
c) La planificación de proyectos
d) La definición y distribución de la cartera de aplicaciones.
Riesgos de una planificación inadecuada
- Información redundante
- Difícil coordinación de equipos de trabajo
- Desarrollo de aplicaciones inconexas.
Organización y Administración
Establece una serie de revisiones y comparaciones tendientes a emitir un juicio sobre la
administración y organización del departamento de procesamiento.
Objetivos
- Revisión del organigrama y dependencias funcionales
- Verificar estándares de documentación
- Revisar la política de personal.
- Evaluar distribución de funciones
- Análisis de la departamentalización utilizada
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
21. 21
La información nos servirá para determinar:
Si las responsabilidades de la organización definidas adecuadamente
Si la estructura organizacional esta adecuada a las necesidades
Control organizacional adecuado
Existencia de objetivos y políticas adecuadas
Documentación de las actividades
Análisis y descripción de puestos
Si los planes de trabajo concuerdan con los objetivos de la empresa.
Un caso particular de la Auditoria de la organización y administración es la auditoria de
los Procedimientos.
Auditoria de los procedimientos
Está orientada a asegurar que existe suficiente protección: control interno, separación
de funciones, seguridad y fiabilidad del sistema, continuidad y seguridad en los
procedimientos en las distintas áreas:
Área de control o Producción
Comprobar la calidad de los trabajos entregados.
Establecer separación de funciones
Mantener registro de la recolección de datos de control
Mantener verificación total e independiente de las actividades
mecanizadas, comprobar la exactitud del proceso.
Existencia de manuales actualizados que especifican los procedimientos
de control.
Área de ingreso de datos (ingreso de información Online)
Registro adecuado de trabajos, fallos, problemas y acciones que se
adopten frente a los errores.
Control eficaz de los procedimientos y manutención de la integridad de
los trabajos.
Procedimientos de verificación independientes de la preparación inicial
de los datos.
Cintoteca
Adecuado lugar de almacenamiento
Existencia de medidas de protección de archivos a largo plazo.
Registro actualizado, completo y oportuno de los movimientos de
archivos.
Cumplimiento de normas y procedimientos
Procedimientos para una manipulación adecuada, almacenamiento
seguro y uso automatizado de soportes magnéticos.
Implementaciones
Registro de streams (jobs)
Existencia de jobs para reprocesos y recuperación de sistemas.
Existencia de estándares, instrucciones y manuales adecuados que
gobiernen la preparación de los jobs.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
22. 22
Mantenimiento de programas
Existencia de una metodología de control de cambios. Incluye los
métodos para solicitar y autorizar modificaciones.
Existencia de registro de las modificaciones.
Seguridad de los programas y bibliotecas de programas.
Que el contenido de las bibliotecas de programas esté respaldado por
eficientes normas de seguridad.
Documentación adecuada.
Programas en desarrollo separado de los productivos.
Carga de maquina
Existencia de estándares, procedimientos, instrucciones y manuales
adecuados que cubran todas las posibilidades de procesos que se
puedan suscitar.
Observar procedimientos
Mantener registros adecuados
Trabajos debidamente autorizados.
Planificación
Análisis de la planificación de las tareas
Existencia de estándares, procedimientos e instrucciones relativas a la
planificación del los trabajos.
Operadores del computador
Existencia de estándares operativos adecuados (generales y específicos)
de cada sistema de aplicación. Deberán establecerse procedimientos y
métodos de operación seguros.
Estándares documentados y a disposición del operador
Cubrir las medidas de operación, los casos de contingencia
Observar si la jefatura realiza inspecciones periódicas controlando
procedimientos de autorización, trabajos realizados vs planificados,
cumplimiento de normas, etc.
Verificar que el operador no pueda modificar datos de entrada.
Dirección de proyectos.
Verificar si el líder de proyecto controla eficazmente las normas de
desarrollo, diseño, programación, documentación, pruebas e
implantación de los sistemas.
Verificar si se ha establecido un grupo de gestión a nivel de diseño.
Verificar si el personal de desarrollo no tiene acceso a datos operativos.
Documentación adecuada de todos los trabajos.
Programador
Existencia de supervisión eficaz, con control sobre la calidad de los
trabajos (cumplimiento de normas de programación)
Prueba de los sistemas, documentadas y sin datos reales.
Existencia de programas en librerías de desarrollo y su envío a
producción cuenta con la autorización necesaria.
Trabajos de mantenimiento controlados y debidamente documentados y
autorizados.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
23. 23
Sección de despacho
Existencia de estándares y procedimientos adecuados para el despacho
de trabajos y su prioridad.
Existencia de procedimientos para manejar información confidencial.
Existencia de registro de errores y problemas
Existencia de impresos controlados en manos de personas no
autorizadas o manipuladas incorrectamente.
Existencia de métodos de destrucción de impresos caducados y
asegurarse de que no se corren riesgos innecesarios.
Biblioteca de documentación (sí existiera)
Responsabilidad de las personas para que las modificaciones de
software o sistemas sean depositadas (sus copias) en la biblioteca.
Existencia de encargados de mantener registro, seguridad de
documentos, actualización de copias y autorización la salida de
documentos.
Equipo de backup
Determinar los distintos niveles de fallos del sistema y equipos
asociados. Deberán establecerse las necesidades mínimas del usuario
para cada nivel y duración de la avería.
Existencia de un análisis de riesgos, posibles perdidas o efectos,
disponiendo de la cobertura de seguros.
Seguridad de archivos y datos.
Existencia de estándares y procedimientos para el almacenamiento y
protección de los datos.
Existencia de condiciones y tiempos de retención de documentos y
archivos de las aplicaciones.
Control de teleproceso
Examinar el registro de control de teleproceso
Probar la seguridad del sistema y procesos de teleproceso.
Inspeccionar algunos procesos de entrada y analizar la eficacia del
control.
Desarrollo de Sistemas
El auditor deberá conocer en detalle las distintas etapas en la formulación de los sistemas y las
metodologías más usuales en la construcción de los mismos.
Se debe hacer auditoria cada vez que se realice una aplicación nueva o una modificación importante.
El objetivo es que la calidad de las estructuras y procedimientos del sistema sea tan buena como
sea posible.
Objetivos y puntos a verificar
Examinar metodología de construcción en uso.
Revisar la definición de los objetivos del sistema, analizar si cumple con las
necesidades de los usuarios.
Revisar el control y planificación del proyecto.
Verificar que el control de datos sea adecuado.
Verificar el control de formularios.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
24. 24
Controlar si los manuales son suficientes (en cantidad de información).
Existencia de una adecuada separación de funciones entre las áreas
administrativas y las mecanizadas.
Asegurar la fiabilidad y continuidad del sistema
Verificar los medios dispuestos para el desarrollo del sistema
Analizar los medios de seguridad con que se va a dotar al sistema.
Analizar las insuficiencias detectadas y su impacto en los procedimientos
futuros.
Se deberá asegurar en el desarrollo del sistema: seguridad, precisión y eficacia.
Momento para efectuar la auditoria de desarrollo.
a) Cuando esta realizándose el desarrollo: las modificaciones sugeridas pueden
incorporarse al sistema en forma oportuna y económica.
b) Antes del desarrollo: las recomendaciones del auditor se resumen a pautas
teóricas y los esquemas de diseño iniciales pueden variar durante el
desarrollo, con lo cual realizar una auditoria en este momento, seria una
perdida de tiempo.
c) Después de implementar, su único objetivo seria poder medir la efectividad
del sistema.
Distintos tipos de Auditoria Durante el Desarrollo
Auditoria del comienzo del desarrollo del sistema
En esta etapa se deberá tomar contacto con las propuestas nuevas,
analizar los elementos de gestión y de control, tomar contacto con los estándares
de procedimientos, control de proyecto y de documentación.
Auditoria de la propuesta de mecanización
La propuesta de mecanización define las pautas del nuevo sistema y una vez
aceptada se emprendería el trabajo de diseño y programación. La auditoria
debería asegurarse de que son adecuados los principios básicos de diseño, en todo
lo relacionado a control y verificación interna.
Auditoria de la propuesta detallada.
Aquí se brinda detalle sobre las variaciones y particularidades del esquema
general de actividad y contempla los procedimientos mecanizados y los
administrativos (diagramas, diseños, registros, etc.). Se verifica las propuestas de
implementación y la calidad de las comprobaciones internas, la separación de las
funciones y fiabilidad del control.
Ahora deben solucionarse los puntos débiles o tenerse en cuenta para
planificar futuras auditorias. Las especificaciones planteadas tratarán sobre la
entrada, procesos, salida de archivos y su control, y las instrucciones operativas.
La auditoria verificará los procedimientos para asegurar:
Evidencia que deja el sistema es suficiente para rastrear errores y
corregirlos.
Procedimientos de salida llevan incorporados sistemas correctos de
validación y detección de errores.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
25. 25
El diseño de datos de salida puede adaptarse a las modificaciones que
vayan surgiendo.
Documentación de todos los archivos magnéticos obedece a los
estándares adecuados.
Si todos los archivos están sometidos a controles.
Si la ejecución de los procesos contiene una validación suficiente.
Proteger al sistema contra usos no autorizados.
Si se ha planificado adecuadamente todas las etapas de desarrollo, con
tiempo, recursos y costos, previendo los puntos de control.
Previsión de una capacitación adecuada.
Prever emergencias e interrupciones del proceso al igual que la rutina
normal de trabajo.
Auditoria de los programas y pruebas.
Se realizan comprobaciones en el trabajo real de programación:
Procedimientos de gestión adecuados para controlar programas y
pruebas.
Controlar y verificar las pruebas de programas
Registración adecuada de modificaciones
Que los programas en desarrollo se mantengan separados de los
operativos.
Auditoria del aprovisionamiento del sistema y planificación de la implantación.
Es importante asignar suficiente tiempo a la adquisición de equipos y material
para el nuevo sistema y a especificarlo minuciosamente. El equipo de auditoria
deberá asegurarse de que se preparen unas especificaciones adecuadas
indicando la calidad, nivel, capacidad, posibilidades y plazo de entrega.
Los analistas deberán trazar un plan de desarrollo e implantación del sistema,
dividiendo en etapas, indicando los tiempos y recursos necesarios.
La auditoria verificará que este plan sirva para gestionar y gobernar las tareas y
tendrá en cuenta los tiempos para adaptar su auditoria al ritmo del proyecto.
Auditoria de la documentación y manuales de usuario y operación del sistema.
Cuando el sistema quede operativo deberá preparar una documentación
completa de todos sus aspectos. El auditor asegurará que están todos los
documentos que corresponden, completos y actualizados.
La auditoria deberá verificar si los manuales describen procedimientos de
emergencia y respaldo, así como la rutina normal de trabajo. También deberá
existir un buen sistema de actualización de manuales.
Auditoria de la conversión de archivos.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
26. 26
Cuando se desarrollan sistemas nuevos suele hacer falta preparar archivos
magnéticos y convertir todos los datos que se tengan al formato del nuevo
medio.
La auditoria se preocupará que la conversión de los archivos permita que el
sistema arranque con datos exactos y verificará que:
La conversión de archivos se ha planificado totalmente
Programas utilizados para la conversión de archivos han sido probados
suficientemente.
Utiliza un sistema de información adecuado que identifique claramente
los errores.
Auditoria de las pruebas del sistema.
Cuando los programadores enlazan sus programas para formar una secuencia,
ésta ha de probarse en su conjunto para garantizar que cumplen su cometido. La
auditoria deberá verificar, si la preparación de los datos de prueba deberá llevar
consigo:
Recopilación de un conjunto de datos que refleje todas las variantes de
los valores y errores que puedan surgir.
Preparación de una planificación de los resultados que ha de producir el
sistema cuando ejecute los datos de prueba.
Una vez verificada la preparación de los datos de prueba, el auditor se
preocupará de la calidad de la verificación de los resultados, la oportunidad de
las pruebas y que las mismas no han provocado corrupciones en las rutinas y/o
archivos.
Auditoria de la implantación.
Se puede tener un sistema paralelo, en donde esta fase es una ampliación de las
pruebas del sistema. Si se hace directamente, el sistema arranca
inmediatamente.
Se estudiará el sistema de control para corroborar que los empleados lo utilizan
bien desde el principio y evaluar la calidad de dicho sistema.
Auditoria de la continuidad del sistema
Los sistemas importantes deben ser capaces de funcionar en todo momento. Las
averías de los equipos, errores en archivos, falta de energía y otros recursos no
deberían interrumpir las actividades esenciales.
La auditoria debería asegurarse que:
Se mantienen copias de seguridad de datos, archivos e instrucciones a un
nivel de permita su recuperación dentro de un plazo preestablecido.
Existencia de medidas alternativas para utilizar equipos auxiliar (durante
las caídas)
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
27. 27
Que el retorno al trabajo normal se haga con facilidad y que los controles
enlacen al sistema sin problemas para verificar si la reactivación ha sido
correcta.
Explotación
Objetivos
Evaluar la eficiencia y eficacia de operación del área de producción.
Comprende la evaluación de los equipos de computación, procedimientos de entradas
de datos, controles, archivos, seguridad y obtención de la información.
El campo de acción de este tipo de auditoría sería:
a) Evaluación administrativa del área de producción
Metas, políticas, planes y procedimientos de procesos electrónicos estándares.
Organización del área y estructura orgánica.
Integración de los recursos materiales y técnicos
Controles administrativos del área.
b) Evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso
de los equipos.
c) Evaluación del proceso de datos y de los equipos de procesamiento.
Se deben verificar los siguientes puntos:
Estructura del servicio
Control de operaciones
Documentación de los procedimientos
Modificación de programas
Control de almacenamiento de soportes.
Plan de mantenimiento preventivo
Personal de producción
Control de la utilización del ordenador
Entorno del Hardware
Objetivo
- Determinación de la performance del hardware
- Revisar la utilización del hardware
- Examinar los estudios de adquisición del hardware
- Comprobar condiciones ambientales y de seguridad del hardware
- Verificar los controles de acceso y seguridad física
- Revisar inventario del hardware
- Verificar los procedimientos de la seguridad física
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
28. 28
- Comprobar los procedimientos de prevención, detección y/o corrección ante
desastres.
- Revisar plan de contingencias.
- Examinar las seguridades y debilidades de los componentes físicos del equipo,
de las comunicaciones, etc. y de las instalaciones donde se ubica el centro de
cómputos.
Seguridad física del local
Riesgos naturales (inundaciones, descargas eléctricas, etc.)
Riesgos de vecindad derivadas de construcciones cerca del centro de
cómputos (incendios, vibraciones, etc.)
Riesgos del propio edificio (almacenamiento de material combustible, polvo,
etc.)
Suministro de energía (generador de energía, UPS, etc.)
Acondicionador de aire
Armarios ignífugos.
Control de acceso y seguridad física
Controlar el acceso a los recursos para protegerlos de cualquier uso no autorizado,
daño, perdida o modificaciones.
Planes de desastre.
En caso de interrupciones inesperadas deben existir planes adecuados para el
respaldo de recursos críticos del centro de cómputos y para el reestablecimiento
de los servicios de sistemas de información.
Tipos de desastres
- Destrucción total
- Destrucción parcial de los recursos centralizados de procesamiento de
datos.
- Destrucción o mal funcionamiento de los recursos ambientales
destinados al procesamiento (energía, etc.)
- Destrucción total o parcial de los recursos descentralizados de
procesamiento de datos.
- Destrucción total o parcial de los procedimientos manuales del usuario.
- Perdida del personal clave para el procesamiento.
- Huelga (interrupción)
- Acciones malintencionadas
- Pérdida total o parcial de la información, manuales o documentación.
Alcance de la planeación contra desastres.
La planeación debe abarcar tanto las aplicaciones en proceso de desarrollo como
las operativas. Los recursos que deben estar disponibles para la recuperación
son:
- Documentación de los sistemas, la programación y los procedimientos
operativos.
- Recursos operativos: equipos, datos, archivos, programas, etc.
a) Aplicaciones en proceso de desarrollo
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
29. 29
Un desastre puede ocurrir en alguna fase avanzada del desarrollo de una
aplicación vital y será necesario tomar medidas para garantizar que no se
retrase o pierda la inversión.
b) Aplicaciones terminadas
1. Sistemas y programación
Mantener copias actualizadas de programas, documentación,
jobs, procedimientos operativos.
2. Operaciones de procesamiento
Comprender el sistema completo. La planeación debe incluir las
actividades y los procedimientos del usuario, los recursos de
transmisión y redes, el procesamiento centralizado y la
redistribución de los resultados.
Procedimientos en casos de desastres
Existencia de procedimientos formales (por escrito), en donde se haga referencia
detalladamente los diversos tipos de desastres. Se debe especificar:
- Responsabilidades en caso de desastres
- Acción inmediata a seguir
Estos planes deben ser los más detallados posibles. Todo el personal requiere
adiestramiento regular en el plan contra desastres. El plan de emergencia, una
vez aprobado, se distribuye entre el personal responsable de su operación
(información confidencial o de acceso restringido).
El plan en caso de desastre debe incluir:
- Políticas de la dirección
- Objetivos
- Responsabilidades
- Equipo humano
- Inventario de hardware y software de la instalación
- Estrategias de contingencias
- Metodología a utilizar (prioridades)
- Matriz de riesgos/ acciones preventivas /acciones alternativas
- Mantenimientos y pruebas del plan
- Normas de divulgación y distribución del plan.
El auditor deberá verificar que:
Existe una fase de prevención de emergencias separadas de las fases
de respaldo y restauración.
Figura responsable de la supervisión de la emergencia.
Existencia de conjunto de normas de emergencias.
Procedimientos sistemáticos de clasificación de emergencias.
Una vez que todos los riesgos han sido clasificados se está en condiciones de fijar
los procedimientos que aseguraran la continuidad del funcionamiento del
negocio.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
30. 30
Seguros contra desastres.
A pesar que existan medidas para reducir el riesgo de interrupciones de las
actividades y un plan de emergencia adecuado, en caso de ocurrir un siniestro,
los gastos resultarán muy oneroso.
El seguro es una forma de transferir el riesgo de que se produzca un
acontecimiento muy costoso.
Tipos de seguros:
Todo riesgo
Daños determinados
Seguro contra averías
Seguro de fidelidad
Seguro contra interrupción del negocio; cubre las perdidas que sufrirían la
empresa en el caso que las actividades informáticas se interrumpiesen.
Plan de desastre, respaldo y recuperación.
Lineamientos de control que cubren los elementos de respaldo y recuperación.
1. Plan de recuperación en caso de siniestro: debe existir un plan
documentación de respaldo para el procesamiento de trabajos críticos.
2. Procedimientos de urgencia y capacitación del personal: deben
garantizar la seguridad del personal.
3. Aplicaciones criticas: el plan de respaldo debe contener una prioridad
preestablecida para el procesamiento de las aplicaciones.
4. Recursos críticos: deben estar identificados en el plan de respaldo la
producción critica, el sistema operativos y los archivos necesarios para la
recuperación
5. Servicios de comunicación
6. Equipo de comunicación
7. Equipo de respaldo
8. Programación de operaciones de respaldo
9. Procedimientos de respaldo de archivos
10. Suministro de respaldo: considerar una fuente de abastecimiento para la
recuperación de materiales especiales.
11. Pruebas de plan de respaldo
12. Reconstrucción del centro de sistemas de información
13. Procedimientos manuales de respaldo.
Entorno del Software
Objetivos
- Revisar la seguridad lógica de los datos y programas
- Revisar la seguridad lógica de las librerías de los programadores
- Examinar los controles sobre los datos
- Revisar procedimientos de entrada / salida
- Verificar las previsiones y procedimientos de backup
- Revisar los procedimientos de planificación, adecuación y mantenimiento del
software del sistema.
- Revisar documentación del software del sistema.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
31. 31
- Revisar documentación del software de base.
- Revisar controles sobre paquetes externos(sw)
- Supervisar el uso de herramientas peligrosas al servicio del usuario.
- Comprobar la seguridad e integridad de la base de datos.
Software del sistema (software de base)
- Control de modificaciones al sistema operativo
- Evitar cambios no autorizados y el uso incontrolable de herramientas potentes
- Revisión de los procedimientos de obtención de backup.
- Metodología de selección de paquetes de software
- Evaluación de herramientas de desarrollo de sistemas y software de gestión de
la base de datos.
Software de la base de datos.
- Verificación de la integridad de la base de datos
- Establecer estándares de documentación
- Limitar las acciones del DBA
- Existencia de backup
- Uso de utilitarios y modificaciones de los métodos de acceso.
Riesgos en una base de datos:
1. Inexactitud de los datos
2. Inadecuada asignación de responsabilidades
3. Acceso no autorizado a datos
4. Documentación no actualizada
5. Adecuación de las pistas de auditoria.
Sistemas de procesamiento distribuido y redes
- Debe proveer abastecimiento de información sobre una base descentralizada.
- Planes de implantación, conversiones y pruebas de aceptación adecuadas de la
red.
- Estándares y políticas para el control de la red.
- Facilidades de control del hardware y el software
- Compatibilidad, la integridad y el uso de datos.
- Control de acceso a datos
- Software de comunicación y sistema operativo de red – control de rendimiento
de la red.
Sistemas basados en microcomputadoras
- Criterio de adquisición / políticas de la gerencia
- Software aplicativo, de desarrollo y sistema operativo.
- Documentación de programas
- Procedimientos para la creación y mantenimiento de archivos.
- Seguridad física
- Compartir recursos / autorización
Sistemas Online
El usuario tiene acceso directo al sistema y lo controla de algún modo a través de
terminales del software disponible.
Problemas de auditoría:
1. Sistemas de consultas
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
32. 32
2. Entrada de datos Online (validaciones)
3. Actualización de datos Online (actualización de archivos maestros)
4. Remote Job Entry (un punto remoto actúa con control total del ordenador
central)
5. Programación Online (permite a los programadores trabajar desde puntos
remotos del equipo central)
Análisis del acceso Online
Ningún usuario puede acceder a datos que no debería o realizar procesos no
permitidos.
- Verificar que las passwords de los usuarios posean cambios periódicos
- Perfiles de usuarios (acceso limitado a archivos)
- Bloqueo de terminales (time out o intentos de acceso)
- Logueo de actividades del usuario
- Encriptación de datos.
Análisis de las consultas Online
Verificar que el usuario no pueda modificar datos de los archivos.
- Control de acceso al sistema
- Uso de la información obtenida.
- Tiempo de respuesta.
Análisis de la introducción de datos Online
La mayoría de los problemas son de control, validación y corrección de los
mismos.
- Control de acceso al sistema
- Existencia de procedimientos previos a la entrada de datos, tratamiento de
documentación, autorización adecuada.
- Sistema de control que permita verificar la totalidad de los datos de
entrada.
- Controles que protejan contra omisiones o duplicaciones de datos.
- Calidad de la validación
- Existencia de registros de las correcciones efectuadas en caso de fallo del
sistema:
- Métodos que determinen que transacciones se ha perdido
- Procedimientos Batch de reemplazo.
- Procedimientos para comprobar el estado del sistema (luego del reinicio)
Análisis de la actualización online
- Control de acceso al sistema
- Establecer puntos de control en la entrada
- Mantener logs de actualizaciones
- Realizar validaciones sobre los registros actualizados
- Autoridad necesaria para la actualización del usuario.
- Proveer oportunamente la corrección de errores y su impacto.
- Mantener una relación de los archivos maestros que se hayan modificado,
indicando el movimiento antes y después de la modificación.
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
33. 33
Análisis de la seguridad Online
Debido a que no es probable que las operaciones online puedan transferirse a
otra maquina
- Disponibilidad de equipos alternativos para cubrir necesidades mínimas.
- Existencia de planes de emergencia, documentados y practicados.
- Seguridad de archivos, backup, etc.
- Medidas de seguridad contra accesos no autorizados.
Análisis de la entrada de remote Job entry
El control de los programas y archivos será responsabilidad del sistema central y
deberá verificarse los niveles de autorización del usuario.
Análisis de la programación Online.
Se deberá comprobar que:
- Acceso de programadores autorizados
- Registro del uso del sistema con emisión de informes periódicos
- Trabajos de programación autorizados y controlados.
Análisis del desarrollo de aplicaciones Online
- Asegurar rutinas de validación
- Existencia de ayudas en las terminales
- Procedimientos de corrección y modificación Online
- Control de acceso simultanea a registros
- Estándares organizativos operativos.
Metodología CRMR
CRMR son las siglas de “Computer resource management review”, su traducción más adecuada,
Evaluación de la gestión de recursos informáticos. En cualquier caso, esta terminología quiere destacar la
posibilidad de realizar una evaluación de eficiencia de utilización de los recursos por medio del
management.
Una revisión de esta naturaleza no tiene en sí misma el grado de profundidad de una auditoría
informática global, pero proporciona soluciones más rápidas a problemas concretos y notorios.
Supuestos de aplicación
En función de la definición dada, la metodología abreviada CRMR es aplicable más a deficiencias
organizativas y gerenciales que a problemas de tipo técnico, pero no cubre cualquier área de un Centro
de Procesos de Datos.
El método CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:
Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.
Los resultados del Centro de Procesos de Datos no están a disposición de los usuarios en
el momento oportuno
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
34. 34
Se genera con alguna frecuencia información errónea por fallos de datos o proceso.
Existen sobrecargas frecuentes de capacidad de proceso.
Existen costes excesivos de proceso en el Centro de Proceso de Datos.
Efectivamente, son éstas y no otras las situaciones que el auditor informático encuentra con mayor
frecuencia. Aunque pueden existir factores técnicos que causen las debilidades descritas, hay que
convenir en la mayor incidencia de fallos de gestión.
Areas de Aplicación
Las áreas en que el método CRMR puede ser aplicado se corresponden con las sujetas a las condiciones
de aplicación señaladas en punto anterior:
· Gestión de Datos
· Control de Operaciones
· Control y utilización de recursos materiales y humanos
· Interfaces y relaciones con usuarios
· Planificación
· Organización y administración
Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisición de nuevos equipos
(Capacity Planning) o para revisar muy a fondo los caminos críticos o las holguras de un Proyecto
complejo.
Objetivos
CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los
procedimientos y métodos de gestión que se observan en un Centro de Proceso de Datos. Las
Recomendaciones que se emitan como resultado de la aplicación del CRMR, tendrán como finalidad
algunas de las que se relacionan:
· Identificar y fijar responsabilidades
· Mejorar la flexibilidad de realización de actividades
· Aumentar la productividad
· Disminuir costes
· Mejorar los métodos y procedimientos de Dirección
Alcance
Se fijarán los límites que abarcará el CRMR, antes de comenzar el trabajo.
Se establecen tres clases:
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
35. 35
1. Reducido. El resultado consiste en señalar las áreas de actuación con potencialidad inmediata
de obtención de beneficios.
2. Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal y como se
hace en la auditoría informática ordinaria.
3. Amplio. El CRMR incluye Planes de Acción, aportando técnicas de implementación de las
Recomendaciones, a la par que desarrolla las conclusiones.
Información necesaria para la evaluación del CRMR
Se determinan en este punto los requisitos necesarios para que esta simbiosis de auditoría y consultoría
pueda llevarse a cabo con éxito.
1. El trabajo de campo del CRMR ha de realizarse completamente integrado en la estructura del
Centro de Proceso de Datos del cliente, y con los recursos de éste.
2. Se deberá cumplir un detallado programa de trabajo por tareas.
3. El auditor-consultor recabará determinada información necesaria del cliente.
Se tratan a continuación los tres requisitos expuestos:
1. Integración del auditor en el Centro de Procesos de Datos a revisar
No debe olvidarse que se están evaluando actividades desde el punto de vista gerencial. El contacto
permanente del auditor con el trabajo ordinario del Centro de Proceso de Datos permite a aquél
determinar el tipo de esquema organizativo que se sigue.
2. Programa de trabajo clasificado por tareas
Todo trabajo habrá de ser descompuesto en tareas. Cada una de ellas se someterá a la siguiente
sistemática:
· Identificación de la tarea
· Descripción de la tarea
· Descripción de la función de dirección cuando la tarea se realiza incorrectamente.
· Descripción de ventajas, sugerencias y beneficios que puede originar un cambio o modificación de
tarea
· Test para la evaluación de la práctica directiva en relación con la tarea
· Posibilidades de agrupación de tareas
Auditoria de Sistemas
Prof. Zoraivett Rodriguez
36. 36
· Ajustes en función de las peculiaridades de un departamento concreto
· Registro de resultados, conclusiones y Recomendaciones.
Información necesaria para la realización del CRMR
El cliente es el que facilita la información que el auditor contrastará con su trabajo de campo.
Se exhibe a continuación una Checklist completa de los datos necesarios para confeccionar el CRMR:
Datos de mantenimiento preventivo de Hardware
Informes de anomalías de los sistemas
Procedimientos estándar de actualización.
Procedimientos de emergencia.
Monitoreo de los Sistemas.
Informes del rendimiento de los Sistemas.
Mantenimiento de las Librerías de Programas.
Gestión de Espacio en disco.
Documentación de entrega de Aplicaciones a Explotación.
Documentación de alta de cadenas en Explotación.
Utilización de CPU, canales y discos.
Datos de paginación de los Sistemas.
Volumen total y libre de almacenamiento.
Ocupación media de disco.
Manuales de Procedimientos de Explotación.
Esta información cubre ampliamente el espectro del CRMR y permite ejercer el seguimiento de las
Recomendaciones realizadas.
Controles
Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para
ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y
principios admitidos.
Clasificación general de los controles
Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen
de violaciones .
Auditoria de Sistemas
Prof. Zoraivett Rodriguez