Monografias.com > Administración y Finanzas
Descargar Imprimir Comentar Ver trabajos relacionados

Seguridad y Auditoria de Sistemas




Enviado por Ricarte Francia

  1. Breve
    introducción
  2. Auditoria de sistemas
    computarizados
  3. Controles de sistemas en un centro de
    cómputo
  4. Comentarios o pautas para evaluación de
    auditoría de sistemas de información mediante
    un equipo electrónico de datos
  5. Desarrollo de programas de auditoría
    para computadora
  6. Uso de
    programas de auditoría para
    computadora
  7. Análisis final

Breve
introducción

Debido a la creciente instalación de computadoras
de diversos tipos y marcas en nuestro medio, como herramienta de
trabajo para ayudar en la administración de negocios de
las empresas, se ha hecho necesario e imprescindible elaborar
normas y procedimientos de Auditoría de
Sistemas.

El rápido avance tecnológico en el
desarrollo de nuevas técnicas o modalidades de
procesamiento de datos (Software) como en los equipos de
máquinas (Hardware), implica una preocupación por
controlar y asegurar debidamente el área de sistemas de
información soportados una computadora, tan importante
para la modernización como para incentivar el crecimiento
de las empresa sobre todo en los sectores comercio e
industrias.

Auditoria de
sistemas computarizados

2.1. Concepto

Es el diagnóstico de estado ordenado y minucioso
de los sistemas de información soportados por un equipo
electrónico de procesamiento de datos.

2.2. Importancia

Es necesario supervisar constantemente el buen
funcionamiento de un sistema de información computarizado
dada su complejidad, concentración y veracidad de datos
pues de estos depende en gran parte el buen funcionamiento y
evolución de una empresa.

Controles de
sistemas en un centro de cómputo

El control interno es posible conceptuarlo como:
conjunto de plan de organización, métodos
coordinados y medidas adecuadas, que se adaptan dentro de una
empresa a fin de salvaguardar sus activos, verificar la
exactitud, contabilidad y oportunidad de sus datos contables para
mejorar la eficiencia de sus operaciones y vigilar el
cumplimiento de las políticas y estrategias
directivas.

Los controles dentro de un sistema de información
automatizado es necesario enfocarlos bajo tres aspectos
esenciales que a continuación detallo:

3.1. Incidencia de Computadora en la
Organización

Aún cuando una empresa está estructura
organizativamente acorde con la variedad de influencias modernas,
las líneas de responsabilidad y autoridad deben estar
definidas claramente.

La división de responsabilidades funcionales debe
definirse por:

  • a. Funciones de iniciar y autorizar la
    transacción.

  • b. Registro de la transacción por
    escrito.

  • c. Resguardo de activos resultantes.

Tal división implica especialización
brindando mayor eficiencia evita duplicación y malgasto de
esfuerzos y aumenta la efectividad del control
directivo.

El resultado de centralizar las actividades de
procesamiento de datos y la concentración de funciones de
proceso, produce en efecto notable sobre las estructuras de la
organización desde punto de vista de control.

3.2. Controles Generales

3.2.1 Controles Generales

a. El departamento de procesamiento de datos debe
funcionar independiente organizacionalmente de otros
departamentos.

b. El personal de procesamiento de datos no debe ejercer
ningún control directo ni indirecto sobre los activos ni
hacer cambios en archivos principales sin la debida
autorización.

c. Deberá haber una clara segregación de
funciones entre:

  • Diseño y Análisis de
    Sistemas

  • Programación

  • Procesamiento

d. En lo que compete a Procesamiento deberán
segregarse las funciones en:

  • Operación de Equipo

  • Bibliotecario

  • Entrada de Datos

  • Salida de Datos

e. Los seguros de la Empresa sobre interrupción
de operaciones deben cubrir interrupciones en procesamiento
automático de datos.

f. La razonabilidad del seguro sobre los registros
(archivos) del equipo de cómputo.

g. Nivel de gerencia que controla la función
efectiva de procesamiento electrónico de datos a
través de:

  • Establecimiento de políticas

  • Determinación de objetivos

  • Establecimiento de prioridades

  • Revisión periódica de avance en el
    desarrollo interno y/o estadísticas de
    operaciones

h. Nivel y la independencia de revisión y
aprobación de gerencia requeridas para sistemas contables
propuestos y para revisiones.

i. Personal técnicamente calificado para revisar
nuevos sistemas propuestos o los cambios para dar
consideración a:

  • Conformidad con las políticas de la
    empresa

  • Inclusión de factores de control
    adecuados

j. En caso de que el equipo de procesamiento fuera
alquilado o usado por extraños se deberá
considerar:

  • Suficientes controles con los ingresos por
    honorarios de servicio que sean registrados.

  • Operadores de afuera no tengan acceso a programas
    y/o archivos nuestros.

k. Razonabilidad de las preocupaciones para proceso
alternativo en caso de fallas del equipo y:

  • Frecuencia con que estos procesamientos son probados
    en condiciones reales.

  • Facilidades alternativas localizadas de manera tal
    que el riesgo de un desastre común sea reducido al
    mínimo.

3.2.2. Controles Específicos

3.2.2.1. Ambiente Físico

a. El equipo de procesamiento de datos deberá
estar instalado en un solo lugar y situado de tal manera que
proporcione segregación física entre la
función operativa y la función de
control.

b. Restricción de acceso de personal no
autorizado a la instalación.

c. Protección adecuada de archivos
proveída por la instalación ante fuego, robo u otra
catástrofe.

3.2.2.2. Protección de la Lógica de
Programas

1. Deberán haber estándares de
documentación de programas, procedimientos y rutinas lo
cual incluye lo siguiente:

a. Descripción total del sistema y sus objetivos
así como también el flujo básico a
información a través del sistema.

b. Flujograma del sistema general para ilustrar la
descripción descrita.

c. Descripción de las funciones ejecutadas y una
descripción general de cómo cada programa las lleva
a cabo.

d. Diagrama de bloque que muestre la secuencia de
operaciones ejecutadas por el programa.

e. Descripción de registros mostrando la forma,
el contenido y tipo de entradas y salidas de archivos
intermedios.

f. Listado del programa fuente en lenguaje
simbólico.

g. Instrucciones de operación del programa,
procedimientos de parada, fuentes de entradas y
disposición de salidas.

2. Segregación adecuada de las funciones
de:

  • Diseño y análisis de
    Sistemas

  • Programación

3. Restringir a los programadores y analistas el acceso
a la operación del computador, salvo acceso contado para
pruebas y expurgación de programas.

4. Restringir a los operadores en lo que compete a
programación no supervisada, previa evaluación dar
el acceso medido, en medida en que haya disponibilidad de
tiempo.

5. Los programadores y analistas de sistemas
tendrán acceso controlado a:

  • Archivos maestros o transacciones

  • Programas operativos: Fuente u objeto

  • Documentación fuente

  • Documentación de salida

6. Deberá haber un nivel de aprobación
supervisora adecuada para que el personal de programación
tenga acceso a programas fuente que se encuentran
operativos.

7. Autorización de nivel adecuado para modificar
programas operativos y esta debe ser por escrito.

8. Las autorizaciones para cambios de programas deben
ser controladas por ejemplo numéricamente.

9. Los cambios a programas deben hacerse a nivel de
programa fuente, recopilación obteniendo nuevo programa
objeto y nuevo post list.

10. Al efectuar un cambio en los programas estos
deberán ser fechados, documentos por el programador
indicando razón del cambio en forma su cinta, nombre del
mismo, a fin de proporcionar una historia cronológica del
sistema.

11. La extensión de procedimientos de prueba que
están siendo efectivamente aplicadas para programas nuevos
y revisados deberán proceder:

a. Los procedimientos de prueba incluirán
corridas en paralelo de datos actuales y/o fecha anterior por
más de un ciclo de procesamiento.

b. Los procedimientos deberán asegurarán
la compatibilidad de todos los programas que forman un solo
sistemas.

c. Los resultados y procedimientos de prueba
deberán ser revisados por:

– Departamento de auditoría interna
técnicamente calificado

– Un supervisor técnicamente apto

– La gerencia del departamento usuario

d. Los procedimientos de prueba para modificaciones de
programas deben ser los mismos que para programas
nuevos.

12. Se deberá prevenir o detectar la entrada sin
autorización de cambios de programas y los datos
implementados un sistema de seguridad.

3.2.2.3. Operación del Equipo

a. Control de Supervisión adecuado y suficiente
para que los operadores cumplan con los procedimientos de
supervisión establecidos.

b. Mantener registro de control de uso de consolas y
sub-consolas indicando tipo de trabajo del mismo y
fecha.

c. El registro de control de consola deberá
detallar separadamente además:

  • Tiempo de corrida

  • Tiempo de preparación de equipo

  • Tiempo down (pendiente o espera
    imprevista)

  • Tiempo de mantenimiento

  • d. Se deberá mantener reporte escrito de
    tiempos de parada que puedan ocurrir durante el procesamiento
    y estos deben contener:

  • Descripción completa de la situación y
    acción tomada.

  • Vo.Bo. o calificación de la persona
    supervisora responsable.

  • e. Se deberán rotar los operadores entre
    turnos y trabajos a fin de evitar asignación
    permanente a trabajos específicos.

  • f. Exigir al personal de operación a
    tomar sus vacaciones periódicas.

  • g. Proporcionar a los operadores las
    instrucciones operativas del sistema para procedimientos
    adecuados a las medidas a tomar en caso de situaciones de
    error y/o paradas en proceso.

  • h. Tener manuales de operación ordenados
    y adecuados a fin de servir de guía de procesos,
    asimismo deberán haber copias adicionales en poder del
    bibliotecario.

  • i. Uso de etiquetas internas y externas de
    archivos a procesar y estas ser reconocidas por los
    procedimientos de proceso de aplicaciones.

  • j. Establecer sistema de seguridad mediante
    contraseñas (user y password) a fin de evitar
    procedimientos no autorizados.

  • k. Control supervisor sobre rendimiento de
    máquinas mediante registros adecuados por
    escrito.

  • l. Mantener registro de control del sistema
    operativo del computador tipificando:

  • Control de alteraciones

  • Actualización del sistema

  • Creación de archivos de sistemas

  • Performance

ll) Verificación de supervisión de control
de operaciones en los diferentes turnos.

m) Elaboración de cronograma de tiempo de proceso
con las áreas usuarias y vigilar que estos se cumplan
estrictamente.

3.2.2.4. Bibliotecas

1. El bibliotecario dentro de un departamento de
procesamiento electrónico de datos deberá ser
responsable por:

a. Control de documentos delicados (cheques, planillas,
etc.) y todos los archivos y programas tanto de usuario como del
sistema.

b. Entregar a operación lo necesario para cada
trabajo específico de procesamiento.

c. Control de archivos, bibliotecas, fuente y objeto que
son producidas por cada trabajo de proceso (archivos originales y
archivos copias de respaldo).

d. Conservación adecuada de diskettes y
packs.

e. Revisión periódica de estado
físico de archivos.

f. Mantenimiento de un programa adecuado de
retención de archivos, que exijan conservación de
archivos hasta de tercera generación.

g. Mantener stocks adecuados y suficientes de cintas de
impresión y formularios continuos.

2. Mantener archivos maestros y de transacciones en
prevención de tener que efectuar reconstrucción
(Recovery).

3. Los archivos mencionados en el párrafo
anterior deberán ser guardados en un ambiente adecuado a
prueba de fuego, robo, terremoto u otro desastre.

4. Usar etiquetas externas en todos los archivos a fin
de identificar:

  • Fecha

  • Aplicación

  • Volumen

5. Asignar mediante procedimiento adecuado y supervisado
que esté disponible una copia al día del
último programa fuente u objeto operativo y su
documentación correspondiente.

6. Mantener una biblioteca técnica de manuales
del sistema a fin de hacer las consultas del caso si hubieren
problemas.

7. Mantener un inventario adecuado de archivos
bibliotecas, manuales, etc.

3.2.2.5. Flujo de Datos

a. Procedimiento de control de entrada de datos para
asegurar que estos estén completo y correctos (cantidad de
documentos, totales de control) de la fuente de datos, asimismo
que estos sean verificados por programas de consistencia, vale
decir que estos procedimientos estén por
escrito.

b. Emisión de reportes de validación de
datos (Consistencias) a fin de devolver los documentos fuentes
errados a su lugar de origen a fin de efectuar las correcciones
del caso.

c. Procedimiento de corrección de datos
defectuosos previamente chequeados por la fuente de origen,
validación secundaria o alternativa, asimismo rutinas para
obtener oportunamente las correcciones a fin de que el
procedimiento de la aplicación sea hecha en el tiempo
previsto y con veracidad adecuada.

d. Procedimiento adecuado para distribuir la
información necesaria en las áreas
usuarias.

Comentarios o
pautas para evaluación de auditoría de sistemas de
información mediante un equipo electrónico de
datos

a. Nuestras pruebas de la función de
procesamiento electrónico de datos estarán
influenciadas por la habilidad de la gerencia para hacer cumplir
los controles y procedimientos establecidos. Normalmente hay una
relación directa entre el grado de participación de
la alta gerencia en la supervisión de la función y
el grado de cumplimiento de los procedimientos de control
interno.

b. La revisión y la aprobación
deberían de ser preferiblemente un esfuerzo común
de la gerencia, los representantes de los departamentos que lo
usan y los de EDP y cada uno de los cuales debería conocer
las funciones de los otros.

c. Pruebas periódicas bajo circunstancias reales
aseguran que no hay habido mayores cambios en equipos o en
programas en el sitio alternativo, los cuales impedirían
un procesamiento adecuado.

d. Los programas de computadora gobiernan todo el
procesamiento. Las operaciones son ejecutadas y serán
repetidas siempre que el programa no sea alterado, pero pueden
producirse cambios y pasar inadvertidos. Por lo tanto el sistema
de control interno debería proteger la integridad de los
programas, es decir éstos no deben ser susceptibles a
alteraciones accidentales erróneas o no
autorizadas.

e. La posibilidad de determinar, hacer el recorrido a
través, evaluar y probar el sistema es aumentada
considerablemente por la presencia de documentación del
cliente que esté actualizada y detallada. La existencia de
estándares estrictos de documentación es una
indicación de que el cliente emplee buenos procedimientos
de control interno.

Los flujogramas, descripciones narrativas y otra
documentación del cliente pueden utilizarse como
documentación de la auditoría y se debe poner
énfasis en obtener copias.

f. Los operadores debería tener acceso a los
programas fuente solamente cuando están compilando un
programa; y a los programas objeto solamente cuando están
operando un programa.

g. Como quiera que puede haber errores en la
lógica de programa, en programas nuevos o modificados,
deben de ser probados para asegurarse de que funcionan como se
había planeado.

Las pruebas deberían de hacerse usando datos
reales bajo condiciones reales de operación en el mayor
grado posible.

También deberían de incluirse datos
erróneos de manera que todas las secciones y todas las
rutinas de revisión de los programas sean probadas
adecuadamente. La revisión y evaluación del cliente
de los resultados de las pruebas deberían ser hechas por
representantes capaces de todos los departamentos interesados
(incluyendo los auditores internos) para asegurarse de que todas
las implicaciones de los resultados de las pruebas se han tomado
en cuenta.

h. El auditor debe de estar pendiente de la posibilidad
de que los controles de operaciones varíen entre turno y
turno.

  • i. Los listados de programas normalmente
    indicarán si se usan las etiquetas internas de
    archivo.

j. El uso de un programa supervisor provisto por el
fabricante (sistema operativo) evita la necesidad de mucha
intervención humana durante el procesamiento.

k. Un sistema adecuado de control interno debería
de incluir procedimiento, para proteger a compañía
contra destrucción accidental o alteraciones
erróneas o no autorizadas de los archivos maestros o de
datos. Estos archivos requieren controles más estrictos
que los registros preparados manualmente porque pueden ser
destruidos o dañados más fácilmente y la no
visibilidad de sus contenidos hace que un mal uso o abuso sean
difíciles de detectar.

l. El procesamiento normal de archivos de cinta provee
una duplicación automática. Sin embargo, los
archivos de discos deben ser copiados (normalmente en cinta) para
hacer posible una eventual reconstrucción.

m. Cierto respaldo del programa es proporcionado por los
diagramas de bloque, las hojas de codificación y otra
documentación del programa, si están al día,
pero las copias duplicadas de los programas fuente y objeto
permiten una reconstrucción mucho más
rápida.

Desarrollo de
programas de auditoría para computadora

La computadora ofrece una serie de recursos al auditor a
fin de determinar la calidad de la información generada
por el sistema de procesamiento, a fin de evaluar y
analizarla.

Es necesario contemplar cuatro elementos básicos
en el desarrollo de programas de auditoría para
computadora:

5.1. Determinación de objetivos y
procedimiento de Auditoría

El Auditor con el soporte de programación es
quién define los objetivos y procedimientos de acuerdo a
las normas legales de auditoría generalmente aceptadas,
él es quien de determina los datos en los registros
maestros o transacciones que desee verificar.

5.2. Elaboración de Diagramas de recorrido de
sistema

Habiendo definido los procedimientos y objetivos se
preparan los diagramas de recorrido de sistema indicando archivos
de entradas y salidas resultantes que se desee obtener a
través del programa de auditoría.

5.3. Elaboración de Diagramas de recorrido de
programas

A través de estos de indican cómo van a
procesarse los datos indicando operaciones y decisiones
especificas y la secuencia que han de seguir dentro del programa.
Asimismo este diagrama mostrará la lógica y las
funciones del programa. Este diagrama proporcionará
esencialmente:

5.3.1. Una imagen gráfica de la solución
del problema

5.3.2. Guía para codificar y probar el programa
determinando si se han considerado todas las condiciones
posibles.

5.3.3. Documentación para su explicación y
modificación del programa.

El diagrama de recorrido de programa puede completarse
mediante tablas de decisión a fin de evaluar alternativas
de acción que pueden tomarse dadas las
condiciones.

5.4. Codificación, Compilado y Prueba de
Programa

Ésta fase no requiere mayor comentario porque se
procede al igual que un programa común y
corriente.

Uso de programas
de auditoría para computadora

Esencialmente existen tres maneras de usar programas de
auditoría para computadora:

6.1. Análisis e Informes de
Excepción

El auditor puede elaborar programas para:

  • Analizar detalles de archivos

  • Explorar aspectos o atributos que le
    interesen

  • Búsqueda de irregularidades en
    archivos

Las excepciones a las normas y criterios contemplados
por el programa se imprimirán como salida.

6.2. Selección de Muestras

El auditor puede elaborar programas para seleccionar
muestras, ya sea al azar o de acuerdo a los criterios que
consideren conveniente.

6.3. Computaciones y Pruebas
Detalladas

El auditor puede elaborar programas para efectuar
pruebas o computaciones (cálculos) que antes se realizaban
manualmente.

Análisis
final

7.1. Ventajas del uso de la Computadora por el
Auditor

7.1.1. Mejor conocimiento del sistema de procedimiento y
controles del cliente.

7.1.2. Área de actividad profesional mucho
más extensa.

7.1.3. El más elemental logro de Auditoría
continúa.

7.1.4. Mejor uso del principio de
excepción.

7.2. Problemas

7.2.1. Costos

El uso de datos de pruebas y programas de
auditoría tienen que justificarse en base a la
reducción del tiempo en comparación la
auditoría manual así como la obtención con
una auditoría más cualitativa. Deberán
analizar: costo de elaboración de datos de prueba y
programa, costo de operación frente al valor de los
beneficios obtenidos.

7.2.2. Requerimientos
técnicos

La nueva tecnología que se necesita para valorar
un sistema de información soportado por computadora y
elaborar un programa de auditoría requiere de una
planeación detallada, lógica y explícita en
las etapas de procesamiento.

7.2.3. Necesidad de Planeación
anticipada

El auditor debe estar consciente de la gran cantidad de
tiempo que requiere inicialmente para efectuar una
auditoría en una instalación de computadora, lo
cual debe saber el cliente antes de efectuar el trabajo, asimismo
deberá informarle al cliente el tiempo que requiere para
evaluar el sistema y desarrollar los programas de
auditoría.

7.2.4. Conversión

Por efecto de alguna conversión en el transcurso
de su tiempo de auditoría este puede enfrentarse
a:

  • Falta de documentación
    significativa

  • Sobrecarga de trabajo de los programadores que
    dificultan su acceso a ellos.

  • Cambios frecuentes de programas que entorpecen la
    evaluación y revisión del sistema.

7.3. Conclusiones

a. Las técnicas de auditoría se ven
afectadas significativamente por el papel que cumple la
computadora dentro de los sistemas de

información en la empresa.

Lima, Mayo del 2008.

 

 

Autor:

Econ. Ricarte E. Francia Gonzaga

 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter