1. UNIVERSIDAD DE COLIMA
FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA
LA AUDITORIA EN LA INFORMÁTICA
ENSAYO
QUE PARA OBTENER EL GRADO DE:
MAESTRA EN CIENCIAS COMPUTACIONALES
PRESENTA: LORENA CARMINA MORENO JIMÉNEZ
ASESOR: MC. ANDRÉS GERARDO FUENTES COVARRUBIAS
COQUIMATLÁN, COLIMA, ABRIL DE 2003
2. UNIVERSIDAD DE COLIMA
FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA
EXPEDIENTE: 510
NUM. 92-5131
MORENO JIMÉNEZ LORENA CARMINA
AVE. NIÑOS HÉROES #427
VILLA DE ÁLVAREZ, COLIMA
Informo a usted que ha sido APROBADO por el H. CONSEJO TÉCNICO DE LA MAESTRÍA EN
COMPUTACIÓN, como tema de titulación para obtener el grado de MAESTRA EN CIENCIAS
COMPUTACIONALES.
El solicitado por usted bajo el título:
"LA AUDITORIA EN LA INFORMÁTICA (ENSAYO)"
Desarrollado bajo los siguientes puntos:
1. ANTECEDENTES
2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA
3. AUDITORIA INFORMÁTICA
4. TIPOS DE AUDITORIAS
5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA
6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA
7. EVALUACIÓN DE SISTEMAS
8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO
9. EVALUACIÓN DE LA SEGURIDAD
10. INFORME FINAL
11. DIFERENTES ENFOQUES DE LA AUDITORIA
12. CONCLUSIONES
BIBLIOGRAFÍA
Al mismo tiempo, informo a usted que ha sido designado como DIRECTOR DE TESIS el C. M.C.
ANDRÉS GERARDO FUENTES COVARRUBIAS.
En cada uno de los ejemplares de titulación que presente para examen, deberá aparecer en primer
termino copia del presente oficio.
C.c.p. EXPEDIENTE ALUMNO
RFC7AGFC/laal*
Km 9 Carretera Colima-Coquimatlán, Colima, Colima, México, Cp 28400
Tel. 01 (3) 316 1165, Ext. 51451, Ext Fax 51454
3. H. CONSEJO TÉCNICO DE POSGRADO EN COMPUTACIÓN FACULTAD DE
INGENIERÍA MECÁNICA Y ELÉCTRICA
UNIVERSIDAD DE COLIMA
Por medio del presente conducto informo que la C. MORENO JIMÉNEZ
LORENA CARMINA, terminó su período de revisión de tesis. El trabajo al cual se
hace mención fue denominado:
LA AUDITORIA EN LA INFORMÁTICA (ENSAYO)
Cuyo contenido es el siguiente:
1. ANTECEDENTES
2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA
3. AUDITORIA INFORMÁTICA
4. TIPOS DE AUDITORIAS
5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA
6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA
7. EVALUACIÓN DE SISTEMAS
8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE
COMPUTO
9. EVALUACIÓN DE LA SEGURIDAD
10. INFORME FINAL
11. DIFERENTES ENFOQUES DE LA AUDITORIA
12. CONCLUSIONES
BIBLIOGRAFÍA
El cual cumple con los requisitos necesarios para su aprobación, por lo cual
lo autorizo para su impresión.
C.c.p. Expediente
4. EXPEDIENTE: 510
FECHA: 05-04-2003
Acta No. :23
MORENO JIMÉNEZ LORENA CARMINA
AVE. NIÑOS HÉROES #427
VILLA DE ÁLVAREZ, COLIMA
TEL: 01-312-3136872
En cumplimiento a lo dispuesto por los artículos 13 y 14 del reglamento de titulación vigente, al
artículo 40, inciso A del reglamento de estudios de posgrado vigente y al artículo 46 de las normas
complementarias al reglamento de posgrado, correspondiente al Posgrado de la Facultad de ingeniería
Mecánica y Eléctrica. Informamos a usted que ha sido AUTORIZADO por este Consejo Técnico su tema de
tesis para obtener el grado de MAESTRA EN CIENCIAS COMPUTACIONALES el denominado: "LA
AUDITORIA EN LA INFORMÁTICA (ENSAYO)". Para ser desarrollado bajo los siguientes puntos:
1. ANTECEDENTES
2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA
3. AUDITORIA INFORMÁTICA
4. TIPOS DE AUDITORIAS,
5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA
6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA
7. EVALUACIÓN DE SISTEMAS
8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO
9. EVALUACIÓN DE LA SEGURIDAD
10. INFORME FINAL
11. DIFERENTES ENFOQUES DE LA AUDITORIA
12. CONCLUSIONES
BIBLIOGRAFÍA
Así mismo, hacemos de su conocimiento que de acuerdo con la línea de investigación en la cual se
enmarca C su proyecto ha sido designado como DIRECTOR DE TESIS el C. M.C. ANDRÉS GERARDO
FUENTES COVARRUBIAS.
A partir de la fecha de aprobación tendrá como plazo un año para presentar su examen de grado, en
caso contrario tendrá usted derecho a una prorroga única de seis meses so pena de perder el registro de su
proyecto, lo anterior bajo la consideración del Consejo Técnico y la aprobación de su director de tesis.
Una vez concluidos los tramites de revisión de su documento de tesis e integrado su expediente de
titulación deberá recoger el oficio que acompañara el visto bueno de su director de tesis, los cuales
encabezarán cada uno de los ejemplares de sus tesis.
5. DEDICATORIA
Agradezco,
a mi familia por el apoyo incondicional y el aliciente que me
proporcionan para seguir adelante, en particular a mi esposo el
Dr. Nicandro Farias Mendoza, que formo parte importante en la
culminación de mi trabajo.
A la Universidad de Colima por brindarme la oportunidad de
seguir preparándome.
A mis maestros por trasmitir sus conocimientos.
Al maestro Andrés Gerardo Fuentes Covarrubias por
haberme brindado la oportunidad de trabajar con él en el
desarrollo del trabajo.
6. CONTENIDO
INTRODUCCIÓN
CAPITULO 1 ANTECEDENTES
CAPITULO 2 TERMINOLOGÍA DE LA AUDITORIA
INFORMÁTICA
2.1 Informática 9
2.2 Auditoria 12
2.3 Tareas principales de la auditoria 13
2.4 Auditoria en informática 13
CAPITULO 3 AUDITORIA INFORMÁTICA
3.1 Importancia de la auditoria informática 15
3.2 Formas de llevar a cabo una auditoria informática 15
3.3 Síntomas de necesidad de una auditoría informática 16
3.4 Herramientas y técnicas para la auditoría informática 18
3.4.1 Cuestionarios 18
3.4.2 Entrevistas 18
3.4.3 Checklist 19
3.4.4 Trazas y/o huellas 22
3.4.5 Software de interrogación 23
CAPITULO 4 TIPOS DE AUDITORIAS
4.1. Concepto de auditoría en informática 25
4.2. Auditoria interna y auditoría contable/financiera 27
4.2.1 Definición de control interno 27
4.2.2 Objetivos del control interno 27
4.2.3 Clases de controles internos 31
4.2.3.1 Atendiendo al momento que se actúa 31
4.2.3.2 Controles de supervisión 31
4.3. Auditoria administrativa 37
4.4. Concepto de auditoría con informática 38
4.5 Concepto de auditoría de programas 44
4.6 Concepto de auditoria de seguridad 45
4.6.1 Consideraciones inmediatas 45
4.6.2 Consideraciones para elaborar un sistema
de seguridad integral 49
4.6.3 Etapas para implementar un sistema
de seguridad 50
4.6.4 Etapas para implementar un sistema de
seguridad en marcha 51
4.6.5 Beneficios de un sistema de seguridad 51
7. CAPITULO 5 PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA
5.1 Planeación de la auditoría en informática 52
5.1.1 Investigación preliminar 53
5.1.2 Personal participante 56
CAPITULO 6 AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA
6.1 Recopilación de la información organizacional 58
6.2 Evaluación de la estructura orgánica 59
6.3 Evaluación de los recursos humanos 73
6.4 Entrevistas con el personal de informática 79
6.5 Situación presupuestal y financiera 80
CAPITULO 7 EVALUACIÓN DE SISTEMAS
7.1 Evaluación de sistemas 84
7.2 Evaluación del análisis 86
7.3 Evaluación del diseño lógico del sistema 88
7.4 Evaluación del desarrollo del sistema 93
7.5 Control de proyectos 94
7.6 Control de diseño de sistemas de información 96
7.7 Instructivos de operación 99
7.8 Forma de implantación 100
7.9 Equipo y facilidades de programación 100
7.10 Entrevistas a usuarios 100
CAPITULO 8 EVALUACIÓN DEL PROCESO DE DATOS Y DE
LOS EQUIPOS DE COMPUTO
8.1 Controles 104
8.1.1 Controles de los datos fuente y manejo
de cifras de control 104
8.1.2 Control de operación 107
8.1.3 Controles de salida 112
8.1.4 Control de asignación de trabajo 112
8.1.5 Control de medios de almacenamiento masivos 114
8.1.6 Control de mantenimiento 117
8.2 Orden en el centro de cómputo 124
8.3 Evaluación de la configuración del sistema de cómputo 125
8.4 Productividad 126
8. CAPITULO 9 EVALUACIÓN DE LA SEGURIDAD
9.1 Seguridad lógica y confidencialidad 128
9.2 Seguridad en el personal 137
9.3 Seguridad física 137
9.4 Seguros 144
9.5 Seguridad en la utilización de equipo 146
9.6 Procedimiento de respaldo en caso de desastre 150
9.7 Condiciones, procedimientos y controles para otorgar
soporte a otras instituciones 155
CAPITULO 10 INFORME FINAL
10.1 Técnicas para la interpretación de la información 156
10.1.1 Análisis crítico de los hechos 156
10.1.2 Metodología para obtener el grado de madurez
del sistema 157
10.1.3 Uso de diagramas 158
10.2 Evaluación de los sistemas 159
10.3 Evaluación de los sistemas de información 163
10.4 Controles 165
10.5 Confección y redacción del informe final 167
CAPITULO 11 DIFERENTES ENFOQUES DE LA AUDITORIA
11.1 Introducción 170
CAPITULO 12 CONCLUSIONES 202
BIBLIOGRAFÍA 206
ANEXOS 207
9. Introducción
A finales del siglo XX, los Sistemas Informáticos se han constituido en las
herramientas más poderosas para materializar uno de los conceptos más vitales y
necesarios para cualquier organización empresarial, los Sistemas de Información
de la empresa.
La Informática hoy, está subsumida en la gestión integral de la empresa, y
por eso las normas y estándares propiamente informáticos deben estar, por lo
tanto, sometidos a los generales de la misma. En consecuencia, las
organizaciones informáticas forman parte de lo que se ha denominado el
"management" o gestión de la empresa. Cabe aclarar que la Informática no
gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide
por sí misma. Por ende, debido a su importancia en el funcionamiento de una
empresa, existe la Auditoria Informática.
El término de Auditoría se ha empleado incorrectamente con frecuencia ya
que se ha considerado, como una evaluación cuyo único fin es detectar errores y
señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como
sinónimo de que, en dicha entidad, antes de, realizarse la auditoría, ya se habían
detectado fallas.
El concepto de auditoría es mucho más que esto.
La palabra auditoría proviene del latín auditorius, y de esta proviene la
palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.
Por otra parte, el diccionario Español Sopena lo define como: Revisor de
Cuentas colegiado. En un principio esta definición carece de la explicación del
objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.
Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de
contadores nos dice: " La auditoría no es una actividad meramente mecánica que
implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevado
a cabo son de carácter indudable."
De todo esto sacamos como deducción que la auditoría es un examen
crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad
auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una
sección o de un organismo.
El auditor informático ha de velar por la correcta utilización de los amplios
recursos que la empresa pone en juego para disponer de un eficiente y eficaz
Sistema de Información. Claro está, que para la realización de una auditoría
informática eficaz, se debe entender a la empresa en su más amplio sentido, ya
que una Universidad, un Ministerio o un Hospital son tan empresas como una
1
10. Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar
sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios
económicos y reducción de costos.
Por eso, al igual que los demás órganos de la empresa (Balances y
Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están
sometidos al control correspondiente, o al menos debería estarlo. La importancia
de llevar un control de esta herramienta se puede deducir de varios aspectos. He
aquí algunos:
• Las computadoras y los Centros de Proceso de Datos se convirtieron en
blancos apetecibles no solo para el espionaje, sino para la delincuencia y
el terrorismo. En este caso interviene la Auditoría Informática de
Seguridad.
• Las computadoras creadas para procesar y difundir resultados o
información elaborada pueden producir resultados o información errónea
si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces
olvidado por las mismas empresas que terminan perdiendo de vista la
naturaleza y calidad de los datos de entrada a sus Sistemas
Informáticos, con la posibilidad de que se provoque un efecto cascada y
afecte a Aplicaciones independientes. En este caso interviene la
Auditoría Informática de Datos.
• Un Sistema Informático mal diseñado puede convertirse en una
herramienta peligrosa para la empresa: como las máquinas obedecen
ciegamente a las órdenes recibidas y la modelización de la empresa está
determinada por las computadoras que materializan los Sistemas de
Información, la gestión y la organización de la empresa no puede
depender de un Software y Hardware mal diseñados. Estos son solo
algunos de los varios inconvenientes que puede presentar un Sistema
Informático, por eso, la necesidad de la Auditoría de Sistemas.
2
11. __________________________________________________________________
1
Antecedentes
La información es inherente a la existencia de las personas y de las
sociedades. Permite conocer la realidad, interactuar con el medio físico, apoyar en
la toma de decisiones, y evaluar las acciones de individuos y grupos el
aprovechamiento de la información propicia la mejoría de los niveles de bienestar
y permite aumentar la productividad y competitividad de las naciones.
El importante aporte de la información se ha visto acrecentado por la
posibilidad que ha traído consigo la informática, surgida de la convergencia
tecnológica de la computación, la microelectrónica y las telecomunicaciones, para
producir información en grandes volúmenes, y para consultarla y transmitirla a
través de enormes distancias.
De hecho, el mundo de fin de siglo XX esta inmerso en una nueva
Revolución tecnológica basada en la informática. Esta encuentra su principal
impulso en el acceso expedito y en la capacidad de procesamiento de información
sobre prácticamente todos los temas y sectores. La nueva Revolución tecnológica
ha contribuido a que culturas y sociedades se transformen aceleradamente, tanto
económica como social y políticamente, con el objetivo fundamental de alcanzar la
plenitud de sus potencialidades.
En el mundo, hoy la informática es de carácter estratégico sus aplicaciones,
ya han afectado prácticamente todas las actividades humanas de la manera
siguiente:
• permitiendo la comunicación instantánea de conocimiento a distancia.
(por ejemplo permitir integrar grupos de personas que radiquen en
distintos sitios, con afinidades o necesidades especifica, para resolver
problemas que les son comunes, generando los que se denomina
inteligencia colectiva, etc..)
• ampliando las capacidades intelectuales del hombre.
• estableciendo al conocimiento como factor productivo.
• facilitando la generación de nuevas tecnologías y la automatización de
procesos.
• permitiendo la reducción de tiempos y costos de producción.
3
12. • impulsando la aparición de nuevos productos.
• propiciando nuevos servicios y de mejor calidad. (en el sector publico,
algunos, como los de salud, enseñanza y seguridad social prestándose
en mayor escala y de manera mas eficaz. las computadoras y las
telecomunicaciones pueden coadyuvar en el suministro de estos
servicios a comunidades marginadas, etc... todo esto se traduce a
beneficios tangibles para la población.)
• generando nuevos empleos, principalmente en los servicios
(mantenimiento, instalación y reparación de equipo, capacitación, etc...)
• modificando la composición y estructuras de los sectores productivos. (se
efientizan estructuras, se redefinen responsabilidades de los directivos y
trabajadores, etc...)
• da lugar a la noción del mundo como aldea global. (ya que los avances
tecnológicos que se perfilan, hacen posible la transformación de los
servicios para acercarlos a las necesidades particulares de las personas.
(por ejemplo, la conexión a redes de computadoras nacionales e
internacionales.)
A estos efectos se están sumando transformaciones igualmente
importantes, en el ámbito social, al cambiar la manera en que se llevan a cabo
innumerables actividades cotidianas.
Por la magnitud de sus efectos, esta Revolución tecnológica es comparable
a dos importantes acontecimientos históricos de desarrollo tecnológico estratégico:
Imprenta (siglo XV)
• permitió una mayor comunicación de ideas a distancia en forma
impresa.
• impulso la generación del conocimiento.
• propicio el surgimiento de la escritura y la lectura como habilidad
social.
• motivo la evolución cultural, social, política y económica.
Revolución Industrial (siglo XVIII)
• Incremento capacidades productivas y la disponibilidad de
satisfactores.
• Amplio opciones de empleo y de organización productiva.
• Causo desplazamiento del campo a la ciudad.
• Motivo desarrollo heterogéneo entre las naciones redefiniendo la
arquitectura del mundo.
En conclusión las sociedades que han incorporado la informática a su forma
de vida cuentan con una ventaja económica y social invaluable en el contexto de
la globalización debido a ello, múltiples naciones están enfocando sus esfuerzos a
diseñar políticas y estrategias en informática.
4
13. El mundo no puede sustraerse de este contexto: los futuros niveles de
bienestar y la viabilidad competitiva, dependen en gran medida de una estrategia
informática que permita aprovechar el potencial que representa esta tecnología,
haciendo de ella un instrumento eficaz que sirva para resolver problemas y para
enfrentar con optimismo renovado los retos que el presente y el futuro presenten,
por lo que es necesario en definitiva, para obtener un buen aprovechamiento evitar
que por una falta de estándares y metodologías, y por una falta de formación y
cultura generalizada, sobre todo en los aspectos de control y de seguridad
informática, a pesar de los grandes adelantos tecnológicos, se produzca en las
áreas de informática islotes de mecanización y de procesos manuales difíciles de
controlar y caros de mantener por una falta de asimilación de las nuevas
tecnologías, por una infrautilización de los equipos informáticos, por un
descontento generalizado de los usuarios, por una obsolescencia de las
aplicaciones informáticas actuales, por una falta de planificación de los Sistemas
de Información, por falta de seguridad física y lógica y por soluciones planteadas
parcialmente que, todo esto puede ser resueltos mediante la auditoría en
Informática que es válida para cualquier tamaño de empresa y que teniéndola
como un ejercicio práctico y formal, brindará a sus ejecutantes, así como a los
negocios, un sentimiento de satisfacción justificado por el entendimiento y
compromiso que implica asegurar la utilización correcta de los recursos de
informática para lograr los objetivos de la organización.
Todo lo que se planea debe ejecutarse con formalidad y oportunidad, lo que
se relaciona con el hecho de que cualquier organización desea mantener sus
activos en las mejores condiciones posibles y salvaguardar su integridad.
La función de del auditor en informática no es fungir como capataz o policía
del negocio, como tantas veces se ha planteado en forma sarcástica o
costumbrista en las organizaciones. Este profesionista se orienta a funcionar como
un punto de control y confianza para la alta dirección, además de que se busca ser
un facilitador de soluciones.
Por analogía el auditor se asemeja al médico que evalúa al paciente y le
recomienda el tratamiento idóneo para estar en óptimas condiciones de salud.
Según la situación del enfermo, recomendará tratamientos ligeros o fuertes y
estrictos.
Lo importante es que el paciente sepa que puede mejorar su salud. Esa es
la orientación del auditor en informática: conducir a la empresa a la búsqueda
permanente de la "salud" de los recursos de informática y de aquellos elementos
que se relacionan con ella.
No hay que pensar que este proceso cambiará la cultura organizacional de
la noche a la mañana, los métodos de trabajo, la mala calidad, ni la
improductividad en las áreas relacionadas con la informática; es un elemento
estratégico directo que apoya la eliminación de cada una de las debilidades
mencionadas. Sin embargo ha de coexistir con el personal responsable y
profesional, así como con directores ya accionistas comprometidos con la
productividad, calidad y otros factores recomendados para ser empresas de clase
mundial.
Se espera que cada auditor sea un profesional, un experto, pero sobre todo
que sea un ser sensible, humano, que entienda el contesto real del negocio. Su
5
14. principal objetivo es conferir la dimensión justa a cada problemática, convirtiéndola
en un área de oportunidad y orientándola hacia la solución del negocio.
En los años cuarenta empezaron a presentarse resultados relevantes en el
campo de la computación, a raíz de los sistemas de apoyo para estrategias
militares; posteriormente se incrementó el uso de las computadoras y sus
aplicaciones y se diversificó el apoyo a otros sectores de la sociedad: educación,
salud, industria, política, banca, aeronáutica, comercio, etc.
En aquellos años la seguridad y control de ese medio se limitaba a
proporcionar custodia física a los equipos y a permitir la utilización de los mismos
al personal altamente calificado (no existía un gran número de usuarios, ya fueran
técnicos o administrativos).
En el presente, la informática se ha extendido a todas las ramas de la
sociedad, es decir, resulta factible controlar un vuelo espacial por medio de una
computadora, así como seleccionar las compras del hogar en una computadora
personal con acceso a internet, por ejemplo.
Esta rapidez en el crecimiento de la informática permite deducir que los
beneficios se han incrementado con la misma velocidad, algunos con mediciones
tangible -como reducción de costos e incremento porcentual en ventas- y otros
con aspectos intangibles -como mejoría en la imagen o satisfacción del cliente-,
pero ambos con la misma importancia para seguir impulsando la investigación y
actualización constante de la tecnología.
La idea de que se obtienen mayores beneficios que antes no se halla muy
lejos de la realidad; no obstante, también es válido afirmar que los costos han sido
altos y en muchas ocasiones han rebasado los límites esperados, ocasionando
grandes pérdidas y decepciones en los negocios.
Las empresas y organismos interesados en que la informática continúe
creciendo para beneficio de la humanidad (educación, productividad, calidad,
ecología, etc.) desean que este incremento se controle y oriente de manera
profesional: se debe obtener el resultado planeado y esperado en cada inversión
de esta rama.
Asegurar que las inversiones y proyectos inherentes a la función de
informática sean justificados y brinden los resultados esperados es una
responsabilidad de quien administre dicha función y, de igual manera, es
responsabilidad de la dirección no aprobar proyectos que no aseguren la
rentabilidad de la inversión.
Con el paso de los años la informática y los elementos tecnológicos que la
rodean han creado necesidades en cada sector social y se han tornado en un
requerimiento permanente para alcanzar soluciones.
El incremento persistente de las expectativas y necesidades relacionadas
con la informática, al igual que la actualización continua de los elementos que
componen la tecnología de este campo, obligan a las entidades que la aplican a
disponer de controles, políticas y procedimientos que aseguren la alta dirección de
los recursos humanos, materiales y financieros involucrados para que se protejan
adecuadamente y se oriente a la rentabilidad y competitividad del negocio.
Si se pregunta ¿por qué preocuparse de cuidar esa caja etiquetada con el
nombre de informática, y la respuesta que brinde a cualquiera de las siguientes
preguntas es negativa, le convendría reafirmar o considerar la necesidad de
6
15. asumir la responsabilidad del control y otorgamiento de seguridad permanente a
los recursos de informática?
• ¿Los usuarios y la alta dirección conocen la situación actual de la función
de informática en la empresa (organización, políticas, servicios, etc.)?
• ¿Se aprueba formal y oportunamente el costo / beneficio de cada proyecto
relacionado en forma directa con la informática?
• ¿La informática apoya las áreas críticas del negocio?
• ¿El responsable de la informática conoce los requerimientos actuales y
futuros del negocio que necesitan apoyo de los servicios y productos de su
área ?
• ¿Cada uno de los elementos del negocio conoce las políticas y
procedimientos inherentes al control y seguridad de la tecnología
informática?
• ¿Existen dichas políticas y procedimientos de manera formal?
• ¿Hay un plan de seguridad en la informática?
• ¿Se ha calculado el alcance e impacto de la informática en la empresa?
• ¿Hay un plan estratégico de informática alineado al negocio?
• ¿Existen responsables que evalúen formal e imparcialmente la función de
informática?
• ¿Se cuenta con un control formal de cada proyecto relativo al área?
• ¿Es importante para usted la informática?
• ¿Evalúa periódica y formalmente dicha función de la informática?
• ¿Auditan sólo sistemas de información y no otras áreas de la información?
Cada una de las preguntas encierra una importancia específica para el buen
funcionamiento informático de cualquier negocio; están interrelacionadas y la
negación de alguna es una pequeña fuga de gas que, con el tiempo y un pequeño
chispazo, puede ocasionar graves daños a los negocios, ya sean fraudes,
proyectos cancelados con alto porcentaje de costos no recuperables, rechazo de
los servicios de informática por los usuarios clave del negocio, improductividad y
baja calidad de los recursos de informática, planes de informática no orientados a
las metas y estrategias del negocio, piratería de software, fuga de información
hacia la competencia o proveedores, entre otros daños.
La improductividad, el mal servicio y la carencia de soluciones totales de la
función informática fueron, son y pueden continuar siendo mal de muchas
organizaciones. El problema real radica en que los proyectos prioritarios hacen
gala del apoyo que obtienen de la informática; entonces, ¿por qué no cuidarla?
Algunos de los problemas por las debilidades o fallas de la informática son:
• Debilidades en la planeación del negocio al no involucrar la informática
generan inconsistencias.
• Resultados negativos (improductividad, duplicidad de funciones, etc.) en el
desarrollo, operación y mantenimiento de sistemas de información.
• Falta de actualización del personal de informática y técnico donde se
encuentran instalados los sistemas y las soluciones del negocio.
• Mínimo o nulo involucramiento de los usuarios en el desarrollo e
implantación de soluciones de informática.
• Capacitación deficiente en el usos de los sistemas de información, el
7
16. software (base de datos, procesadores de palabras, hojas de cálculo,
graficadores, etc.) y el hardware (equipos de cómputo, impresoras y otros
periféricos, etc.).
• Administración de proyectos que no es formal ni completa (no se alinea a
los objetivos del negocio)
• Carencia de un proceso de análisis costo / beneficio formal previo al
arranque de cada proyecto de informática.
• Metodologías de planeación y desarrollo de sistemas informales no
estandarizadas y en muchos casos inexistentes.
• Uso y entendimiento mínimo o inexistente de técnicas formales para el
desempeño de funciones en las áreas de informática:
• Análisis y diseño de sistemas de información
• Entrevistas a usuarios operativos y ejecutivos
• Cuestionarios
• Modelación de procesos
• Modelación de datos
• Costo / beneficio, etcétera.
• Control de proyectos.
• Trabajo en equipo de desempeño.
• Involucramiento mínimo o informal de la alta dirección en los proyectos de
informática.
• Proyectos de auditoría o evaluación de informática esporádicos e
informales y en muchos casos inexistente.
• Otros.
8
17. __________________________________________________________________
2
Terminología de la auditoría en
informática
2.1 Informática
La informática se desarrolla con base en normas, procedimientos y técnicas
definidas por institutos establecidos a nivel nacional e internacional.
La informática es el campo que se encarga del estudio y aplicación práctica
de la tecnología, métodos, técnicas y herramientas relacionados con las
computadoras y el manejo de información por medios electrónicos, el cual
comprende las áreas de la tecnología de información orientadas al buen uso y
aprovechamiento de los recursos computacionales para asegurar que la
información de las organizaciones fluya(entidades internas y externas de los
negocios) de manera oportuna y veraz; además es el proceso metodológico que
se desarrolla de manera permanente en las organizaciones para el análisis,
evaluación, selección, implantación y actualización de los recursos humanos
(conocimientos, habilidades, normas, etc), tecnológicos (hardware, software, etc.)
materiales (escritorios, edificios, accesorios. etc.) y financieros (inversiones)
encaminados al manejo de la información, buscando que no se pierdan los
propósitos confiabilidad, oportunidad, integridad y veracidad entre otros
propósitos.
Hardware se refiere a los componentes físicos y tangibles de las
computadoras, generalmente clasificados en cuatro grandes ramas:
• computadoras personales
• Redes (locales, abiertas, etc.)
• Minicomputadoras
• Supercomputadoras (mainframes)
Software implica la parte no física de las computadoras. Esto significa que
es la porción intangible de los equipos de cómputo, es decir, programas con
9
18. orientaciones específicas para la administración de la informática y el uso eficiente
de los recursos de cómputo. Su clasificación se puede resumir en los siguientes
términos:
Software de aplicaciones (sistemas de información)
• Administrativos.
• Financieros.
• De manufactura.
• Otros.
Software de paquetes computacionales (paquetería)
• Hojas electrónicas.
• Procesadores de palabras.
• Otros.
Software de programación
• Lenguajes de tercera generación
• Lenguajes de cuarta generación Software de sistemas operativos
• Para computadoras personales.
• Para minicomputadoras.
• Para supercomputadoras.
Productos CASE (ComputerAided Software Enaineering)
• Para planeación de sistemas de información.
• Para análisis de sistemas de información.
• Para diseño de sistemas de información.
• Para todo ciclo de desarrollo e implantación de sistemas de información
(CDISI).
Para Propósitos específicos
• Arquitectura.
• Auditoría.
• Ingeniería.
• Medicina.
• Otras ciencias.
Sistemas de información: Son el conjunto de módulos computacionales o
manuales organizados e interrelacionados de manera formal para la
administración y uso eficiente de los recursos (humanos, materiales, financieros,
tecnológicos, etc.) de un área específica de la empresa (manufactura,
administración, dirección, etc.), con la finalidad de representar los procesos reales
del negocio y orientar los procedimientos, políticas y funciones inherentes para
lograr las metas y objetivos del negocio de forma eficiente.
Los sistemas de información pueden orientarse al apoyo de los siguientes
aspectos:
- Niveles operativos del negocio
- Niveles tácticos del negocio
- Niveles estratégicos del negocio
Sistemas de información estratégica (SIE): Son aquellos que de manera
permanente proporcionan a la alta dirección una serie de parámetros y acciones
encaminadas a la toma de decisiones que apoyarán al negocio en el seguimiento
10
19. de la rentabilidad y competitividad respecto a la competencia.
Metodología: Es un conjunto de etapas (fases o módulos) formalmente
estructurados, de manera que brinden a los interesados los siguientes parámetros
de acción en el desarrollo de sus proyectos:
• Plan general y detallado.
• Tareas y acciones.
• Tiempos.
• Aseguramiento de calidad.
• Involucrados.
• Etapas (fases o módulos).
• Revisiones de avance.
• Recursos requeridos.
• Otros.
Una buena metodología debe responder a los siguientes cuestionamientos:
¿qué hacer?, ¿Dónde debo hacerlo?,¿cómo plantearlos?, ¿por qué aprobarlo?,
¿cuándo revisarlo?, ¿cuándo empezarlo?, ¿quién debe hacerlo?, ¿por qué debo
hacerlo?, ¿cómo aprobarlo?, ¿quiénes deben comprometerse?, ¿por qué
revisarlo?, ¿cuándo terminarlo?, ¿cómo justificarlo?, etcétera.
Técnicas: Es el conjunto de procedimientos y pasos ordenados que se usan
con el desarrollo de un proyecto con el propósito de finalizar las etapas, fases o
módulos definidos en el proceso metodológico.
Algunas de las técnicas generalmente aceptadas son:
• Análisis estructurado
• Diseño estructurado
• Gráficas de Pert
• Gráficas de Gantt
• Documentación
• Programación estructurada
• Modulación de datos y procesos
• Entrevistas
• Otras
Las técnicas son el conjunto de pasos ordenados lógicamente para
apoyarse en la terminación (cómo hacerlo) de las acciones o tareas estimadas en
el proyecto emanado de la metodología.
Herramientas: Es el conjunto de elementos físicos utilizados para llevar a
cabo las acciones y pasos definidos en la técnica. Antes del auge de las
computadoras, así como de otros elementos tecnológicos relacionados con la
ingeniería, arquitectura, etc., dichas herramientas eran simples máquinas o
utensilios manuales que apoyaban el desarrollo de las tareas de cada uno de los
proyectos.
Herramientas de productividad: Ayudan a optimizar el tiempo de los
recursos en el desarrollo de un proyecto; así mismo, se encaminan a proporcionar
11
20. resultados de alta calidad para apoyar el logro de las actividades administrativas
relacionadas con procesos de información, por ejemplo;
• Procesadores de palabras (documentación, entrevistas y cuestionarios
entre otros)
• Diagramadores (diagramas de flujo, diagramas organizacionales, etc)
• Graficadores (estadísticas, estimación de actividades en tiempo, costos,
etcétera)
• Productos CASE (modelación de datos, modelación de procesos,
validación de datos y procesos, generadores de diccionarios de datos,
por citar algunos casos)
• Impresoras (láser, por ejemplo)
• Computadoras personales
• Otros.
Las herramientas de productividad no se asocian necesariamente con
inversiones elevadas en la compra de hardware y software especializado; se
relacionan con los recursos mecánicos o automatizados que apoyan al personal
en la obtención de productos de calidad en niveles de productividad aceptados por
los líderes de proyectos, o definidos por los estándares de trabajo del negocio.
2.2 Auditoria
Con frecuencia la palabra auditoria se ha empleado incorrectamente y se
ha considerado como una valuación cuyo único fin es detectar errores y señalar
fallas; por eso se ha llegado a acuñar la frase "tiene auditoria" como sinónimo de
que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se esta
haciendo la auditoria. El concepto de auditoria es más amplio: no sólo detecta
errores, sino que es un examen crítico que se realiza con objeto de evaluar la
eficiencia y eficacia de una sección o de un organismo.
La palabra auditoría viene del latín auditorius, y de ésta proviene auditor,
que tiene la virtud de oír, y el diccionario lo define como "revisor de cuentas
auditor". El auditor tiene la virtud de oír y revisar cuentas, pero debe estar
encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia
con que se está operando para que, por medio del señalamiento de recursos
alternativos de acción, se tome decisiones que permitan corregir los errores, en
caso de que existan, o bien mejorar la forma de actuación.
Si consultamos nuevamente el diccionario encontramos que eficacia es:
"virtud, actividad, fuerza, para poder obrar" mientras que eficiencia es: "virtud y
facultad para lograr un efecto determinado", por lo que eficiencia es el poder lograr
lo planeado con los menores recursos posibles, mientras que eficacia es lograr los
objetivos.
El Boletín "C" de Normas de Auditoria del Instituto Mexicano de Contadores
nos dice.
"La auditoria no es una actividad meramente mecánica que implique la
aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo,
son de carácter indudable. La auditoría requiere el ejercicio de un juicio
profesional, sólido y maduro, para juzgar los procedimientos que debe de seguir y
12
21. estimar los resultados obtenidos".
Así como existen normas y procedimientos específicos para la realización
de auditorias contables, debe haber también normas y procedimientos para la
realización de auditorias en informática como parte de una profesión . Pueden
estar basadas en las experiencias de otras profesiones pero con algunas
características propias y siempre detección de errores, y además la auditoría debe
evaluar para mejorar lo existente, corregir errores y proponer alternativas de
solución.
2.3 Tareas principales de la auditoría
• Estudiar y actualizar permanentemente las áreas susceptibles de
revisión.
• Apegarse a las tareas que desempeñen las normas, políticas,
procedimientos y técnicas de auditoría establecidas por organismos
generalmente aceptados a nivel nacional e internacional.
• Evaluación y verificación de las áreas requeridas por la alta dirección o
responsables directos del negocio.
• Elaboración del informe de auditoría (debilidades y recomendaciones).
• Otras recomendadas para el desempeño eficiente de la auditoría.
2.4 Auditoría en informática
La auditoría en informática se desarrolla en función de normas,
procedimientos y técnicas definidas por institutos establecidos a nivel nacional e
internacional; por ello, nada más se señalarán algunos aspectos básicos para su
entendimiento.
Así, la auditoría en informática es:
a) Un proceso formal ejecutado por especialistas del área de auditoría y de
informática; se orienta a la verificación y aseguramiento para que las
políticas y procedimientos en la organización se realicen de una manera
oportuna y eficiente.
b) Las actividades ejecutadas por profesionales del área de informática y de
auditoría encaminadas a evaluar el grado de cumplimiento de políticas,
controles y procedimientos correspondientes al uso de los recursos de
informática por el personal de la empresa (usuarios, informática, alta
dirección, etc.).Dicha evaluación deberá ser la pauta para la entrega del
informe de auditoría en informática, el cual debe contener las
observaciones, recomendaciones y áreas de oportunidad para el
mejoramiento y optimización permanente de la tecnología de informática
en el negocio.
c) El conjunto de acciones que realiza el personal especializado en las
áreas de auditoría y de informática para el aseguramiento continuo de
que los recursos de informática operen en un ambiente de seguridad y
control eficientes, con la finalidad de proporcionar a la alta dirección o
13
22. niveles ejecutivos la certeza de que la información que circula por el
área se maneja con los conceptos básicos de integridad, totalidad,
exactitud, confiabilidad, etcétera.
d) Proceso metodológico que tiene el propósito principal de evaluar los
recursos (humanos, materiales, financieros, tecnológicos, etc.)
relacionados con la función de informática para garantizar al negocio
que dicho conjunto opere con un criterio de integración y desempeño de
niveles altamente satisfactorios, para que a su vez apoyen la
productividad y rentabilidad de la organización.
14
23. __________________________________________________________________
3
Auditoría informática
3.1 La importancia de la auditoría en informática
La tecnología de informática, traducida en hardware, software, sistemas de
información, investigación tecnológica, redes locales, base de datos, ingeniería de
software, telecomunicaciones, servicios y organización de informática, es una
herramienta estratégica que brinda rentabilidad y ventajas competitivas a los
negocios frente a sus similares en el mercado, pero puede originar costos y
desventajas si no es bien administrada por el personal encargado.
Para darse cuenta si se está administrando de manera correcta la función
de la informática es necesario que se evalúe dicha función mediante evaluaciones
oportunas y completas por personal calificado consultores externos, auditores en
informática o evaluaciones periódicas realizadas por el mismo personal de
informática, entre otras estrategias.
3.2 Formas de llevar a cabo una auditoria en informática
La auditoría interna es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. Los empleados que realizan esta tarea son
remunerados económicamente. La auditoría interna existe por expresa decisión de
la empresa, o sea, que puede optar por su disolución en cualquier momento.
Por otro lado, la auditoría externa es realizada por personas afines a la
empresa auditada; es siempre remunerada. Se presupone una mayor objetividad
que en la auditoría Interna, debido al mayor distanciamiento entre auditores y
auditados.
La auditoría en informática interna cuenta con algunas ventajas adicionales
muy importantes respecto de la auditoría externa, las cuales no son tan
perceptibles como en las auditorias convencionales. La auditoría interna tiene la
ventaja de que puede actuar periódicamente realizando revisiones globales, como
parte de su Plan Anual y de su actividad normal. Los auditados conocen estos
planes y se habitúan a las auditorias, especialmente cuando las consecuencias de
15
24. las recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informática escuchan, orientan e
informan sobre las posibilidades técnicas y los costos de tal sistema. Con voz,
pero a menudo sin voto, el área de informática trata de satisfacer lo más
adecuadamente, posible aquellas necesidades. La empresa necesita controlar su
Informática y ésta; necesita que su propia gestión esté sometida a los mismos
procedimientos y estándares que el resto de aquella. La conjunción de ambas
necesidades cristaliza en la figura del auditor interno en informática.
En cuanto a empresas se refiere, solamente las más grandes pueden
poseer una auditoría propia y permanente, mientras que el resto acuden a las
auditorias externas. Puede ser que algún profesional informático sea trasladado
desde su puesto de trabajo a la auditoría Interna de la empresa cuando ésta
existe. Finalmente, la propia Informática requiere de su propio grupo de control
interno, con implantación física en su estructura, puesto que si se ubicase dentro
de la estructura Informática ya no sería independiente. Hoy, ya existen varias
organizaciones Informáticas dentro de la misma empresa, y con diverso grado de
autonomía, que son coordinadas por órganos corporativos de Sistemas de
Información de las Empresas.
Una Empresa o Institución que posee auditoría interna puede y debe en
ocasiones contratar servicios de auditoría externa. Las razones para hacerlo
suelen ser:
• Necesidad de auditar una materia de gran especialización, para la cual
los servicios propios no están suficientemente capacitados.
• Contrastar algún Informe interno con el que resulte del externo, en
aquellos supuestos de emisión interna de graves recomendaciones que
chocan con la opinión generalizada de la propia empresa.
• Servir como mecanismo protector de posibles auditorias en informática
externas decretadas por la misma empresa.
• Aunque la auditoría interna sea independiente del Departamento de
Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que
se le realicen auditorias externas como para tener una visión desde
afuera de la empresa.
La auditoría en informática, tanto externa como interna, debe ser una
actividad exenta de cualquier contenido o matiz "político" ajeno a la propia
estrategia y política general de la empresa. La función de auditoria puede actuar
de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por
encargo de la dirección o cliente.
3.3 Síntomas de necesidad de una Auditoria Informática:
Las empresas acuden a las auditorias en informática cuando existen
síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en
clases:
Síntomas de descoordinación y desorganización:
• No coinciden los objetivos de la Informática de la empresa y de la propia
16
25. empresa.
• Los estándares de productividad se desvían sensiblemente de los
promedios conseguidos habitualmente.
[Puede ocurrir con algún cambio masivo de personal, o en una
reestructuración fallida de alguna área o en la modificación de alguna
norma importante]
Síntomas de mala imagen e insatisfacción de los usuarios:
• No se atienden las peticiones de cambios de los usuarios. Ejemplos:
cambios de Software en los terminales de usuario, refrescamiento de
paneles, variación de los ficheros que deben ponerse diariamente a su
disposición, etc.
• No se reparan las averías de Hardware ni se resuelven incidencias en
plazos razonables. El usuario percibe que está abandonado y
desatendido permanentemente.
• No se cumplen en todos los casos los plazos de entrega de resultados
periódicos. Pequeñas desviaciones pueden causar importantes
desajustes en la actividad del usuario, en especial en los resultados de
Aplicaciones críticas y sensibles.
Síntomas de debilidades económico-financiero:
• Incremento desmesurado de costos.
• Necesidad de justificación de Inversiones Informáticas (la empresa no
está absolutamente convencida de tal necesidad y decide contrastar
opiniones).
• Desviaciones Presupuestarias significativas.
• Costos y plazos de nuevos proyectos (deben auditarse simultáneamente
a Desarrollo de Proyectos y al órgano que realizó la petición).
Síntomas de Inseguridad: Evaluación de nivel de riesgos
• Seguridad Lógica
• Seguridad Física
• Confidencial ¡dad
[Los datos son propiedad inicialmente de la organización que los genera.
Los datos de personal son especialmente confidenciales]
• Continuidad del Servicio. Es un concepto aún más importante que la
Seguridad. Establece las estrategias de continuidad entre fallos mediante
Planes de Contingencia' Totales y Locales.
• Centro de Proceso de Datos fuera de control. Si tal situación llegara a
percibirse, seria prácticamente inútil la auditoria. Esa es la razón por la
cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.
* Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo
operando en otro lugar? Lo que generalmente se pide es que se hagan
Backups de la información diariamente y que aparte, sea doble, para tener un
Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas
oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos
de los de la empresa principal, es decir, si a la empresa principal le proveía
17
26. teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se
produce la inoperancia de Sistemas en la empresa principal, se utilizaría el
Backup para seguir operando en las oficinas paralelas. Los Backups se
pueden acumular durante dos meses, o el tiempo que estipule la empresa, y
después se van reciclando.
3.4 Herramientas y Técnicas para la Auditoria Informática:
3.4.1 Cuestionarios:
Las auditorias en informática se materializan recabando información y
documentación de todo tipo. Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de debilidad o fortaleza de los
diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la
información necesaria para la emisión de un juicio global objetivo, siempre
amparado en hechos demostrables, llamados también evidencias.
Para esto, suele ser lo habitual comenzar solicitando la complementación
de cuestionarios preimpresos que se envían a las personas concretas que el
auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las
responsables oficiales de las diversas áreas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones
distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en
su fondo y su forma.
Sobre esta base, se estudia y analiza la documentación recibida, de modo
que tal análisis determine a su vez la información que deberá elaborar el propio
auditor. El cruzamiento de ambos tipos de información es una de las bases
fundamentales de la auditoría.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores
hayan adquirido por otro medios la información que aquellos preimpresos hubieran
proporcionado.
3.4.2 Entrevistas:
El auditor comienza a continuación las relaciones personales con el
auditado. Lo hace de tres formas:
1. Mediante la petición de documentación concreta sobre alguna materia de
su responsabilidad,
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni
un método estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método
preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del
18
27. auditor; en ellas, éste recoge más información, y mejor matizada, que la
proporcionada por medios propios puramente técnicos o por las respuestas
escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor
y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que
hace un auditor, interroga y se interroga a sí mismo. El auditor informático experto
entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversación correcta y lo menos tensa
posible, el auditado conteste sencillamente y con pulcritud a una serie de
preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo
aparente. Tras ella debe existir una preparación muy elaborada y sistematizada, y
que es diferente para cada caso particular.
3.4.3 Checklist:
El auditor profesional y experto es aquél que reelabora muchas veces sus
cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita
saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis,
cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al
auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el
contrario, el auditor conversará y hará preguntas "normales", que en realidad
servirán para la complementación sistemática de sus Cuestionarios, de sus
Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran
que leerle una pila de preguntas recitadas de memoria o leídas en voz alta
descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente
falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de
información a fin de obtener respuestas coherentes que permitan una correcta
descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer
preguntas muy estudiadas que han de formularse flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo
excepciones, las Checklists deben ser contestadas oralmente, ya que superan en
riqueza y generalización a cualquier otra forma.
Según la claridad de las preguntas y el talante del auditor, el auditado
responderá desde posiciones muy distintas y con disposición muy variable. El
auditado, habitualmente informático de profesión, percibe con cierta facilidad el
perfil técnico y los conocimientos del auditor, precisamente a través de las
preguntas que éste le formula. Esta percepción configura el principio de autoridad
y prestigio que el auditor debe poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo
y el orden de su formulación. Las empresas externas de Auditoría Informática
guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y
oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases
de autoridad, prestigio y ética.
El auditor deberá aplicar el Checklist de modo que el audítado responda
19
28. clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente
en los casos en que las respuestas se aparten sustancialmente de la pregunta. En
algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor
amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la
presión sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector,
deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará
preguntas equivalentes a las mismas o a distintas personas, en las mismas
fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor
facilidad los puntos contradictorios; el auditor deberá analizar los matices de las
respuestas y reelaborar preguntas complementarias cuando hayan existido
contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe
percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará
las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni
marcará cuestionarios en su presencia.
Los cuestionarios o Checklists responden fundamentalmente a dos tipos de
filosofía" de calificación o evaluación:
a. Checklist de rango
Contiene preguntas que el auditor debe puntuar dentro de un rango
preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y
el 5 el valor más positivo)
Ejemplo de Checklist de rango:
Se supone que se está realizando una auditoria sobre la seguridad
física de una instalación y, dentro de ella, se analiza el control de los
accesos de personas y cosas al Centro de Cálculo. Podrían formularse las
preguntas que figuran a continuación, en donde las respuestas tiene los
siguientes significados:
1 : Muy deficiente.
2 : Deficiente.
3 : Mejorable.
4 : Aceptable.
5 : Correcto.
Se figuran posibles respuestas de los auditados. Las preguntas
deben sucederse sin que parezcan encorsetadas ni clasificadas
previamente. Basta con que el auditor lleve un pequeño guión. La
complementación del Checklist no debe realizarse en presencia del
auditado.
-¿Existe personal específico de vigilancia externa al edificio?
-No, solamente un guarda por la noche que atiende además otra instalación
20
29. adyacente.
<Puntuación: 1 >
-Para la vigilancia interna del edificio, ¿Hay al menos un vigilante por turno
en los aledaños del Centro de Cálculo?
-Si, pero sube a las otras 4 plantas cuando se le necesita. <Puntuación: 2>
-¿Hay salida de emergencia además de la habilitada para la entrada y
salida de máquinas?
-Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.
<Puntuación: 2>
-El personal de Comunicaciones, ¿Puede entrar directamente en la Sala de
Computadoras?
-No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente
salvo causa muy justificada, y avisando casi siempre al Jefe de Explotación.
<Puntuación: 4>
El resultado sería el promedio de las puntuaciones: (1 + 2 + 2 + 4) 14 = 2,25
Deficiente.
b. Checklist Binaria
Es la constituida por preguntas con respuesta única y excluyente: Si o No.
Aritméticamente, equivalen a 1 (uno) o 0(cero), respectivamente.
Ejemplo de Checklist Binaria:
Se supone que se está realizando una Revisión de los métodos de pruebas
de programas en el ámbito de Desarrollo de Proyectos.
-¿Existe Normativa de que el usuario final compruebe los resultados finales
de los programas?
<Puntuación: 1>
-¿Conoce el personal de Desarrollo la existencia de la anterior normativa?
<Puntuación: 1>
-¿Se aplica dicha norma en todos los casos?
<Puntuación: 0>
-¿Existe una norma por la cual las pruebas han de realizarse con juegos de
ensayo o copia de Bases de Datos reales?
<Puntuación: 0>
21
30. Obsérvese como en este caso están contestadas las siguientes preguntas:
-¿Se conoce la norma anterior?
<Puntuación: 0>
-¿Se aplica en todos los casos?
<Puntuación: 0>
Los Checklists de rango son adecuados si el equipo auditor no es muy
grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten
una mayor precisión en la evaluación que en los checklist binarios. Sin embargo,
la bondad del método depende excesivamente de la formación y competencia del
equipo auditor.
Los Checklists Binarios siguen una elaboración inicial mucho más ardua y
compleja. Deben ser de gran precisión, como corresponde a la suma precisión de
la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad
del equipo auditor y el inconveniente genérico del <si o no> frente a la mayor
riqueza del intervalo.
No existen Checklists estándar para todas y cada una de las instalaciones
informáticas a auditar. Cada una de ellas posee peculiaridades que hacen
necesarios los retoques de adaptación correspondientes en las preguntas a
realizar.
3.4.4 Trazas y/o Huellas:
Con frecuencia, el auditor informático debe verificar que los programas,
tanto de los sistemas como de usuario, realizan exactamente las funciones
previstas, y no otras. Para ello se apoya en productos Software muy potentes y
modulares que, entre otras funciones, rastrean los caminos que siguen los datos a
través del programa.
Muy especialmente, estas «Trazas" se utilizan para comprobar la ejecución
de las validaciones de datos previstas. Las mencionadas trazas no deben
modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos
apreciables de carga, se convendrá de antemano las fechas y horas más
adecuadas para su empleo.
Por lo que se refiere al análisis del Sistema, los auditores informáticos
emplean productos que comprueban los valores asignados por Técnica de
Sistemas a cada uno de los parámetros variables de las Librerías más importantes
del mismo. Estos parámetros variables deben estar dentro de un intervalo
marcado por el fabricante. A modo de ejemplo, algunas instalaciones
descompensan el número de iniciadores de trabajos de determinados entornos o
toman criterios especialmente restrictivos o permisivos en la asignación de
unidades de servicio según cuales tipos carga. Estas actuaciones, en principio
útiles, pueden resultar contraproducentes si se traspasan los límites.
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la
descripción de la auditoría informática de Sistemas: el auditor informático emplea
preferentemente la amplia información que proporciona el propio Sistema: Así, los
ficheros de <Accounting> o de <contabilidad>, en donde se encuentra la
producción completa de aquél, y los <Log*> de dicho Sistema, en donde se
22
31. recogen las modificaciones de datos y se pormenoriza la actividad general.
Del mismo modo, el Sistema genera automáticamente exacta información
sobre el tratamiento de errores de maquina central, periféricos, etc.
[La auditoría financiero-contable convencional emplea trazas con mucha
frecuencia. Son programas encaminados a verificar lo correcto de los cálculos de
nóminas, primas, etc.].
*Log:
El log vendría a ser un historial que informa que fue cambiando y cómo fue
cambiando (información). Las bases de datos, por ejemplo, utilizan el log para
asegurar lo que se llaman las transacciones. Las transacciones son unidades
atómicas de cambios dentro de una base de datos; toda esa serie de cambios se
encuadra dentro de una transacción, y todo lo que va haciendo la Aplicación
(grabar, modificar, borrar) dentro de esa transacción, queda grabado en el log. La
transacción tiene un principio y un fin, cuando la transacción llega a su fin, se
vuelca todo a la base de datos. Si en el medio de la transacción se cortó por x
razón, lo que se hace es volver para atrás. El log te permite analizar
cronológicamente que es lo que sucedió con la información que está en el Sistema
o que existe dentro de la base de datos.
3.4.5 Software de Interrogación:
Hasta hace ya algunos años se han utilizado productos software llamados
genéricamente <paquetes de auditoría>, capaces de generar programas para
auditores escasamente cualificados desde el punto de vista informático.
Más tarde, dichos productos evolucionaron hacia la obtención de muestreos
estadísticos que permitieran la obtención de consecuencias e hipótesis de la
situación real de una instalación.
En la actualidad, los productos de software especiales para la auditoría
informática se orientan principalmente hacia lenguajes que permiten la
interrogación de ficheros y bases de datos de la empresa auditada. Estos
productos son utilizados solamente por los auditores externos, por cuanto los
internos disponen del software nativo propio de la instalación.
Del mismo modo, la proliferación de las redes locales y de la filosofía
"Cliente-Servidor", han llevado a las firmas de software a desarrollar interfaces de
transporte de datos entre computadoras personales y mainframe, de modo que el
auditor informático copia en su propia PC la información más relevante para su
trabajo.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen
datos e información parcial generada por la organización informática de la
Compañía.
Efectivamente, conectados como terminales al "Host", almacenan los datos
proporcionados por este, que son tratados posteriormente en modo PC. El auditor
se ve obligado (naturalmente, dependiendo del alcance de la auditoría) a recabar
información de los mencionados usuarios finales, lo cual puede realizar con suma
23
32. facilidad con los polivalentes productos descritos. Con todo, las opiniones más
autorizadas indican que el trabajo de campo del auditor informático debe
realizarse principalmente con los productos del cliente.
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione
personalmente determinadas partes del Informe. Para ello, resulta casi
imprescindible una cierta soltura en el manejo de Procesadores de Texto,
paquetes de Gráficos, Hojas de Cálculo, etc.
24
33. __________________________________________________________________
4
Tipos de auditorias
4.1. Concepto de auditoria en informática
Después de analizar los conceptos de auditoría y de informática, los
diferentes tipos de auditoría, así como su interrelación con informática, nos
hacemos las preguntas: ¿Qué es auditoría en informática? ¿Y cual es su campo
de acción?
Auditoría en informática es la revisión y evaluación de los controles,
sistemas, procedimientos de informática, de los equipos de computo, su
utilización, eficiencia y seguridad, de la organización que participan en el
procesamiento de la información, a fin de que por medio del señalamiento de
cursos alternativos se logre una utilización más eficiente y segura de la
información que servirá para una adecuada toma de decisiones.
La auditoría en informática deberá comprender no sólo la evaluación de los
equipos de computo o de un sistema o procedimiento específico, sino que además
habrá de evaluar los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de información. Ello
debe incluir los equipos de computo como la herramienta que permite obtener la
información adecuada y la organización específica (departamento de computo,
departamento de informática, gerencia de procesos electrónicos, etc) que hará
posible el uso de los equipos de computo.
Su campo de acción será:
A. La evaluación administrativa del departamento de proceso electrónicos.
B. La evaluación de los sistemas y procedimientos, y de la eficacia que se
tiene en el uso de la informática.
C. La evaluación del proceso de datos y de los equipos de computo.
Para lograr los puntos antes señalados necesitas:
25
34. A. Evaluación administrativa del departamento de informática.
Esto comprende la evaluación de:
- Los objetivos de departamento, dirección o gerencia.
- Metas, planes, políticas y procedimientos de procesos electrónicos
estándar.
- Organización del área y su estructura orgánica.
- Funciones y niveles de autoridad y responsabilidad del área de procesos
electrónicos.
- Integración de los recursos materiales y técnicos.
- Dirección costos y controles presupuéstales.
- Controles administrativos del área de procesos electrónicos.
B. Evaluación de los sistemas v procedimientos, y de la eficiencia que se
tienen en el uso de la información que comprende:
- Evaluación del análisis de los sistemas y sus diferentes etapas
- Evaluación del diseño lógico del sistema
- Evaluación del desarrollo físico del sistema.
- Control de proyectos.
- Control de sistemas y programación
- Instructivos y documentación
- Formas de implantación
- Seguridad física y lógica de los sistemas
- Confidencialidad de los sistemas
- Controles de mantenimiento y forma de respaldo de los sistemas.
- Utilización de los sistemas.
C. Evaluación del proceso de datos y de los equipos de computo que
comprende:
- Controles de los datos fuente y manejo de cifras de control
- Control de operación
- Control de salida
- Control de asignación de trabajo.
- Control de medios de almacenamiento masivos.
- Control de otros elementos de computo
- Orden en el centro de computo
- Seguridad física y lógica
- Confidencialidad
- Respaldos.
La interrelación que debe existir entre la auditoría en informática y los
diferentes tipos de auditoría en la siguiente:
El núcleo o centro de la informática son los programas, los cuales pueden
ser auditados por medio de la auditoría de programas. Estos programas se usan
26
35. en la computadoras de acuerdo con la organización del centro de computo
(personal).
La auditoría en informática debe evaluar el todo (informática, organización
del centro de computo, computadoras y programas) con auxilio de los principios de
auditoría administrativa, auditoría interna, auditoría contable/financiera y, a su vez,
puede proporcionar información a esos tipos de auditoría, y las computadoras
deben ser una herramienta para la realización de cualquiera de las auditorias.
Como se ve, la evaluación a desarrollar para la realización de la auditoría
en informática deben hacerla personas con alto grado de conocimiento en
informática y con mucha experiencia en el área.
4.2 Auditoria interna y auditoria contable/financiera
El boletín E-02 del Instituto Mexicano de Contadores, señala con respecto
al control interno:
"El estudio y evaluación del control interno se efectúa con el objeto de
cumplir con la norma de ejecución del trabajo que requiere que: el auditor debe
efectuar un estudio y evaluación adecuados del control interno existente, que les
sirvan de base para determinar el grado de confianza que va a depositar en el, así
mismo, que el permita determinar la naturaleza, extensión y oportunidad que va a
dar a los procedimientos de auditoria".
4.2.1 Definición de control interno.
"El control interno comprende el plan de organización y todos los métodos y
procedimientos que en forma coordinada se adoptan en un negocio para
salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su
información financiera, promover la eficiencia operacional y provocar la adherencia
a las políticas prescriptas por la administración".
4.2.2 Objetivos del control interno.
a) Los básicos son:
(1) La protección de los activos de la empresa.
(2) La obtención de información financiera veraz, confiable y oportuna.
(3) La promoción de la eficiencia en la operación del negocio.
(4) Lograr que en la ejecución de las operaciones se cumplan las políticas
establecidas por los administradores de la empresa.
Se ha definido que los dos primeros objetivos abarcan el aspecto de
controles internos contables y los dos últimos se refieren a controles internos
administrativos.
27
36. b) Generales
El control contable comprende el plan de organización y los procedimientos
y registros que se refieren a la protección de los activos y a la confiabilidad de los
activos y la confiabilidad de los registros financieros. Por lo tanto, el control interno
contable está diseñado en función de los objetivos de la organización para ofrecer
seguridad razonable de que: las operaciones se realizan de acuerdo con las
normas y políticas señalados por la administración.
Cuando hablamos de los objetivos de los controles contables internos
podremos identificar dos niveles.
a) Objetivos generales de control interno aplicables a todos los sistemas y
b) Objetivos de control interno aplicables a ciclos de transacciones
Los objetivos generales de control aplicables a todos los sistemas se
desarrollan a partir de los objetivos básicos de control interno enumerados
anteriormente, siendo más específicos para facilitar su aplicación. Los objetivos de
control de ciclos se desarrollan a partir de los objetivos generales de control de
sistema, para que se aplique a las diferentes clases de transacciones agrupadas
en un ciclo.
Los objetivos generales de control interno de sistema pueden resumirse a
continuación:
1. Objetivos de autorización.
Todas las operaciones deben realizarse de acuerdo con autorizaciones
generales o especificaciones de la administración.
Las autorizaciones deben estar de acuerdo con criterios establecidos por el
nivel apropiado de la administración.
Las transacciones deben ser válidas para conocerse y ser sometidas
oportunamente a su aceptación. Todas aquellas que reúnan los requisitos
establecidos por la administración deben reconocerse como tales y procesarse a
tiempo.
Los resultados del procedimiento de transacciones deben comunicarse
oportunamente y estar respaldados por archivos adecuados.
2. Objetivos del procesamiento y clasificación de transacciones
Todas las operaciones deben registrarse para permitir la preparación de
estados financieros en conformidad con los principios de contabilidad
generalmente aceptados o con cualquier otro criterio aplicable a los estados y para
mantener en archivos apropiados los datos relativos a los activos sujetos a
custodia.
Las transacciones deben clasificarse en forma tal que permitan la
preparación de estados financieros en conformidad con los principios de
contabilidad generalmente aceptados y el criterio de la administración.
Las transacciones deben quedar registradas en el mismo periodo contable,
cuidando especialmente que se registren aquellas que afectan más de un ciclo.
28
37. 3. Objetivo de salvaguarda física.
El acceso a los activos sólo debe permitirse de acuerdo con autorizaciones
de la administración.
4. Objetivo de verificación y evaluación.
Los datos registrados relativos a los activos sujetos a custodia deben
compararse con los activos existentes a intervalos razonables y tomar las medidas
apropiadas respecto a las diferencias que existan.
Así mismo, deben existir controles relativos a la verificación y evaluación
periódica de los saldos que se incluyen en los estados financieros, ya que este
objetivo complementa en forma importante los mencionados anteriormente.
Estos objetivos generales del control interno de sistemas son aplicables a
todos los ciclos. No se trata de que se usen directamente para evaluar las técnicas
de control interno de una organización, pero representan un base para desarrollar
objetivos específicos de control interno por ciclos de transacciones que sean
aplicables a una empresa individual.
El área de informática puede interactuar de dos maneras en el control
interno. La primera es servir de herramienta para llevar a cabo un adecuado
control interno y la segunda es tener un control interno del área y del
departamento de informática.
En el primer caso se lleva el control interno por medio de la evaluación de
una organización, utilizando la computadora como herramienta que auxiliará en el
logro de los objetivos del control interno, lo cual se puede hacer por medio de
paquetes de auditoria. Y esto debe ser considerado como parte del control interno
con informática.
En el segundo caso se lleva a cabo el control interno de informática. Es
decir, como se señala en los objetivos del control interno, se deben proteger
adecuadamente los activos de la organización por medio del control para que se
obtengan la información en forma veraz, oportuna y confiable, se mejore la
eficiencia de la operación de la organización mediante la informática y en la
ejecución de las operaciones de informática se cumplan las políticas establecidas
por la administración de todo ello debe ser considerado como control interno de
informática.
Al estudiar los objetivos del control interno podemos ver en primer lugar
que, aunque en auditoria en informática el objetivo es más amplio, se deben tener
en cuenta los objetivos generales del control interno aplicables a todo ciclo de
transacciones.
La auditoria en informática debe tener presentes los objetivos de
autorización, procesamiento y clasificación de transacciones, así como los de
salvaguarda física, verificación y evaluación de los equipos y de la información. La
diferencia entre los objetivos de control interno desde un punto de vista contable
financiero es que, mientras éstos están enfocados a la evaluación de una
organización mediante la revisión contable financiera y de otras operaciones, los
objetivos del control interno a informática están orientados a todos los sistemas en
general, al equipo de computo y al departamento de informática, para lo cual se
29
38. requieren conocimientos de contabilidad, finanzas, recursos humanos,
administración, etc. Y un conocimiento profundo y experiencia en informática.
La auditoria interna debe estar presente en todas y cada una de las partes
de la organización. Ahora bien, la pregunta que normalmente se plantea es, ¿cuál
debe ser su participación dentro del área de informática?
Como ya vimos, la informática es en primer lugar una herramienta muy
valiosa para tener un adecuado control y un auxiliar de la auditoria interna. Pero,
según este concepto, la auditoria interna puede considerarse como un usuario del
área de informática.
Se ha estudiado que los objetivos generales del control interno son:
• Autorización
• Procesamiento y clasificación de las transacciones
• Salvaguarda física
• Verificación y evaluación
Con base en los objetivos y responsabilidades del control interno podemos
hacer otras dos preguntas:
¿De qué manera puede participar el personal de control interno en el diseño
de los sistemas? y ¿qué conocimientos debe tener el personal de control interno
para poder cumplir adecuadamente sus funciones dentro del área de informática?
Las respuestas a estas preguntas dependerán del nivel que tenga el control
interno dentro de la organización, pero en el diseño general y detallado de los
sistemas se debe incluir a personal de la contraloría interna, que habrá de tener
conocimientos de informática, pero no se requerirá que sea especialistas ya que
sólo intervendrán en el diseño general del sistema, diseño de controles, sistemas
de seguridad, respaldo y confidencialidad del sistema, sistemas se verificación.
Habrá de comprobar que las fórmulas de obtención del impuesto sobre el producto
del trabajo, el cálculo del pago del seguro social, etc., pero no deberán intervenir
en la elaboración de los sistemas, bases de datos o programación. Y tendrán que
comprobar que lo señalado en el diseño general sea igual a lo obtenido en el
momento de implantación, para que puedan dar su autorización a la corrida en
paralelo.
El auditor interno, en el momento de que se están elaborando los sistemas,
debe participar en estas etapas, para:
1. Asegurarse de verificar que los requerimientos de seguridad y de
auditoría sean incorporados, y participar en la revisión de puntos de
verificación.
2. Revisar la aplicación de los sistemas y de control tanto con el usuario
como en el centro de informática.
3. Verificar que las políticas de seguridad y los procedimientos estén
incorporados al plan en caso de desastre.
4. Incorporar técnicas avanzadas de auditoría en los sistemas de computo.
Los sistemas de seguridad no pueden llevarse a cabo a menos que existan
30
39. procedimientos de control y un adecuado plan en caso de desastre, elaborados
desde el momento en el que se diseña el sistema.
El auditor interno desempeña una importante función al participar en los
planes a largo plazo y en el diseño detallado de los sistemas y su implantación, de
tal manera que se asegure de que los procedimientos de auditoría y de seguridad
sean incorporados a todas y cada una de las fases del sistema.
4.2.3 Clase de controles internos
● 4.2.3.1 Atendiendo al momento en que se actúa, pueden ser:
a) Controles preventivos: establecen las condiciones necesarias para que el
error no se produzca. Como ejemplos de controles preventivos tenemos
la segregación de funciones, la estandarización de procedimientos, las
autorizaciones, los passwords, o los formularios prenumerados.
b) Controles detectivos: Identifican el error pero no lo evitan, actuando
como alarmas que permiten registrar el problema y sus causas. Sirven
como verificación del funcionamiento de los procesos y de sus controles
preventivos. Como ejemplos tenemos la validación de los datos de
entrada, cuando se realiza con posterioridad al procesamiento de dichos
datos, los totales de control, los controles cruzados, o los controles de
supervisión, estos últimos se componen de tres tipos de controles:
1. Controles de aplicaciones.
2. Controles de tecnologías de la información.
3. Controles de usuario
c) Controles correctivos: Permiten investigar y rectificar los errores y sus
causas, están destinados a procurar que las acciones necesarias para su
solventación sean tomadas. Como ejemplos tenemos los listados de
errores, las evidencias de auditoria o las estadísticas de causas de
errores.
● 4.2.3.2. Los controles de supervisión
Son procedimientos utilizados por la dirección para poder alcanzar los
objetivos del negocio y así controlarlo. Este tipo de controles proporcionan a la
dirección (y por lo tanto, a los auditores) seguridad en cuanto a la fiabilidad de la
información financiera.
Dichos controles pueden estar incluido, de un modo intrínseco, en las
actividades recurrentes de una entidad o consistir en una evaluación periódica
independiente, llevada a cabo normalmente por la dirección. La frecuencia de
estas evaluaciones depende del juicio de la dirección. Mediante estos controles
podremos detectar errores significativos y realizar un control continuo de la
31
40. fiabilidad y de la eficacia de los procesos informáticos.
Controles de supervisión: controles de las aplicaciones
Son un conjunto de procedimientos programados y manuales diseñados
especialmente para cada aplicación con el fin de cumplir con objetivos específicos
de control utilizando una o más técnicas. Los podemos clasificar en:
a) Controles sobre captura de datos: sobre altas de movimientos,
modificaciones de movimientos, consultas de movimientos, mantenimiento
de los ficheros.
b) Controles de proceso de datos: normalmente se incluyen en los programas.
Se diseñan para detectar o prevenir los siguientes tipos de errores (entrada
de datos repetidos, procesamiento y actualización de ficheros o ficheros
equivocados, entrada de datos ilógicos, pérdida o distorsión de datos
durante el proceso).
c) Controles de salida y distribución: Los controles de salida se diseñan para
asegurarse de que el resultado del proceso es exacto y que los informes y
demás salidas solo las personas que estén autorizadas, lo reciben.
Para solucionar deficiencias de control de una aplicación será necesario
retroceder a las etapas iniciales teniendo en cuenta que:
1. Los controles deben contemplar la secuencia de los procesos (manuales y
programados) de una aplicación. Muchos controles de aplicación serán
efectuados por personas, pero dependerán del ordenador, siendo una
combinación de procedimientos de control programados y controles de los
usuarios. Dado que muchos controles de aplicación dependen de
procedimientos contables y/o de controles programados y el
correspondiente procesamiento informático, la eficacia de los controles de
las aplicaciones, y, en consecuencia, el logro de los objetivos de control de
las mismas, casi siempre dependerán de los controles informáticos.
2. Las técnicas aplicadas se diseñan para cubrir toda la vida de una
transacción o documento, desde su inicio hasta su destino final en el
ordenador.
3. La extensión y rigidez de los controles pueden ser diferentes dependiendo
de que los datos sean permanentes o transitorios.
4. Prestar especial consideración al objetivo verdadero de cada control,
evaluando el costo de operación del control y las pérdidas que podría
generar su omisión.
Totalidad de las entradas
Las técnicas de control utilizadas para asegurar la totalidad de las
entradas son:
a) Conciliación de totales: Un ejemplo de conciliación de totales sería
comprobar que el auxiliar de proveedores coincide con el saldo de
proveedores en el sistema central. Otro ejemplo sería comprobar que el
saldo con el banco según extracto bancario coincide con el saldo según
contabilidad, y si no es así buscar las partidas conciliatorias.
32
41. • Verificación de la secuencia numérica. Comprobar que los documentos
siguen la secuencia numérica de manera establecida de manera que no
falte ningún documento.
• Confrontación de ficheros.
• Comprobación uno por uno.
Exactitud de la entrada
Las técnicas de control utilizadas para asegurar la exactitud de las
entradas son:
• Conciliación de totales.
• Confrontación de ficheros.
• Comprobación uno por uno.
• Controles de validación o edición:
a) Prueba de existencia: ¿la información introducida concuerda con
información similar existente en un fichero maestro (como ejemplo de
documento maestro de una empresa tenemos el fichero con los datos
de todos nuestros clientes) o de referencia?
b) Prueba de pantalla: los detalles correspondientes a un código o a un
número de partida se visualizan en pantalla para que el usuario pueda
comprobar dichos detalles
c) Prueba de dependencia: ¿tienen sentido los datos introducidos? El
ordenador puede comprobar una relación predeterminada entre los
datos.
d) Prueba de sintaxis o de formato: se comprueba que únicamente se
introduzcan datos numéricos cuando el campo sea numérico o datos
alfanuméricos, cuando el campo sea alfanumérico.
e) Prueba de razonabilidad: consiste en verificar si el valor de un dato
está comprendido entre los límites lógicos previamente definidos.
Autorización de las entradas
Las técnicas de control utilizadas para asegurar la autorización de las
entradas son:
• Momento de la autorización.
• Confrontación programada.
• Autorización manual.
• Autorización en línea
Los controles sobre las entradas de datos deben contemplar
procedimientos de actuación con las transacciones erróneas que son rechazadas
por los controles preventivos.
En sistemas de autorización en línea los errores se detectan en el momento
de su entrada, las medidas correctivas se pueden iniciar inmediatamente. Existen,
sin embargo, ocasiones en que determinados errores pueden ser detectados en
una fase posterior del proceso. Estos errores deben ser comunicados, tomándose
33
42. las medidas correctivas correspondientes.
Con una combinación de procedimientos programados y manuales se debe
garantizar la investigación inmediata de las causas de los rechazos, la corrección
adecuada de los errores, el registro y seguimiento de las transacciones pendientes
de corregir y la existencia de una nueva autorización de las correcciones hechas a
los datos claves o sensibles. Con todos estos controles conseguiremos que todos
los rechazos vuelvan a entrar en el ordenador de forma exacta y autorizada.
Totalidad y exactitud de la actualización
Las técnicas de control utilizadas para asegurar la totalidad y exactitud de
las actualizaciones son principalmente:
• Controles de totalidad y exactitud de las entradas.
• Conciliación manual de los totales.
• Controles de proceso a proceso que incluyen:
a) Totales de los ficheros
b) Listados de detalle.
c) Transacciones generadas por la aplicación
En cuanto a este último tipo de controles:
En toda aplicación informática los datos contenidos en los ficheros deben
ser tratados por ciertos procesos antes de la emisión de la información de salida.
Los más comunes son:
• Cálculo: Generación de información utilizando datos de uno o más
ficheros en base a rutinas predeterminadas.
• Resumen: Acumulación de los valores de las transacciones de un
fichero para generar totales.
• Clasificación: Acumulación de totales de un fichero en base al análisis
de cuentas, códigos o campos de las transacciones.
Para este tipo de procesos, la aplicación debe tener controles que permitan
asegurar:
• El funcionamiento adecuado y continuo de los programas que efectúan
los procesos
• El proceso de la totalidad de las transacciones.
• La integridad (totalidad y exactitud) de los ficheros utilizados en los
procesos.
• Que la generación o versión de los ficheros procesados ha sido la
correcta.
• La comprobación manual de la corrección de la información generada
por los procesos.
Segregación de funciones
El objetivo principal de la segregación de funciones es imposibilitar el fraude
por parte de los empleados, de tal manera que un empleado que tenga la
oportunidad de hurtar activos no pueda ocultar el fraude mediante la manipulación
34