miércoles, 20 de octubre de 2010

Auditoria y Mantenimiento de Sistemas


Introducción


La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.
A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia: Auditoría de Sistemas es:
·         La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
·         La actividad dirigida a verificar y juzgar información.
·         El examen y evaluación de los procesos del Área de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
·         El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado presenta:
1)      Salvaguarda activos ( Daños,  Destrucción, Uso no autorizado, Robo)
2)      Mantiene Integridad de los datos ( Información Precisa, Completa, Oportuna, Confiable)
3)      Alcanza metas organizacionales ( Contribución de la función informática)
4)      Consume recursos eficientemente ( Utiliza los recursos adecuadamente en el procesamiento de la información)
·                     Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a:
ü Eficiencia en el uso de los recursos informáticos
ü Validez de la información
ü Efectividad de los controles establecidos

Historia

Existe la evidencia de que alguna especie de auditoria se practicó en tiempos remotos. El hecho de que los soberanos exigieran el mantenimiento de las cuentas de su residencia por dos escribanos independientes, pone de manifiesto que fueron tomadas algunas medidas para evitar desfalcos en dichas cuentas. A medidas que se desarrollo el comercio, surgió la necesidad de las revisiones independientes para asegurarse de la adecuación y finalidad de los registros mantenidos en varias empresas comerciales. La auditoria como profesión fue reconocida por primera vez bajo la Ley Británica de Sociedades Anónimas de 1862 y el reconocimiento general tuvo lugar durante el período de mandato de la Ley "Un sistema metódico y normalizado de contabilidad era deseable para una adecuada información y para la prevención del fraude". También reconocía "Una aceptación general de la necesidad de efectuar una versión independiente de las cuentas de las pequeñas y grandes empresas". Desde 1862 hasta 1905, la profesión de la auditoria creció y floreció en Inglaterra, y se introdujo en los Estados Unidos hacia 1900. En Inglaterra se siguió haciendo hincapié en cuanto a la detección del fraude como objetivo primordial de la auditoria. En 1912 Montgomery dijo:
En los que podría llamarse los días en los que se formó la auditoria, a los estudiantes se les enseñaban que los objetivos primordiales de ésta eran:
La detección y prevención de fraude.
La detección y prevención de errores; sin embargo, en los años siguientes hubo un cambio decisivo en la demanda y el servicio, y los propósitos actuales son:
El cerciorarse de la condición financiera actual y de las ganancias de una empresa.
La detección y prevención de fraude, siendo éste un objetivo menor.
Este cambio en el objetivo de la auditoria continuó desarrollándose, no sin oposición, hasta aproximadamente 1940. En este tiempo "Existía un cierto grado de acuerdo en que el auditor podía y debería no ocuparse primordialmente de la detección de fraude". El objetivo primordial de una auditoria independiente debe ser la revisión de la posición financiera y de los resultados de operación como se indica en los estados financieros del cliente, de manera que pueda ofrecerse una opinión sobre la adecuación de estas presentaciones a las partes interesadas.
Paralelamente al crecimiento de la auditoria independiente en lo Estados Unidos, se desarrollaba la auditoría interna y del Gobierno, lo que entró a formar parte del campo de la auditoría. A medida que los auditores independientes se apercibieron de la importancia de un buen sistema de control interno y su relación con el alcance de las pruebas a efectuar en una auditoría independiente, se mostraron partidarios del crecimiento de los departamentos de auditoría dentro de las organizaciones de los clientes, que se encargaría del desarrollo y mantenimiento de unos buenos procedimientos del control interno, independientemente del departamento de contabilidad general. Progresivamente, las compañías adoptaron la expansión de las actividades del departamento de auditoría interna hacia áreas que están más allá del alcance de los sistemas contables. En nuestros días, los departamentos de auditoría interna son revisiones de todas las fases de las corporaciones, de las que las operaciones financieras forman parte.
La auditoría gubernamental fue oficialmente reconocida en 1921 cuando el Congreso de los Estados Unidos estableció la Oficina General de contabilidad.

Auditorias de Sistemas

La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).

Características de la Auditoria de Sistemas:

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, con sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática.
Del mismo modo, los Sistemas Informáticos o tecnológicos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoria de Seguridad Informática en general, o a la auditoria de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoria de Organización Informática o tecnológica
Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una auditoria parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas. Por lo tanto las características más resaltantes son:

Ø  La multiplicidad de usuarios es un fenómeno natural, si se considera que son estos los que realmente gestionan el negocio de la empresa, y no la informática. Los constructores de hardware y de productos de software inciden en este entorno de usuarios facilitando su utilización.
Ø  Tras algunas pruebas de desagregación desafortunadas, las organizaciones muestran tendencias a mantener centralizadas los ordenadores y periféricos de alta carga de información y la administración de los datos.
Ø  En efecto, la proliferación de centros de procesos de datos dedicados a explotaciones determinadas genera costos casi siempre fuera de presupuesto y debilidades de coordinación de fácil detección.
Ø  La descentralización de los datos no ha pasado de ser una teoría impracticable. La redundancia e inconsistencia de datos no son un lujo, si no que puede comprometer el propio sistema de información de la empresa.

Alcance de la Auditoría Informática:

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo? ¿Se comprobará que los controles de validación de errores son adecuados y suficientes? La indefinición de los alcances de la auditoría compromete el éxito de la misma.

Para una mejor productividad empresarial, los responsables de los sistemas, que usan los distintos departamentos o áreas de negocio, deben conocer los riesgos derivados de una inadecuada gestión de sistemas y los beneficios generados por una gestión óptima.

  • Casos reales de problemas solucionados por nosotros
  • Clientes representativos de auditorias informáticas.
  • Estándares TI con las mejores prácticas informáticas

Objetivos generales de la Auditoría de Sistemas de la Información
  • Evaluar la fiabilidad
  • Evaluar la dependencia de los Sistemas y las medidas tomadas para garantizar su disponibilidad y continuidad
  • Revisar la seguridad de los entornos y sistemas.
  • Analizar la garantía de calidad de los Sistemas de Información
  • Analizar los controles y procedimientos tanto organizativos como operativos.
  • Verificar el cumplimiento de la normativa y legislación vigentes
  • Elaborar un informe externo independiente.
  • Utilización de estándares ISACA, OSSTMM, ISO/IEC 17799 y CIS

Objetivos para una buena gestión de los Sistemas de la Información en una empresa

  • Asegurar una mayor integridad, confidencialidad y confiabilidad de la información.
  • Seguridad del personal, los datos, el hardware, el software y las instalaciones.
  • Minimizar existencias de riesgos en el uso de Tecnología de información
  • Conocer la situación actual del área informática para lograr los objetivos.
  • Apoyo de función informática a las metas y objetivos de la organización.
  • Seguridad, utilidad, confianza, privacidad y disponibilidad de los entornos.
  • Incrementar la satisfacción de los usuarios de los sistemas informáticos.
  • Capacitación y educación sobre controles en los Sistemas de Información.
  • Buscar una mejor relación costo-beneficio de los sistemas automáticos.
  • Decisiones de inversión y gastos innecesarios.

Delitos Informáticos:

Fraude puede ser definido como engaño, acción contraria a la verdad o a la rectitud. La definición de Delito puede ser más compleja.

Muchos estudiosos del Derecho Penal han intentado formular una noción de delito que sirviese para todos los tiempos y en todos los países. Esto no ha sido posible dada la íntima conexión que existe entre la vida social y la jurídica de cada pueblo y cada siglo, aquella condiciona a ésta. Según el ilustre penalista CUELLO CALON, los elementos integrantes del delito son:
- El delito es un acto humano, es una acción (acción u omisión)
- Dicho acto humano ha de ser antijurídico, debe lesionar o poner en peligro un interés jurídicamente protegido.
- Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto típico.
- El acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y una acción es imputable cuando puede ponerse a cargo de una determinada persona
- La ejecución u omisión del acto debe estar sancionada por una pena.

Por tanto, un delito es: una acción antijurídica realizada por un ser humano, tipificado, culpable y sancionado por una pena.

Se podría definir el delito informático como toda acción (acción u omisión) culpable realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa o indirecta a la víctima, tipificado por La Ley, que se realiza en el entorno informático y está sancionado con una pena.

De esta manera, el autor mexicano Julio Tellez Valdez señala que los delitos informáticos son «actitudes ilícitas en que se tienen a las computadoras como instrumento o fin (concepto atípico) o las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin (concepto típico)». Por su parte, el tratadista penal italiano Carlos Sarzana, sostiene que los delitos informáticos son «cualquier comportamiento criminal en que la computadora está involucrada como material, objeto o mero símbolo.
Plataforma de los Sistemas:

En el computador, la plataforma describe una cierta clase de arquitectura de hardware o marco del software (incluyendo armazones del uso), eso permite software para funcionar. Las plataformas típicas incluyen una computadora arquitectura, sistema operativo, lenguajes de programación y relacionado tiempo de pasada bibliotecas o interfaz utilizador gráfico.

Hardware, sistema operativo y máquina virtual:

En lo referente a hardware, plataforma describe a menudo el sistema de los componentes de hardware que componen la computadora sí mismo, de que el software se escribe a la blanco (a menudo apenas descrita según lo “escrito para una arquitectura "). El lenguaje ensamblador puro se puede funcionar en esta plataforma de hardware, pero lo más comúnmente posible, el software de sistema operativo se escribe para apuntarla. Pero al hacer eso, se convierte en una plataforma en sí mismo, facilitando el funcionamiento del otro software que se utiliza para apuntar el sistema operativo, y además la arquitectura de hardware. Además, el software que se escribe para el sistema operativo se puede utilizar para apoyar el funcionamiento del otro software: por ejemplo a máquina virtual (que apunta un ciertos sistema operativo/hardware) que está utilizado funcionar otros programas que se escriban para él, que constituye otra plataforma.

Papel en software:

Una plataforma es un elemento crucial en el desarrollo del software. Una plataforma se pudo definir simplemente como “lugar para lanzar software”. Es un acuerdo que el abastecedor de la plataforma dio al software a revelador que el código de la lógica interpretará constantemente mientras la plataforma esté funcionando encima de otras plataformas. El código de la lógica incluye código del octeto, código de fuente, y código automático.

Fondo:

Las plataformas se mencionan con frecuencia con APIs. Una habitación completa de APIs constituya otro tipo de plataforma llamada plataforma del software. Las plataformas del software son con frecuencia dependientes a los sistemas operativos. Sin embargo esto no es siempre verdad. Por ejemplo, dos plataformas dependientes populares no-OS son Java, según lo mencionado arriba, y ELABORE CERVEZA para los teléfonos móviles.

Java

Artículo principal: Plataforma de Java

Java los programas son un ejemplo típico del último punto. El código de fuente de Java “se compila” a una intermedio-lengua bytecode cuál entonces es interpretado por un intérprete, JVM, que entonces interconecta ese programa con las bibliotecas del software de Java. En teléfonos, PDAs y otros dispositivos móviles sin hilos, estas bibliotecas son Java YO. Algunos teléfonos, incluso sin un OS hecho y derecho, permiten a los programas de Java tales como juegos funcionar. Java y el bytecode serían independientes de la plataforma. Pero esto es porque Java es la plataforma así como un lenguaje de programación. El software realmente no puede funcionar sin una plataforma o ser independiente de la plataforma. El lenguaje de programación se refiere aquí, significando el programador no necesite ser tratado sobre la plataforma del hardware o del sistema operativo, ni el cambio de la lengua con una diversa plataforma.

.NET

Artículo principal: Marco de .NET

El marco de .NET es respuesta de Microsoft a Sun Java. Microsoft .NET es un término del paraguas que se aplica a una colección ancha de productos y de tecnologías de Microsoft. La mayoría tienen en campo común una dependencia del marco de Microsoft .NET, un componente del sistema operativo de Windows.

Los productos y los componentes de Microsoft que caen en la categoría de .NET incluyen:

·         El marco de Microsoft .NET, un componente del sistema operativo requerido por la mayoría de los productos de .NET.
·         Identificación viva de Windows (conocido antes como pasaporte de .NET)

Ejemplos de la plataforma del sistema operativo:

·         Microsoft Windows
·         Linux
·         OS del Mac compatibilidad hacia atrás vía Rosetta
·         VINO plataforma para comportarse gusto Microsoft Windows


Ejemplos de la plataforma del software:

·         Java - JDK y JRE
·         Marco de .NET - dependencia del sistema operativo (MS Windows)
·         Prisma de Mozilla Corredor de XUL y de XUL
·         AIRE del adobe

Ejemplos del hardware:

·         Superordenador arquitecturas.
·         RISC el procesador basó las máquinas que funcionaban variantes del UNIX:
*      Sol funcionamiento de las computadoras Solaris sistema operativo.
*      Alfa de la DEC racimo funcionamiento debajo OpenVMS.
·         Macintosh, costumbre Computadora de Apple hardware y OS del Mac sistema operativo (ahora emigrado en x86).
·         Computadora de la materia plataformas, por ejemplo:
*      Wintel, es decir, Intel x86 o compatible hardware y Windows sistema operativo.
*      Lintel, es decir, Intel x86 o compatible hardware y Linux sistema operativo.
*      x86 con otro Unix-como sistemas por ejemplo DEB variantes.
·         Gumstix computadoras miniatura de la función completa con Linux.
·         A ordenador central con su sistema operativo de encargo, diga IBM z/OS.
·         A computadora del alcance medio con su sistema operativo de encargo, diga IBM OS/400.
·         Arquitectura del BRAZO encontrado en dispositivos móviles.
·         Cualquier variedad de consola video del juego.

Auditoría Interna y Auditoría Externa:

La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento.

Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.

La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.

En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.

En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas.

Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser:

  • Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados.
  • Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa.
  • Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa.
  • Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa.

La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente.

Síntomas de Necesidad de una Auditoría Informática:

Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

Síntomas de descoordinación y desorganización:

- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.
[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante]

Síntomas de mala imagen e insatisfacción de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, entre otros.

- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.

- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

Síntomas de debilidades económicos-financieros:

- Incremento desmesurado de costes.

- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).

- Desviaciones Presupuestarias significativas.

- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

Síntomas de Inseguridad: Evaluación de nivel de riesgos:

- Seguridad Lógica

- Seguridad Física

- Confidencialidad

[Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]

- Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia Totales y Locales.

- Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

Planes de Contingencia:

Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando.

Controles:

Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.

Clasificación general de los controles

          Controles Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.

Ejemplos:        Letrero “No fumar” para salvaguardar las instalaciones
                        Sistemas de claves de acceso
          Controles detectivos

Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.

Ejemplo:         Archivos y procesos que sirvan como pistas de auditoría
                        Procedimientos de validación

          Controles Correctivos

Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores.

Principales Controles físicos y lógicos

Controles particulares tanto en la parte física como en la lógica se detallan a continuación
Autenticidad

Permiten verificar la identidad
1.         Passwords
2.         Firmas digitales

Exactitud
Aseguran la coherencia de los datos

1.         Validación de campos
2.         Validación de excesos

Totalidad
Evitan la omisión de registros así como garantizan la conclusión de un proceso de envió

1.         Conteo de registros
2.         Cifras de control

Redundancia
Evitan la duplicidad de datos

1.         Cancelación de lotes
2.         Verificación de secuencias

Privacidad

Aseguran la protección de los datos
1.         Compactación
2.         Encriptación
Existencia
Aseguran la disponibilidad de los datos
1.         Bitácora de estados
2.         Mantenimiento de activos

Protección de Activos
Destrucción o corrupción de información o del hardware
1.         Extintores
2.         Passwords

Efectividad
Aseguran el logro de los objetivos

1.         Encuestas de satisfacción
2.         Medición de niveles de servicio

Eficiencia
Aseguran el uso óptimo   de los recursos

1.         Programas monitores
2.         Análisis costo-beneficio

Controles automáticos o lógicos
Periodicidad de cambio de claves de acceso

Los cambios de las claves de acceso a los programas se deben realizar periódicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente.
El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación.
Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.

Combinación de alfanuméricos en claves de acceso
No es conveniente que la clave este compuesta por códigos de empleados, ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave.
Para redefinir claves es necesario considerar los tipos de claves que existen:
Individuales               
Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio.

Confidenciales

De forma confidencial los usuarios deberán ser instruidos formalmente respecto al uso de las claves.

No significativas

Las claves no deben corresponder a números secuenciales ni a nombres o fechas.

Verificación de datos de entrada
Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.

Conteo de registros

Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados.
Totales de Control

Se realiza mediante la creación de totales de línea, columnas, cantidad de formularios, cifras de control, entre otros, y automáticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias.

Verificación de límites

Consiste en la verificación automática de tablas, códigos, límites mínimos y máximos o bajo determinadas condiciones dadas previamente.

Verificación de secuencias
En ciertos procesos los registros deben observar cierta secuencia numérica o alfabética, ascendente o descendente, esta verificación debe hacerse mediante rutinas independientes del programa en si.

Dígito autoerificador

Consiste en incluir un dígito adicional a una codificación, el mismo que es resultado de la aplicación de un algoritmo o formula, conocido como MODULOS, que detecta la corrección o no del código. Tal es el caso por ejemplo del decimo dígito de la cédula de identidad, calculado con el modulo 10 o el ultimo dígito del RUC calculado con el módulo 11.
Utilizar software de seguridad (Plataformas) en los microcomputadores

El software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo.

Adicionalmente, este software permite reforzar la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que están autorizados.

Programas de este tipo son: WACHDOG, LATTICE, SECRET DISK, entre otros.

Controles administrativos en un ambiente de Procesamiento de Datos

La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma:

1.- Controles de Preinstalación
2.- Controles de Organización y Planificación
3.- Controles de Sistemas en Desarrollo y Producción
4.- Controles de Procesamiento
5.- Controles de Operación
6.- Controles de uso de Microcomputadores

          Controles de Preinstalación

Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes.

Objetivos:

            Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.
           
            Garantizar la selección adecuada de equipos y sistemas de computación
           
            Asegurar la elaboración de un plan de actividades previo a la instalación

Acciones a seguir:

            Elaboración de un informe técnico en el que se justifique la adquisición del equipo, software y servicios de computación, incluyendo un estudio costo-beneficio.
           
            Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación
           
            Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobación de los proveedores del equipo.
           
            Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales.
           
            Efectuar las acciones necesarias para una mayor participación de proveedores.
           
            Asegurar respaldo de mantenimiento y asistencia técnica.
          Controles de organización y Planificación

Se refiere a la definición clara de funciones, linea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como:

1.         Diseñar un sistema
2.         Elaborar los programas
3.         Operar el sistema
4.         Control de calidad

Se debe evitar que una misma persona tenga el control de toda una operación.

Es importante la utilización óptima de recursos en el PAD mediante la preparación de planes a ser evaluados continuamente

Acciones a seguir

            La unidad informática debe estar al mas alto nivel de la pirámide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva.
           
            Las funciones de operación, programación y diseño de sistemas deben estar claramente delimitadas.
           
            Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas.
           
            Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento.
           
            El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito.
           
            Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluación y ajustes periódicos “Plan Maestro de Informática”
           
            Debe existir una participación efectiva de directivos, usuarios y personal del PAD en la planificación y evaluación del cumplimiento del plan.
           
            Las instrucciones deben impartirse por escrito.

          Controles de Sistema en Desarrollo y Producción

Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados.
Acciones a seguir:
Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio

            El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir y solicitar la implantación de rutinas de control
           
            El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos, metodologías estándares, procedimientos y en general a normatividad escrita y aprobada.
           
            Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores.
           
            Los programas antes de pasar a Producción deben ser probados con datos que agoten todas las excepciones posibles.
           
            Todos los sistemas deben estar debidamente documentados y actualizados.  La documentación deberá contener:

Informe de factibilidad
Diagrama de bloque
Diagrama de lógica del programa
Objetivos del programa
Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobación de modificaciones
Formatos de salida
Resultados de pruebas realizadas
            Implantar procedimientos de solicitud, aprobación y ejecución de cambios a programas, formatos de los sistemas en desarrollo.
           
            El sistema concluido sera entregado al usuario previo entrenamiento y elaboración de los manuales de operación respectivos

          Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para:

            Asegurar que todos los datos sean procesados
            Garantizar la exactitud de los datos procesados
            Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría
            Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.

Acciones a seguir:

            Validación de datos de entrada previo procesamiento debe ser realizada en forma automática: clave, dígito autoverificador, totales de lotes, entre otros.
           
            Preparación de datos de entrada debe ser responsabilidad de usuarios y consecuentemente su corrección.
           
            Recepción de datos de entrada y distribución de información de salida debe obedecer a un horario elaborado en coordinación con el usuario, realizando un debido control de calidad.
           
            Adoptar acciones necesaria para correcciones de errores.
           
            Analizar conveniencia costo-beneficio de estandarización de formularios, fuente para agilitar la captura de datos y minimizar errores.
           
            Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema.
           
            Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios.

          Controles de Operación

Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento, la administración de la cintoteca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line.

Los controles tienen como fin:

            Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso
            Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD
            Garantizar la integridad de los recursos informáticos.
            Asegurar  la utilización adecuada de equipos acorde a planes y objetivos.


Recursos  
                                     
Informáticos



Acciones a seguir:

            El acceso al centro de cómputo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado
           
            Implantar claves o password para garantizar operación de consola y equipo central (mainframe), a personal autorizado.
           
            Formular políticas respecto a seguridad, privacidad y protección de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violación y como responder ante esos eventos.
           
            Mantener un registro permanente (bitácora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos.
           
            Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en caso de destrucción de archivos.
           
            Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados, preferentemente en bóvedas de bancos.
           
            Se deben implantar calendarios de operación a fin de establecer prioridades de proceso.
           
            Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, entre otros.
           
            El proveedor de hardware y software deberá proporcionar lo siguiente:
           
            Manual de operación de equipos
            Manual de lenguaje de programación
            Manual de utilitarios disponibles
            Manual de Sistemas operativos
           
            Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, asi como extintores de incendio, conexiones eléctricas seguras, entre otras.
           
            Instalar equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía.
           
            Contratar pólizas de seguros para proteger la información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación.

          Controles en el uso del Microcomputador

Es la tarea más difícil pues son equipos mas vulnerables, de fácil acceso, de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información.
Acciones a seguir:

            Adquisición de equipos de protección como supresores de pico,  reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo
           
            Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo.
           
            Establecer procedimientos para obtención de backups de paquetes y de archivos de datos.
           
            Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa.
           
            Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos.
           
            Propender a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas.

Analizados los distintos tipos de controles que se aplican en la Auditoría de Sistemas efectuaremos a continuación el análisis de casos de situaciones hipotéticas planteadas como problemáticas en distintas empresas, con la finalidad de efectuar el análisis del caso e identificar las acciones que se deberían implementar.
          Análisis de Casos de Controles Administrativos
Controles sobre datos fijos
Lea cada situación atentamente y
1.- Enuncie un control que hubiera prevenido el problema o posibilitado su detección.

2.- Identifique uno o más controles alternativos que hubieran ayudado a prevenir o a detectar el problema.

Situación 1

Un empleado del grupo de control de datos obtuvo un formulario para modificaciones al archivo maestro de proveedores (en blanco) y lo completo con el código y nombre de un proveedor ficticio, asignándole como domicilio el número de una casilla de correo que previamente había abierto a su nombre.

Su objetivo era que el sistema emitiera cheques a la orden del referido proveedor, y fueran luego remitidos a la citada casilla de correo.

Cuando el listado de modificaciones al archivo maestro de proveedores (impreso por esta única modificación procesada en la oportunidad) le fue enviado para su verificación con los datos de entrada, procedió a destruirlo.

Alternativas de Solución

         Los formularios para modificarse a los archivos maestros deberían ser prenumerados; el departamento usuario respectivo debería  controlar su secuencia numérica.

         Los listados de modificaciones a los archivos maestros no sólo deberían listar  los cambios recientemente procesados, sino también contener totales  de control de los campos importantes,(número de registros, suma de campos importantes, fecha de la última modificación, entre otros.) que deberían ser reconciliados por los departamentos usuarios con los listados anteriores.

Situación 2

Al realizar una prueba de facturación los auditores observaron que los precios facturados en algunos casos no coincidían con los indicados en las listas de precios vigentes.  Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido procesados, razón por la cual el archivo maestro de precios estaba desactualizado.

Alternativas de Solución

         Uso de formularios prenumerados para modificaciones y controles programados  diseñado para detectar alteraciones en la secuencia numérica de los mismos.

         Creación de totales de  control por lotes de formularios de modificaciones y su posterior reconciliación con un listado de las modificaciones procesadas.

         Conciliación  de totales  de control de campos significativos con los acumulados por el computador.

         Generación y revisión  de los listados de modificaciones procesadas por un  delegado responsable.

         Revisión  de listados  periódicos del contenido del archivo maestro de precios.

Situación 3

El operador del turno de la noche, cuyos conocimientos de programación eran mayores de los que los demás suponían, modifico (por consola) al archivo maestro de remuneraciones a efectos de lograr que se abonara a una remuneración más elevada a un operario del área de producción con el cual estaba emparentado. El fraude fue descubierto accidentalmente varios meses después.

Alternativas de Solución

         Preparación  de totales de control del usuario y reconciliación con los acumulados  del campo remuneraciones, por el computador.

         Aplicación de control de límites de razonabilidad.

Situación 4

XX  Inc. Es un mayorista de equipos de radio que comercializa sus  equipos a través de una vasta red de representantes. Sus clientes son minoristas locales y del exterior; algunos son  considerados “clientes especiales”, debido al volumen de sus compras, y los mismos son atendidos directamente por los supervisores de ventas. Los clientes especiales no se incrementan por lo general, en la misma proporción que aquellas facturadas a los clientes especiales.

Al  incrementarse los precios, el archivo maestro de precios y condiciones de venta a clientes especiales no es automáticamente actualizado; los propios supervisores estipulan qué porción del incremento se aplica a cada uno de los clientes especiales.

El 2 de mayo de 1983 la compañía incrementó sus precios de venta en un  23%; el archivo maestro de precios y condiciones de venta a clientes comunes fue actualizado en dicho porcentaje.

En lo que  atañe a los clientes especiales, algunos supervisores  incrementaron los precios en el referido porcentaje, en tanto que otros  -por razones comerciales- recomendaron incrementos inferiores que oscilaron entre un 10% y un 20%. Estos nuevos  precios  de venta fueron  informados  a la oficina  central por medio  de formularios  de datos  de entrada,  diseñados al efecto, procediéndose a la actualización del archivo maestro.

En la oportunidad, uno de los supervisores acordó con uno de sus clientes especiales no incrementar los precios de venta (omitió remitir el citado formulario para su procesamiento) a cambio de una  “comisión’’ del  5% de las ventas.

Ningún funcionario en la oficina central detectó la no actualización de los precios facturados a referido cliente razón  por la cual la compañía  se vio  perjudicada  por  el equivalente a  US$ 50.000.  El fraude  fue  descubierto accidentalmente, despidiéndose al involucrado, pero no se  interrumpió la  relación  comercial.

Alternativas de Solución

         La empresa  debería actualizar el archivo  maestro  de precios  y condiciones  de venta aplicando la totalidad del  porcentaje de incremento.

         Los supervisores de venta deberían remitir  formularios de entrada  de datos  transcribiendo los descuentos propuestos  para clientes especiales.

         Los formularios deberían ser prenumerados, controlados y  aprobados, antes  de su  procesamiento, por funcionarios  competentes en la  oficina central.

         Debe realizarse una  revisión critica de listados de excepción  emitidos  con la nómina  de aquellos  clientes cuyos  precios  de venta  se hubiesen  incrementado en menos de un determinado porcentaje.

Situación 5

Un empleado del almacén de productos terminados ingresos al computador ordenes de despacho ficticio, como resultado de las cuales se despacharon mercaderías a clientes inexistentes.
Esta situación fue descubierta hasta que los auditores realizaron pruebas de cumplimientos y comprobaron que existían algunos despachos no autorizados.

Alternativas de Solución

         Un empleado independiente de la custodia de los inventarios debería reconciliar diariamente la información sobre despachos generada como resultado del procesamiento de las órdenes de despacho, con documentación procesada independientemente, por ejemplo, notas de pedido aprobadas por la gerencia de ventas.
De esta manera se detectarían los despachos ficticios.

Situación 6
Al realizar una prueba de facturación, los auditores observaron que los precios facturados en algunos casos no coincidían con los indicados en las listas de precios vigentes. Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido procesados, razón por la cual el archivo maestro de precios estaba desactualizado.

Alternativas de Solución

         Creación de totales de  control por lotes de formularios de modificaciones y su posterior reconciliación con un listado de las modificaciones procesadas.

         Conciliación  de totales  de control con los acumulados por el computador referentes al contenido de campos significativos.

         Generación  y revisión, por un  funcionario responsable, de los listados de modificaciones procesadas.

         Generación y revisión  de listados  periódicos del contenido del archivo maestro de precios.

Situación 7

Una cobranza en efectivo a un cliente registrada claramente en el correspondiente recibo como de $ 18,01, fue ingresada al computador por $ 1.801 según surge del listado diario de cobranzas en efectivo.

Alternativas de Solución

         Contraloría/Auditoría debería preparar y conservar totales de control de los lotes de recibos por cobranzas en efectivo. Estos totales deberían ser luego comparados con los totales según  el listado diario de cobranzas en efectivo.

         Un test de razonabilidad asumiendo que un pago de $361.300 está definido como no razonable.

         Comparación automática de  los pagos recibidos con las facturas pendientes por el número de factura y rechazar o imprimir aquellas discrepancias significativas o no razonables.

         Efectuar la Doble digitación de campos críticos tales como valor o importe.

Seguridad de los Sistemas:

   La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.
   En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado “virus” de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización (“piratas”) y borra toda la información que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias “piratas” o bien que, al conectarnos en red con otras computadoras,  no exista la posibilidad de transmisión del  virus. El uso inadecuado de la computadora comienza desde la utilización de tiempo  de máquina para usos ajenos de la organización, la copia de programas para fines  de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos.
   La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, entre otros.
   La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.
Un método eficaz para proteger sistemas de computación es el software de control de acceso.  Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial.  Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes.

Ejemplo: Existe una Aplicación de Seguridad que se llama SEOS, para Unix, que lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a directorios, que usuario lo hizo, si tenía o no tenía permiso, si no tenía permiso porque falló, entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password equivocada, cambios de password, entre otros. La Aplicación lo puede graficar, tirar en números, puede hacer reportes, entre otros.

La seguridad informática se la puede dividir como Área General y como Área Especifica (seguridad de Explotación, seguridad de las Aplicaciones, entre otros.). Así, se podrán efectuar auditorías de la Seguridad Global de una Instalación Informática –Seguridad General- y auditorías de la Seguridad de un área informática determinada – Seguridad Especifica -.
   Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han ido originando acciones para mejorar la Seguridad Informática a nivel físico. Los accesos  y conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y  la utilización de sofisticados medios criptográficos.

El sistema integral de seguridad debe comprender:

          Elementos administrativos
          Definición de una política de seguridad
          Organización y división de responsabilidades
          Seguridad física y contra catástrofes (incendio, terremotos, entre otros.)
          Prácticas de seguridad del personal
          Elementos técnicos y procedimientos
          Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.
          Aplicación de los sistemas de seguridad, incluyendo datos y archivos
          El papel de los auditores, tanto internos como externos
          Planeación de programas de desastre y su prueba.

  La decisión de abordar una Auditoría Informática de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida. Se elaboran “matrices de riesgo”, en donde se consideran los factores de las “Amenazas” a las que está sometida una instalación y los “Impactos” que aquellas puedan causar cuando se presentan. Las matrices de riesgo se representan en cuadros de doble entrada <<Amenaza-Impacto>>, en donde se evalúan las probabilidades de ocurrencia de los elementos de la matriz.
Ejemplo:
Impacto
Amenaza

1: Improbable
2: Probable
3: Certeza
-: Despreciable

Error
Incendio
Sabotaje
   ……..
Destrucción
de Hardware
-
1
1

Borrado de
Información
3
1
1


El cuadro muestra que si por error codificamos un parámetro que ordene el borrado de un fichero, éste se borrará con certeza.

 
Vulnerabilidad de los Sistemas:

 Posibilidad de ocurrencia de la materialización de una amenaza sobre un activo.

Tenga en cuenta que muchos problemas en los sistemas de información se dan por errores propios de los sistemas y que permiten que se tenga acceso violando las normas establecidas, esto quiere decir por ejemplo los errores de programación, porque al ser un sistema muy grande en ocasiones no son corregidos totalmente los errores y pueden a futuro crear inestabilidad en el sistema. Según [3] los estudios muestran que aproximadamente 60% de los errores se detectan durante las pruebas y son resultado de especificaciones omitidas, ambiguas, erróneas o no perceptibles en la documentación del diseño.

Otra de las razones por las que los sistemas de información pueden ser inestables, es por el mantenimiento, ya que es la fase más costosa de todo proyecto, además porque casi la mitad del tiempo se dedica a realizar ajustes y mantenimiento a los sistemas.
Es por tanto que el proceso de certificar la calidad es esencial para el proceso de desarrollo de un sistema de información, ya que podrá prevenir errores durante la captura de datos.

Riesgos:

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos a los cuales están sometidos los procesos y actividades de una entidad y por medio de procedimientos de control se pueda evaluar el desempeño de la misma.

Si consideramos entonces, que la Auditoría es “un proceso sistemático, practicado por los auditores de conformidad con normas y procedimientos técnicos establecidos, consistente en obtener y evaluar objetivamente las evidencias sobre las afirmaciones contenidas en los actos jurídicos o eventos de carácter técnico, económico, administrativo y otros, con el fin de determinar el grado de correspondencia entre esas afirmaciones, las disposiciones legales vigentes y los criterios establecidos.” es aquella encargada de la valoración independiente de sus actividades. Por consiguiente, la Auditoría debe funcionar como una actividad concebida para agregar valor y mejorar las operaciones de una organización, así como contribuir al cumplimiento de sus objetivos y metas; aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y dirección.

Los servicios de Auditoría comprenden la evaluación objetiva de las evidencias, efectuada por los auditores, para proporcionar una conclusión independiente que permita calificar el cumplimiento de las políticas, reglamentaciones, normas, disposiciones jurídicas u otros requerimientos legales; respecto a un sistema, proceso, subproceso, actividad, tarea u otro asunto de la organización a la cual pertenecen.

A diferencia de algunos autores, que definen la ejecución de las auditorías por etapas, somos del criterio que es una actividad dedicada a brindar servicios que agrega valores consecuentemente en dependencia de la eficiencia y eficacia en el desarrollo de diferentes tareas y actividades las cuales deberán cumplirse sistemáticamente en una cadena de valores que paulatinamente deberán tenerse en cuenta a través de subprocesos que identifiquen la continuidad lógica del proceso, para proporcionar finalmente la calidad del servicio esperado.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro de los subprocesos es la inadecuada previsión de riesgos, se hace necesario entonces estudiar los Riesgos que pudieran aparecen en cada subproceso de Auditoría, esto servirá de apoyo para prevenir una adecuada realización de los mismos.

Es necesario en este sentido tener en cuenta lo siguiente:
· La evaluación de los riesgos inherentes a los diferentes subprocesos de la Auditoría.
· La evaluación de las amenazas o causas de los riesgos.
· Los controles utilizados para minimizar las amenazas o riesgos.
· La evaluación de los elementos del análisis de riesgos.

Generalmente se habla de Riesgo y conceptos de Riesgo en la evolución de los Sistemas de Control Interno, en los cuales se asumen tres tipos de Riesgo:

Riesgo de Control: Que es aquel que existe y que se propicia por falta de control de las actividades de la empresa y puede generar deficiencias del Sistema de Control Interno.

Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su revisión no detecten deficiencias en el Sistema de Control Interno.

Riesgo Inherente: Son aquellos que se presentan inherentes a las características del Sistema de Control Interno.

Sin embargo, los Riesgos están presentes en cualquier sistema o proceso que se ejecute, ya sea en procesos de producción como de servicios, en operaciones financieras y de mercado, por tal razón podemos afirmar que la Auditoría no está exenta de este concepto.

En cada Subproceso, como suele llamársele igualmente a las etapas de la misma, el auditor tiene que realizar tareas o verificaciones, en las cuales se asumen riesgos de que esas no se realicen de la forma adecuada, claro que estos Riesgos no pueden definirse del mismo modo que los riesgos que se definen para el control Interno.

El criterio del auditor en relación con la extensión e intensidad de las pruebas, tanto de cumplimiento como sustantivas, se encuentra asociado al riesgo de que queden sin detectar errores o desviaciones de importancia, en la contabilidad de la empresa y no los llegue a detectar el auditor en sus pruebas de muestreo. El riesgo tiende a minimizarse cuando aumenta la efectividad de los procedimientos de auditoría aplicados.
El propósito de una auditoría a los Estados Financieros no es descubrir fraudes, sin embargo, siempre existe la posibilidad de obtener cifras erróneas como resultado de una acción de mala fe, ya que puede haber operaciones planeadas para ocultar algún hecho delictivo. Entre una gran diversidad de situaciones, es posible mencionar las siguientes:
· Omisión deliberada de registros de transacciones.
· Falsificación de registros y documentos.
· Proporcionar al auditor información falsa.

A continuación se exponen algunas situaciones que pueden indicar la existencia de errores o irregularidades.

a) Cuando el auditor tiene dudas sobre la integridad de los funcionarios de la empresa; si la desconfianza solamente es con relación a la competencia y no con la honradez de los ejecutivos de la compañía, el auditor deberá tener presente que pudiera encontrarse con situaciones de riesgo por errores o irregularidades en la administración.

b) Cuando el auditor detecte que los puestos clave como cajero, contador, administrador o gerente, tienen un alto porcentaje de rotación, existe la posibilidad de que los procedimientos administrativos, incluidos los contables, presenten fallas que pueden dar lugar a errores o irregularidades.

c)  El desorden del departamento de contabilidad de una entidad implica informes con retraso, registros de operaciones inadecuados, archivos incompletos, cuentas no conciliadas, entre otros. Esta situación como es fácil comprender, provoca errores, tal vez realizados de buena fe, o inclusive con actos fraudulentos. La gerencia tiene la obligación de establecer y mantener procedimientos administrativos que permitan un control adecuado de las operaciones.

Dentro de las auditorías se debe verificar la función de elaboración o proceso de datos, donde se deben chequear entre otros los siguientes aspectos:
· Existencia de un método para cerciorarse que los datos recibidos para su valoración sean completos, exactos y autorizados;
· emplear procedimientos normalizados para todas las operaciones y examinarlos para asegurarse que tales procedimientos son acatados;
· Existencia de un método para asegurar una pronta detección de errores y mal funcionamiento del Sistema de Cómputo;
· deben existir procedimientos normalizados para impedir o advertir errores accidentales, provocados por fallas de operadores o mal funcionamiento de máquinas y programas.

Sistemas de Control de Riesgos

La estructura de Control de Riesgos pudiéramos fundamentarla en dos pilares: los Sistemas Comunes de Gestión y los Servicios de Auditoría Interna, cuyas definiciones, objetivos, características y funciones se exponen a continuación.
 
CONCLUSIÓN

Podemos concluir, que la aplicación de una auditoría en las organizaciones puede tomar diferentes cursos de acción, dependiendo de su estructura organizativa, objeto, giro, naturaleza de sus productos y servicios, nivel de desarrollo y, en particular, con el grado y forma de delegación de autoridad.

La conjunción de estos factores, tomando en cuenta los aspectos normativos y operativos, las relaciones con el entorno y la ubicación territorial de las áreas y mecanismos de control establecidos, constituyen la base para estructurar una línea de acción capaz de provocar y promover los cambios de personal o institucional necesarios para que un estudio de auditoria se traduzca en un proyecto innovador sólido.

Tomando en consideración todas las investigaciones realizadas, podemos concluir que la auditoria es dinámica, la cual debe aplicarse formalmente en toda empresa, independientemente de su magnitud y objetivos; aun en empresas pequeñas, en donde se llega a considerar inoperante, su aplicación debe ser secuencial constatada para lograr eficiencia.









BIBLIOGRAFÍA

www.monografias.com/auditoria
Alvin A. Arens. Año 1995. Auditoria Un enfoque Integral
Editorial Océano. Enciclopedia de la Auditoria.
Francisco Gómez Rondon. Auditoria Administrativa
Joaquín Rodríguez Valencia. Año 1997. Sinopsis de Auditoria Administrativa
Profesor A. López de SA. Año 1974. Curso de Auditoria
Víctor Lázzaro. Sistemas y Procedimientos
William P. Leonard. Auditoria Administrativa
Publicado por en 1 comentario:
Suscribirse a: Entradas (Atom)