Embed Size (px)
DESCRIPTION
Mantenimiento de sistemas
Citation preview
REPÚBLICA BOLIVARIANA DE VENEZUELAMINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN UNIVERSITARIA
FUNDACIÓN MISIÓN SUCREALDEA UNIVERSITARIA DEL MUNICIPIO SIMÓN RODRÍGUEZ
“JOSÉ MERCEDES SANTELIZ PEÑA”P.N.F. INFORMÁTICA Y SISTEMAS
Integrantes:
Guevara Yalitza C.I 13.498102
Yuraima Aray C.I. _________
Salazar Leomar C.I 10.064.560
Javier Arias C.I. 10.937.451
El tigre, 02/11/2014
AUDITORIA Y MANTENIMIENTO DE SISTEMAS
La palabra auditoría viene del latín auditorius y de esta proviene auditor: quetiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivoespecífico que es el de evaluar la eficiencia y eficacia con que se está operandopara que, por medio del señalamiento de cursos alternativos de acción, se tomendecisiones que permitan corregir los errores, en caso de que existan, o bienmejorar la forma de actuación. Algunos autores proporcionan otros conceptos perotodos coinciden en hacer énfasis en la revisión, evaluación y elaboración de uninforme para el ejecutivo encaminado a un objetivo específico en el ambientecomputacional y los sistemas.
A continuación algunos conceptos recogidos de algunos expertos en la materia:
Auditoría de Sistemas es:• La verificación de controles en el procesamiento de la información,
desarrollo de sistemas e instalación con el objetivo de evaluar suefectividad y presentar recomendaciones a la Gerencia.
• La actividad dirigida a verificar y juzgar información.• El examen y evaluación de los procesos del Área de Procesamiento
automático de Datos (PAD) y de la utilización de los recursos que en ellosintervienen, para llegar a establecer el grado de eficiencia, efectividad yeconomía de los sistemas computarizados en una empresa y presentarconclusiones y recomendaciones encaminadas a corregir las deficienciasexistentes y mejorarlas.
• El proceso de recolección y evaluación de evidencia para determinar si unsistema automatizado presenta:◦ Salvaguarda activos ( Daños, Destrucción, Uso no autorizado, Robo)◦ Mantiene Integridad de los datos ( Información Precisa, Completa,
Oportuna, Confiable)◦ Alcanza metas organizacionales ( Contribución de la función informática)◦ Consume recursos eficientemente ( Utiliza los recursos adecuadamente
en el procesamiento de la información)• Es el examen o revisión de carácter objetivo (independiente),
crítico(evidencia), sistemático (normas), selectivo (muestras) de laspolíticas, normas, prácticas, funciones, procesos, procedimientos einformes relacionados con los sistemas de información computarizados, conel fin de emitir una opinión profesional (imparcial) con respecto a:◦ Eficiencia en el uso de los recursos informáticos.◦ Validez de la información◦ Efectividad de los controles establecidos
HISTORIA
Existe la evidencia de que alguna especie de auditoría se practicó en tiemposremotos. El hecho de que los soberanos exigieran el mantenimiento de lascuentas de su residencia por dos escribanos independientes, pone de manifiestoque fueron tomadas algunas medidas para evitar desfalcos en dichas cuentas. Amedidas que se desarrollo el comercio, surgió la necesidad de las revisionesindependientes para asegurarse de la adecuación y finalidad de los registrosmantenidos en varias empresas comerciales. La auditoría como profesión fuereconocida por primera vez bajo la Ley Británica de Sociedades Anónimas de1862 y el reconocimiento general tuvo lugar durante el período de mandato de laLey "Un sistema metódico y normalizado de contabilidad era deseable para unaadecuada información y para la prevención del fraude". También reconocía "Unaaceptación general de la necesidad de efectuar una versión independiente de lascuentas de las pequeñas y grandes empresas".
Desde 1862 hasta 1905, la profesión de la auditoría creció y floreció en Inglaterra,y se introdujo en los Estados Unidos hacia 1900. En Inglaterra se siguió haciendohincapié en cuanto a la detección del fraude como objetivo primordial de laauditoría.
En 1912 Montgomery dijo:En los que podría llamarse los días en los que se formó la auditoria, a losestudiantes se les enseñaban que los objetivos primordiales de ésta eran:
• La detección y prevención de fraude.• La detección y prevención de errores; sin embargo, en los años siguientes
hubo un cambio decisivo en la demanda y el servicio, y los propósitosactuales son:
• El cerciorarse de la condición financiera actual y de las ganancias de unaempresa.
La detección y prevención de fraude, siendo éste un objetivo menor.Este cambio en el objetivo de la auditoría continuó desarrollándose, no sinoposición, hasta aproximadamente 1940. En este tiempo "Existía un cierto gradode acuerdo en que el auditor podía y debería no ocuparse primordialmente de ladetección de fraude". El objetivo primordial de una auditoría independiente debeser la revisión de la posición financiera y de los resultados de operación como seindica en los estados financieros del cliente, de manera que pueda ofrecerse unaopinión sobre la adecuación de estas presentaciones a las partes interesadas.
Paralelamente al crecimiento de la auditoría independiente en lo Estados Unidos,se desarrollaba la auditoría interna y del Gobierno, lo que entró a formar parte delcampo de la auditoría. A medida que los auditores independientes se apercibieron
de la importancia de un buen sistema de control interno y su relación con elalcance de las pruebas a efectuar en una auditoría independiente, se mostraronpartidarios del crecimiento de los departamentos de auditoría dentro de lasorganizaciones de los clientes, que se encargaría del desarrollo y mantenimientode unos buenos procedimientos del control interno, independientemente deldepartamento de contabilidad general. Progresivamente, las compañías adoptaronla expansión de las actividades del departamento de auditoría interna hacia áreasque están más allá del alcance de los sistemas contables. En nuestros días, losdepartamentos de auditoría interna son revisiones de todas las fases de lascorporaciones, de las que las operaciones financieras forman parte.
La auditoría gubernamental fue oficialmente reconocida en 1921 cuando elCongreso de los Estados Unidos estableció la Oficina General de contabilidad.
AUDITORIAS DE SISTEMAS
La auditoría en informática es la revisión y la evaluación de los controles,sistemas, procedimientos de informática; de los equipos de cómputo, suutilización, eficiencia y seguridad, de la organización que participan en elprocesamiento de la información, a fin de que por medio del señalamiento decursos alternativos se logre una utilización más eficiente y segura de lainformación que servirá para una adecuada toma de decisiones.
La auditoría en informática deberá comprender no sólo la evaluación de losequipos de cómputo, de un sistema o procedimiento específico, sino que ademáshabrá de evaluar los sistemas de información en general desde sus entradas,procedimientos, controles, archivos, seguridad y obtención de información.
La auditoría en informática es de vital importancia para el buen desempeño de lossistemas de información, ya que proporciona los controles necesarios para que lossistemas sean confiables y con un buen nivel de seguridad. Además debe evaluartodo (informática, organización de centros de información, hardware y software).
CARACTERÍSTICAS DE LA AUDITORIA DE SISTEMAS:
La información de la empresa y para la empresa, siempre importante, se haconvertido en un Activo Real de la misma, con sus Stocks o materias primas si lashay. Por ende, han de realizarse inversiones informáticas, materia de la que seocupa la Auditoría de Inversión Informática.
Del mismo modo, los Sistemas Informáticos o tecnológicos han de protegerse de
modo global y particular: a ello se debe la existencia de la Auditoría de SeguridadInformática en general, o a la auditoría de Seguridad de alguna de sus áreas,como pudieran ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza dealguna forma su función: se está en el campo de la Auditoría de OrganizaciónInformática o tecnológica.
Estos tres tipos de auditorías engloban a las actividades auditoras que se realizanen una auditoría parcial. De otra manera: cuando se realiza una auditoría del áreade Desarrollo de Proyectos de la Informática de una empresa, es porque en eseDesarrollo existen, además de ineficiencias, debilidades de organización, o deinversiones, o de seguridad, o alguna mezcla de ellas. Por lo tanto lascaracterísticas más resaltantes son:
• La multiplicidad de usuarios es un fenómeno natural, si se considera queson estos los que realmente gestionan el negocio de la empresa, y no lainformática. Los constructores de hardware y de productos de softwareinciden en este entorno de usuarios facilitando su utilización.
• Tras algunas pruebas de desagregación desafortunadas, lasorganizaciones muestran tendencias a mantener centralizadas losordenadores y periféricos de alta carga de información y la administraciónde los datos.
• En efecto, la proliferación de centros de procesos de datos dedicados aexplotaciones determinadas genera costos casi siempre fuera depresupuesto y debilidades de coordinación de fácil detección.
• La descentralización de los datos no ha pasado de ser una teoríaimpracticable. La redundancia e inconsistencia de datos no son un lujo, sino que puede comprometer el propio sistema de información de laempresa.
ALCANCE DE LA AUDITORÍA INFORMÁTICA:
El alcance ha de definir con precisión el entorno y los límites en que va adesarrollarse la auditoría informática, se complementa con los objetivos de ésta. Elalcance ha de figurar expresamente en el Informe Final, de modo que quedeperfectamente determinado no solamente hasta que puntos se ha llegado, sinocuales materias fronterizas han sido omitidas.
Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo? ¿Se comprobará que los controles de validación de errores son adecuados y
suficientes? La indefinición de los alcances de la auditoría compromete el éxito de la misma.
Para una mejor productividad empresarial, los responsables de los sistemas,que usan los distintos departamentos o áreas de negocio, deben conocer losriesgos derivados de una inadecuada gestión de sistemas y los beneficiosgenerados por una gestión óptima.
• Casos reales de problemas solucionados por nosotros• Clientes representativos de auditorias informáticas.• Estándares TI con las mejores prácticas informáticas
OBJETIVOS GENERALES DE LA AUDITORÍA DE SISTEMAS DE LAINFORMACIÓN
• Evaluar la fiabilidad• Evaluar la dependencia de los Sistemas y las medidas tomadas para
garantizar su disponibilidad y continuidad• Revisar la seguridad de los entornos y sistemas.• Analizar la garantía de calidad de los Sistemas de Información• Analizar los controles y procedimientos tanto organizativos como
operativos.• Verificar el cumplimiento de la normativa y legislación vigentes• Elaborar un informe externo independiente.• Utilización de estándares ISACA, OSSTMM, ISO/IEC 17799 y CIS
OBJETIVOS PARA UNA BUENA GESTIÓN DE LOS SISTEMAS DE LAINFORMACIÓN EN UNA EMPRESA
• Asegurar una mayor integridad, confidencialidad y confiabilidad de lainformación.
• Seguridad del personal, los datos, el hardware, el software y lasinstalaciones.
• Minimizar existencias de riesgos en el uso de Tecnología de información• Conocer la situación actual del área informática para lograr los objetivos.• Apoyo de función informática a las metas y objetivos de la organización.• Seguridad, utilidad, confianza, privacidad y disponibilidad de los entornos.• Incrementar la satisfacción de los usuarios de los sistemas informáticos.• Capacitación y educación sobre controles en los Sistemas de Información.• Buscar una mejor relación costo-beneficio de los sistemas automáticos.
• Decisiones de inversión y gastos innecesarios.
AUDITORÍA INTERNA Y AUDITORÍA EXTERNA:
La auditoría interna es la realizada con recursos materiales y personas quepertenecen a la empresa auditada. Los empleados que realizan esta tarea sonremunerados económicamente. La auditoría interna existe por expresa decisión dela Empresa, o sea, que puede optar por su disolución en cualquier momento.
Por otro lado, la auditoría externa es realizada por personas afines a la empresaauditada; es siempre remunerada. Se presupone una mayor objetividad que en laAuditoría Interna, debido al mayor distanciamiento entre auditores y auditados.
La auditoría informática interna cuenta con algunas ventajas adicionales muyimportantes respecto de la auditoría externa, las cuales no son tan perceptiblescomo en las auditorías convencionales. La auditoría interna tiene la ventaja de quepuede actuar periódicamente realizando Revisiones globales, como parte de suPlan Anual y de su actividad normal. Los auditados conocen estos planes y sehabitúan a las Auditorías, especialmente cuando las consecuencias de lasRecomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informática escuchan, orientan e informansobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero amenudo sin voto, Informática trata de satisfacer lo más adecuadamente posibleaquellas necesidades. La empresa necesita controlar su Informática y éstanecesita que su propia gestión esté sometida a los mismos Procedimientos yestándares que el resto de aquella. La conjunción de ambas necesidades cristalizaen la figura del auditor interno informático.
En cuanto a empresas se refiere, solamente las más grandes pueden poseer unaAuditoría propia y permanente, mientras que el resto acuden a las auditoríasexternas. Puede ser que algún profesional informático sea trasladado desde supuesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe.Finalmente, la propia Informática requiere de su propio grupo de Control Interno,con implantación física en su estructura, puesto que si se ubicase dentro de laestructura Informática ya no sería independiente. Hoy, ya existen variasorganizaciones Informáticas dentro de la misma empresa, y con diverso grado deautonomía, que son coordinadas por órganos corporativos de Sistemas deInformación de las Empresas.
Una Empresa o Institución que posee auditoría interna puede y debe en ocasionescontratar servicios de auditoría externa. Las razones para hacerlo suelen ser:
• Necesidad de auditar una materia de gran especialización, para la cual losservicios propios no están suficientemente capacitados.
• Contrastar algún Informe interno con el que resulte del externo, en aquellossupuestos de emisión interna de graves recomendaciones que chocan conla opinión generalizada de la propia empresa.
• Servir como mecanismo protector de posibles auditorías informáticasexternas decretadas por la misma empresa.
• Aunque la auditoría interna sea independiente del Departamento deSistemas, sigue siendo la misma empresa, por lo tanto, es necesario que sele realicen auditorías externas como para tener una visión desde afuera dela empresa.
La auditoría informática, tanto externa como interna, debe ser una actividad exentade cualquier contenido o matiz "político" ajeno a la propia estrategia y políticageneral de la empresa. La función auditora puede actuar de oficio, por iniciativadel propio órgano, o a instancias de parte, esto es, por encargo de la dirección ocliente.
SÍNTOMAS DE NECESIDAD DE UNA AUDITORÍA INFORMÁTICA:
Las empresas acuden a las auditorías externas cuando existen síntomas bienperceptibles de debilidad. Estos síntomas pueden agruparse en clases:
Síntomas de descoordinación y desorganización:
• No coinciden los objetivos de la Informática de la Compañía y de la propiaCompañía.
• Los estándares de productividad se desvían sensiblemente de lospromedios conseguidos habitualmente.
• [Puede ocurrir con algún cambio masivo de personal, o en unareestructuración fallida de alguna área o en la modificación de algunaNorma importante]
Síntomas de mala imagen e insatisfacción de los usuarios:
• No se atienden las peticiones de cambios de los usuarios. Ejemplos:cambios de Software en los terminales de usuario, refrescamiento depaneles, variación de los ficheros que deben ponerse diariamente a sudisposición, entre otros.
•
• No se reparan las averías de Hardware ni se resuelven incidencias enplazos razonables. El usuario percibe que está abandonado y desatendidopermanentemente.
• No se cumplen en todos los casos los plazos de entrega de resultadosperiódicos. Pequeñas desviaciones pueden causar importantes desajustesen la actividad del usuario, en especial en los resultados de Aplicacionescríticas y sensibles.
Síntomas de debilidades económicos-financieros:
• Incremento desmesurado de costes.• Necesidad de justificación de Inversiones Informáticas (la empresa no está
absolutamente convencida de tal necesidad y decide contrastar opiniones).• Desviaciones Presupuestarias significativas.• Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a
Desarrollo de Proyectos y al órgano que realizó la petición).
Síntomas de Inseguridad: Evaluación de nivel de riesgos:
• Seguridad Lógica• Seguridad Física• Confidencialidad
◦ Los datos son propiedad inicialmente de la organización que los genera.Los datos de personal son especialmente confidenciales.
• Continuidad del Servicio. Es un concepto aún más importante que laSeguridad. Establece las estrategias de continuidad entre fallos mediantePlanes de Contingencia Totales y Locales.
• Centro de Proceso de Datos fuera de control. Si tal situación llegara apercibirse, sería prácticamente inútil la auditoría. Esa es la razón por lacual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.
Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigooperando en otro lugar? Lo que generalmente se pide es que se hagan Backupsde la información diariamente y que aparte, sea doble, para tener un Backup en laempresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelasque posean servicios básicos (luz, teléfono, agua) distintos de los de la empresaprincipal, es decir, si a la empresa principal le proveía teléfono Telecom, a lasoficinas paralelas, Telefónica. En este caso, si se produce la inoperancia deSistemas en la empresa principal, se utilizaría el Backup para seguir operando enlas oficinas paralelas. Los Backups se pueden acumular durante dos meses, o eltiempo que estipule la empresa, y después se van reciclando.
CONTROL DE SEGURIDAD DE LOS SISTEMAS
Controles:
Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudesde las empresas y para ello permite verificar si todo se realiza conforme a losprogramas adoptados, órdenes impartidas y principios admitidos.
Clasificación general de los controles:
Controles Preventivos:
Son aquellos que reducen la frecuencia con que ocurren las causas delriesgo, permitiendo cierto margen de violaciones.
Ejemplos: • Letrero “No fumar” para salvaguardar las instalaciones.• Sistemas de claves de acceso.
Controles detectivos:
Son aquellos que no evitan que ocurran las causas del riesgo sino que losdetecta luego de ocurridos. Son los mas importantes para el auditor. En ciertaforma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo:• Archivos y procesos que sirvan como pistas de auditoría.• Procedimientos de validación
Controles Correctivos:
Ayudan a la investigación y corrección de las causas del riesgo. La correcciónadecuada puede resultar difícil e ineficiente, siendo necesaria la implantación decontroles detectivos sobre los controles correctivos, debido a que la corrección deerrores es en si una actividad altamente propensa a errores.
Principales Controles físicos y lógicos:
Controles particulares tanto en la parte física como en la lógica se detallan acontinuación:
• Autenticidad:Permiten verificar la identidad:▪ Passwords.▪ Firmas digitales.
• Exactitud:Aseguran la coherencia de los datos:▪ Validación de campos.▪ Validación de excesos.
• Totalidad:Evitan la omisión de registros así como garantizan la conclusión de unproceso de envió:▪ Conteo de registros.▪ Cifras de control
• Redundancia:Evitan la duplicidad de datos: ▪ Cancelación de lotes.▪ Verificación de secuencias
• Privacidad: Aseguran la protección de los datos:▪ Compactación.▪ Encriptación.
• Existencia:Aseguran la disponibilidad de los datos: ▪ Bitácora de estados. ▪ Mantenimiento de activos
• Protección de Activos: Destrucción o corrupción de información o del hardware:▪ Extintores. ▪ Passwords.
• Efectividad:Aseguran el logro de los objetivos:▪ Encuestas de satisfacción.▪ Medición de niveles de servicio.
• Eficiencia: ◦ Aseguran el uso óptimo de los recursos:
▪ Programas monitores.▪ Análisis costo-beneficio.
Controles automáticos o lógicos:Periodicidad de cambio de claves de acceso. Los cambios de las claves de accesoa los programas se deben realizar periódicamente. Normalmente los usuarios seacostumbran a conservar la misma clave que le asignaron inicialmente.
El no cambiar las claves periódicamente aumenta la posibilidad de que personasno autorizadas conozcan y utilicen claves de usuarios del sistema de computación.Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.
• Verificación de datos de entrada:Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud oprecisión; tal es el caso de la validación del tipo de datos que contienen loscampos o verificar si se encuentran dentro de un rango.
• Conteo de registros.Consiste en crear campos de memoria para ir acumulando cada registro que seingresa y verificar con los totales ya registrados.
• Totales de Control.Se realiza mediante la creación de totales de línea, columnas, cantidad deformularios, cifras de control, entre otros, y automáticamente verificar con uncampo en el cual se van acumulando los registros, separando solo aquellosformularios o registros con diferencias.
• Verificación de límites.Consiste en la verificación automática de tablas, códigos, límites mínimos ymáximos o bajo determinadas condiciones dadas previamente.
• Verificación de secuencias.En ciertos procesos los registros deben observar cierta secuencia numérica oalfabética, ascendente o descendente, esta verificación debe hacerse medianterutinas independientes del programa en si.
• Dígito autoverificador.Consiste en incluir un dígito adicional a una codificación, el mismo que esresultado de la aplicación de un algoritmo o formula, conocido como MODULOS,que detecta la corrección o no del código. Tal es el caso por ejemplo del decimodígito de la cédula de identidad, calculado con el modulo 10 o el ultimo dígito delRUC calculado con el módulo 11.
• Utilizar software de seguridad (Plataformas) en losmicrocomputadores.
El software de seguridad permite restringir el acceso al microcomputador, de talmodo que solo el personal autorizado pueda utilizarlo.
Adicionalmente, este software permite reforzar la segregación de funciones y laconfidencialidad de la información mediante controles para que los usuariospuedan accesar solo a los programas y datos para los que están autorizados.
• Controles administrativos en un ambiente de Procesamiento de Datos.La máxima autoridad del Área de Informática de una empresa o institución debeimplantar los siguientes controles que se agruparan de la siguiente forma:
• Controles de Preinstalación• Controles de Organización y Planificación• Controles de Sistemas en Desarrollo y Producción• Controles de Procesamiento• Controles de Operación• Controles de uso de Microcomputadores
• Controles de PreinstalaciónHacen referencia a procesos y actividades previas a la adquisición e instalación deun equipo de computación y obviamente a la automatización de los sistemasexistentes.
• Objetivos:◦ Garantizar que el hardware y software se adquieran siempre y
cuando tengan la seguridad de que los sistemas computarizadosproporcionaran mayores beneficios que cualquier otra alternativa.
◦ Garantizar la selección adecuada de equipos y sistemas decomputación.
◦ Asegurar la elaboración de un plan de actividades previo a lainstalación
• Acciones a seguir:
◦ Elaboración de un informe técnico en el que se justifique laadquisición del equipo, software y servicios de computación,incluyendo un estudio costo-beneficio.
◦ Formación de un comité que coordine y se responsabilice de todoel proceso de adquisición e instalación.
◦ Elaborar un plan de instalación de equipo y software (fechas,actividades, responsables) el mismo que debe contar con laaprobación de los proveedores del equipo.
◦ Elaborar un instructivo con procedimientos a seguir para laselección y adquisición de equipos, programas y servicioscomputacionales. Este proceso debe enmarcarse en normas ydisposiciones legales.
◦ Efectuar las acciones necesarias para una mayor participación deproveedores.
◦ Asegurar respaldo de mantenimiento y asistencia técnica.
• Controles de organización y Planificación:Se refiere a la definición clara de funciones, linea de autoridad yresponsabilidad de las diferentes unidades del área PAD, en laborestales como: ◦ Diseñar un sistema. ◦ Elaborar los programas.◦ Operar el sistema.◦ Control de calidad.
Se debe evitar que una misma persona tenga el control de todauna operación. Es importante la utilización óptima de recursos en el PADmediante la preparación de planes a ser evaluadoscontinuamente
• Acciones a seguir: ◦ La unidad informática debe estar al mas alto nivel de la pirámide
administrativa de manera que cumpla con sus objetivos, cuentecon el apoyo necesario y la dirección efectiva.
◦ Las funciones de operación, programación y diseño de sistemasdeben estar claramente delimitadas.
◦ Deben existir mecanismos necesarios a fin de asegurar que losprogramadores y analistas no tengan acceso a la operación delcomputador y los operadores a su vez no conozcan ladocumentación de programas y sistemas.
◦ Debe existir una unidad de control de calidad, tanto de datos deentrada como de los resultados del procesamiento.
◦ El manejo y custodia de dispositivos y archivos magnéticos debenestar expresamente definidos por escrito.
◦ Las actividades del PAD deben obedecer a planificaciones acorto, mediano y largo plazo sujetos a evaluación y ajustesperiódicos “Plan Maestro de Informática”.
◦ Debe existir una participación efectiva de directivos, usuarios ypersonal del PAD en la planificación y evaluación delcumplimiento del plan.
◦ Las instrucciones deben impartirse por escrito.
• Controles de Sistema en Desarrollo y Producción.Se debe justificar que los sistemas han sido la mejor opción para laempresa, bajo una relación costo-beneficio que proporcionenoportuna y efectiva información, que los sistemas se handesarrollado bajo un proceso planificado y se encuentrendebidamente documentados.
Acciones a seguir: ◦ Los usuarios deben participar en el diseño e implantación de los
sistemas pues aportan conocimiento y experiencia de su área yesta actividad facilita el proceso de cambio.
◦ El personal de auditoría interna/control debe formar parte delgrupo de diseño para sugerir y solicitar la implantación de rutinasde control.
◦ El desarrollo, diseño y mantenimiento de sistemas obedece aplanes específicos, metodologías estándares, procedimientos yen general a normatividad escrita y aprobada.
◦ Cada fase concluida debe ser aprobada documentadamente porlos usuarios mediante actas u otros mecanismos a fin de evitarreclamos posteriores.
◦ Los programas antes de pasar a Producción deben ser probadoscon datos que agoten todas las excepciones posibles.
◦ Todos los sistemas deben estar debidamente documentados yactualizados.
La documentación deberá contener:
▪ Informe de factibilidad.▪ Diagrama de bloque.
▪ Diagrama de lógica del programa.▪ Objetivos del programa.▪ Listado original del programa y versiones que incluyan los
cambios efectuados con antecedentes de pedido y aprobaciónde modificaciones.
▪ Formatos de salida.▪ Resultados de pruebas realizadas.▪ Implantar procedimientos de solicitud, aprobación y ejecución
de cambios a programas, formatos de los sistemas endesarrollo.
▪ El sistema concluido sera entregado al usuario previoentrenamiento y elaboración de los manuales de operaciónrespectivos.
• Controles de Procesamiento: Los controles de procesamiento se refieren al ciclo que sigue lainformación desde la entrada hasta la salida de la información, lo queconlleva al establecimiento de una serie de seguridades para:◦ Asegurar que todos los datos sean procesados.◦ Garantizar la exactitud de los datos procesados.◦ Garantizar que se grabe un archivo para uso de la gerencia y con
fines de auditoría.◦ Asegurar que los resultados sean entregados a los usuarios en
forma oportuna y en las mejores condiciones.
Acciones a seguir:▪ Validación de datos de entrada previo procesamiento debe ser
realizada en forma automática: clave, dígito autoverificador,totales de lotes, entre otros.
▪ Preparación de datos de entrada debe ser responsabilidad deusuarios y consecuentemente su corrección.
▪ Recepción de datos de entrada y distribución de informaciónde salida debe obedecer a un horario elaborado encoordinación con el usuario, realizando un debido control decalidad.
▪ Adoptar acciones necesaria para correcciones de errores.▪ Analizar conveniencia costo-beneficio de estandarización de
formularios, fuente para agilitar la captura de datos yminimizar errores.
▪ Los procesos interactivos deben garantizar una adecuadainterrelación entre usuario y sistema.
▪ Planificar el mantenimiento del hardware y software, tomando
todas las seguridades para garantizar la integridad de lainformación y el buen servicio a usuarios.
• Controles de Operación: Abarcan todo el ambiente de la operación del equipo central decomputación y dispositivos de almacenamiento, la administración dela cintoteca y la operación de terminales y equipos de comunicaciónpor parte de los usuarios de sistemas on line.
Los controles tienen como fin:◦ Prevenir o detectar errores accidentales que puedan ocurrir en el
Centro de Cómputo durante un proceso.◦ Evitar o detectar el manejo de datos con fines fraudulentos por
parte de funcionarios del PAD.◦ Garantizar la integridad de los recursos informáticos.◦ Asegurar la utilización adecuada de equipos acorde a planes y
objetivos.
Acciones a seguir:▪ El acceso al centro de cómputo debe contar con las
seguridades necesarias para reservar el ingreso al personalautorizado.
▪ Implantar claves o password para garantizar operación deconsola y equipo central (mainframe), a personal autorizado.
▪ Formular políticas respecto a seguridad, privacidad yprotección de las facilidades de procesamiento ante eventoscomo: incendio, vandalismo, robo y uso indebido, intentos deviolación y como responder ante esos eventos.
▪ Mantener un registro permanente (bitácora) de todos losprocesos realizados, dejando constancia de suspensiones ocancelaciones de procesos.
▪ Los operadores del equipo central deben estar entrenadospara recuperar o restaurar información en caso de destrucciónde archivos.
▪ Los backups no deben ser menores de dos (padres e hijos) ydeben guardarse en lugares seguros y adecuados,preferentemente en bóvedas de bancos.
▪ Se deben implantar calendarios de operación a fin deestablecer prioridades de proceso.
▪ Todas las actividades del Centro de Computo deben normarsemediante manuales, instructivos, normas, reglamentos, entre
otros.▪ El proveedor de hardware y software deberá proporcionar lo
siguiente:• Manual de operación de equipos.• Manual de lenguaje de programación.• Manual de utilitarios disponibles.• Manual de Sistemas operativos.• Las instalaciones deben contar con sistema de alarma por
presencia de fuego, humo, así como extintores deincendio, conexiones eléctricas seguras, entre otras.
• Instalar equipos que protejan la información y losdispositivos en caso de variación de voltaje como:reguladores de voltaje, supresores pico, UPS, generadoresde energía.
• Contratar pólizas de seguros para proteger la información,equipos, personal y todo riesgo que se produzca por casosfortuitos o mala operación.
• Controles en el uso del Microcomputador:Es la tarea más difícil pues son equipos mas vulnerables, de fácilacceso, de fácil explotación pero los controles que se implantenayudaran a garantizar la integridad y confidencialidad de lainformación.
Acciones a seguir: ◦ Adquisición de equipos de protección como supresores de pico,
reguladores de voltaje y de ser posible UPS previo a laadquisición del equipo.
◦ Vencida la garantía de mantenimiento del proveedor se debecontratar mantenimiento preventivo y correctivo.
◦ Establecer procedimientos para obtención de backups depaquetes y de archivos de datos.
◦ Revisión periódica y sorpresiva del contenido del disco paraverificar la instalación de aplicaciones no relacionadas a lagestión de la empresa.
◦ Mantener programas y procedimientos de detección einmunización de virus en copias no autorizadas o datosprocesados en otros equipos.
◦ Propender a la estandarización del Sistema Operativo, softwareutilizado como procesadores de palabras, hojas electrónicas,manejadores de base de datos y mantener actualizadas las
versiones y la capacitación sobre modificaciones incluidas.
SEGURIDAD DE LOS SISTEMAS
La computadora es un instrumento que estructura gran cantidad de información, lacual puede ser confidencial para individuos, empresas o instituciones, y puede sermal utilizada o divulgada a personas que hagan mal uso de esta. También puedenocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial dela actividad computacional. Esta información puede ser de suma importancia, y elno tenerla en el momento preciso puede provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dadootro factor que hay que considerar: el llamado “virus” de las computadoras, el cual,aunque tiene diferentes intenciones, se encuentra principalmente para paquetesque son copiados sin autorización (“piratas”) y borra toda la información que setiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengancopias “piratas” o bien que, al conectarnos en red con otras computadoras, noexista la posibilidad de transmisión del virus. El uso inadecuado de la computadoracomienza desde la utilización de tiempo de máquina para usos ajenos de laorganización, la copia de programas para fines de comercialización sin reportar losderechos de autor hasta el acceso por vía telefónica a bases de datos a fin demodificar la información con propósitos fraudulentos.
La seguridad en la informática abarca los conceptos de seguridad física yseguridad lógica. La seguridad física se refiere a la protección del Hardware y delos soportes de datos, así como a la de los edificios e instalaciones que losalbergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofesnaturales, entre otros.
La seguridad lógica se refiere a la seguridad de uso del software, a la protecciónde los datos, procesos y programas, así como la del ordenado y autorizado accesode los usuarios a la información.Un método eficaz para proteger sistemas de computación es el software de controlde acceso.
Dicho simplemente, los paquetes de control de acceso protegen contra el accesono autorizado, pues piden del usuario una contraseña antes de permitirle elacceso a información confidencial.
Dichos paquetes han sido populares desde hace muchos años en el mundo de lascomputadoras grandes, y los principales proveedores ponen a disposición declientes algunos de estos paquetes.
Ejemplo: Existe una Aplicación de Seguridad que se llama SEOS, para Unix, quelo que hace es auditar el nivel de Seguridad en todos los servidores, como ser:accesos a archivos, accesos a directorios, que usuario lo hizo, si tenía o no teníapermiso, si no tenía permiso porque falló, entrada de usuarios a cada uno de losservidores, fecha y hora, accesos con password equivocada, cambios depassword, entre otros. La Aplicación lo puede graficar, tirar en números, puedehacer reportes, entre otros.
La seguridad informática se la puede dividir como Área General y como ÁreaEspecifica (seguridad de Explotación, seguridad de las Aplicaciones, entre otros.).Así, se podrán efectuar auditorías de la Seguridad Global de una InstalaciónInformática –Seguridad General- y auditorías de la Seguridad de un áreainformática determinada – Seguridad Especifica -.
Con el incremento de agresiones a instalaciones informáticas en los últimos años,se han ido originando acciones para mejorar la Seguridad Informática a nivelfísico. Los accesos y conexiones indebidos a través de las Redes deComunicaciones, han acelerado el desarrollo de productos de Seguridad lógica yla utilización de sofisticados medios criptográficos.
El sistema integral de seguridad debe comprender:• Elementos administrativos.• Definición de una política de seguridad• Organización y división de responsabilidades• Seguridad física y contra catástrofes (incendio, terremotos, entre otros.)• Prácticas de seguridad del personal• Elementos técnicos y procedimientos• Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los
elementos, tanto redes como terminales.• Aplicación de los sistemas de seguridad, incluyendo datos y archivos• El papel de los auditores, tanto internos como externos• Planificación de programas de desastre y su prueba.
La decisión de abordar una Auditoría Informática de Seguridad Global en unaempresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a losque está sometida. Se elaboran “matrices de riesgo”, en donde se consideran losfactores de las “Amenazas” a las que está sometida una instalación y los“Impactos” que aquellas puedan causar cuando se presentan. Las matrices deriesgo se representan en cuadros de doble entrada <<Amenaza-Impacto>>, endonde se evalúan las probabilidades de ocurrencia de los elementos de la matriz.
VULNERABILIDAD DE LOS SISTEMAS:
Posibilidad de ocurrencia de la materialización de una amenaza sobre un activo.
Tenga en cuenta que muchos problemas en los sistemas de información se danpor errores propios de los sistemas y que permiten que se tenga acceso violandolas normas establecidas, esto quiere decir por ejemplo los errores deprogramación, porque al ser un sistema muy grande en ocasiones no soncorregidos totalmente los errores y pueden a futuro crear inestabilidad en elsistema. Según [3] los estudios muestran que aproximadamente 60% de loserrores se detectan durante las pruebas y son resultado de especificacionesomitidas, ambiguas, erróneas o no perceptibles en la documentación del diseño.
Otra de las razones por las que los sistemas de información pueden serinestables, es por el mantenimiento, ya que es la fase más costosa de todoproyecto, además porque casi la mitad del tiempo se dedica a realizar ajustes ymantenimiento a los sistemas.Es por tanto que el proceso de certificar la calidad es esencial para el proceso dedesarrollo de un sistema de información, ya que podrá prevenir errores durante lacaptura de datos.
RIESGOS EN LA AUDITORIA:
Es importante en toda organización contar con una herramienta, que garantice lacorrecta evaluación de los riesgos a los cuales están sometidos los procesos yactividades de una entidad y por medio de procedimientos de control se puedaevaluar el desempeño de la misma.
Si consideramos entonces, que la Auditoría es “un proceso sistemático, practicadopor los auditores de conformidad con normas y procedimientos técnicosestablecidos, consistente en obtener y evaluar objetivamente las evidencias sobrelas afirmaciones contenidas en los actos jurídicos o eventos de carácter técnico,económico, administrativo y otros, con el fin de determinar el grado decorrespondencia entre esas afirmaciones, las disposiciones legales vigentes y loscriterios establecidos.” es aquella encargada de la valoración independiente desus actividades. Por consiguiente, la Auditoría debe funcionar como una actividadconcebida para agregar valor y mejorar las operaciones de una organización, asícomo contribuir al cumplimiento de sus objetivos y metas; aportando un enfoquesistemático y disciplinado para evaluar y mejorar la eficacia de los procesos degestión de riesgos, control y dirección.
Los servicios de Auditoría comprenden la evaluación objetiva de las evidencias,efectuada por los auditores, para proporcionar una conclusión independiente que
permita calificar el cumplimiento de las políticas, reglamentaciones, normas,disposiciones jurídicas u otros requerimientos legales; respecto a un sistema,proceso, subproceso, actividad, tarea u otro asunto de la organización a la cualpertenecen.
A diferencia de algunos autores, que definen la ejecución de las auditorías poretapas, somos del criterio que es una actividad dedicada a brindar servicios queagrega valores consecuentemente en dependencia de la eficiencia y eficacia en eldesarrollo de diferentes tareas y actividades las cuales deberán cumplirsesistemáticamente en una cadena de valores que paulatinamente deberán tenerseen cuenta a través de subprocesos que identifiquen la continuidad lógica delproceso, para proporcionar finalmente la calidad del servicio esperado.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas yteniendo en cuenta que, una de las principales causas de los problemas dentro delos subprocesos es la inadecuada previsión de riesgos, se hace necesarioentonces estudiar los Riesgos que pudieran aparecen en cada subproceso deAuditoría, esto servirá de apoyo para prevenir una adecuada realización de losmismos.
Es necesario en este sentido tener en cuenta lo siguiente:• La evaluación de los riesgos inherentes a los diferentes subprocesos de la
Auditoría.• La evaluación de las amenazas o causas de los riesgos.• Los controles utilizados para minimizar las amenazas o riesgos.• La evaluación de los elementos del análisis de riesgos.
Generalmente se habla de Riesgo y conceptos de Riesgo en la evolución de losSistemas de Control Interno, en los cuales se asumen tres tipos de Riesgo:
• Riesgo de Control: Que es aquel que existe y que se propicia por falta de control de lasactividades de la empresa y puede generar deficiencias del Sistema deControl Interno.
• Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su revisión nodetecten deficiencias en el Sistema de Control Interno.
• Riesgo Inherente:Son aquellos que se presentan inherentes a las características del Sistemade Control Interno.
Sin embargo, los Riesgos están presentes en cualquier sistema o proceso que seejecute, ya sea en procesos de producción como de servicios, en operacionesfinancieras y de mercado, por tal razón podemos afirmar que la Auditoría no estáexenta de este concepto.
En cada Subproceso, como suele llamársele igualmente a las etapas de la misma,el auditor tiene que realizar tareas o verificaciones, en las cuales se asumenriesgos de que esas no se realicen de la forma adecuada, claro que estos Riesgosno pueden definirse del mismo modo que los riesgos que se definen para elcontrol Interno.
El criterio del auditor en relación con la extensión e intensidad de las pruebas,tanto de cumplimiento como sustantivas, se encuentra asociado al riesgo de quequeden sin detectar errores o desviaciones de importancia, en la contabilidad de laempresa y no los llegue a detectar el auditor en sus pruebas de muestreo. Elriesgo tiende a minimizarse cuando aumenta la efectividad de los procedimientosde auditoría aplicados.
El propósito de una auditoría a los Estados Financieros no es descubrir fraudes,sin embargo, siempre existe la posibilidad de obtener cifras erróneas comoresultado de una acción de mala fe, ya que puede haber operaciones planeadaspara ocultar algún hecho delictivo. Entre una gran diversidad de situaciones, esposible mencionar las siguientes:
• Omisión deliberada de registros de transacciones.• Falsificación de registros y documentos.• Proporcionar al auditor información falsa.
A continuación se exponen algunas situaciones que pueden indicar la existenciade errores o irregularidades.
• Cuando el auditor tiene dudas sobre la integridad de los funcionarios de laempresa; si la desconfianza solamente es con relación a la competencia yno con la honradez de los ejecutivos de la compañía, el auditor deberátener presente que pudiera encontrarse con situaciones de riesgo porerrores o irregularidades en la administración.
• Cuando el auditor detecte que los puestos clave como cajero, contador,administrador o gerente, tienen un alto porcentaje de rotación, existe laposibilidad de que los procedimientos administrativos, incluidos loscontables, presenten fallas que pueden dar lugar a errores oirregularidades.
• El desorden del departamento de contabilidad de una entidad implica
informes con retraso, registros de operaciones inadecuados, archivosincompletos, cuentas no conciliadas, entre otros. Esta situación como esfácil comprender, provoca errores, tal vez realizados de buena fe, oinclusive con actos fraudulentos. La gerencia tiene la obligación deestablecer y mantener procedimientos administrativos que permitan uncontrol adecuado de las operaciones.
Dentro de las auditorías se debe verificar la función de elaboración o proceso dedatos, donde se deben chequear entre otros los siguientes aspectos:
• Existencia de un método para cerciorarse que los datos recibidos para suvaloración sean completos, exactos y autorizados,
• Emplear procedimientos normalizados para todas las operaciones yexaminarlos para asegurarse que tales procedimientos son acatados;
• Existencia de un método para asegurar una pronta detección de errores ymal funcionamiento del Sistema de Cómputo.
• Deben existir procedimientos normalizados para impedir o advertir erroresaccidentales, provocados por fallas de operadores o mal funcionamiento demáquinas y programas.
SISTEMAS DE CONTROL DE RIESGOS
La estructura de Control de Riesgos pudiéramos fundamentarla en dos pilares: losSistemas Comunes de Gestión y los Servicios de Auditoría Interna, cuyasdefiniciones, objetivos, características y funciones se exponen a continuación.
CONCLUSIÓN
Podemos concluir, que la aplicación de una auditoría en las organizaciones puedetomar diferentes cursos de acción, dependiendo de su estructura organizativa,objeto, giro, naturaleza de sus productos y servicios, nivel de desarrollo y, enparticular, con el grado y forma de delegación de autoridad.
La conjunción de estos factores, tomando en cuenta los aspectos normativos yoperativos, las relaciones con el entorno y la ubicación territorial de las áreas ymecanismos de control establecidos, constituyen la base para estructurar unalínea de acción capaz de provocar y promover los cambios de personal oinstitucional necesarios para que un estudio de auditoria se traduzca en unproyecto innovador sólido.
Tomando en consideración todas las investigaciones realizadas, podemos concluirque la auditoria es dinámica, la cual debe aplicarse formalmente en toda empresa,independientemente de su magnitud y objetivos; aun en empresas pequeñas, endonde se llega a considerar inoperante, su aplicación debe ser secuencial
constatada para lograr eficiencia.
BIBLIOGRAFÍA
• http://auditoriaymantenimientodesistemas.blogspot.com/2010/10/auditoria-y-mantenimiento-de-sistemas.html.
• http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml.• http://www.eurosocialfiscal.org/uploads/documentos/20090915_110925_12-
Auditoria_de_Sistemas.ppt.
