Universidad Tcnica de Manab

Facultad de Ciencias Administrativas y Econmicas

Carrera de Auditoria Asignatura:

Auditoria en Sistemas Informticos

Tema:
MDULO DE AUDITORIA EN SISTEMAS INFORMATICOS

Autores:
Bermello Ochoa Malena Andreina Mendoza Gonzlez Andrea Lissette Robles Quim Jos Javier Soledispa Sancn Jessenia Adriana Solrzano Arteaga Laura Silvana

Catedrtico:
Ing. Kevin Mero

Semestre:
Octavo M de Auditora
1

INDICE
Fundamentos de la auditoria de los sistemas informticos Conceptos generales Elementos de control Relacin entre el control y la auditoria Independencia Proceso de auditora Clasificaciones La auditoria y los procesos informticos Auditora de estados contables emitidos Tcnicas de auditora asistidas por computadora Auditora de sistemas de informacin computarizados Sistema de informacin Objetivo de la auditoria Independencia Idoneidad El control de los sistemas de informacin computarizados Produccin, operacin y mantenimiento Sistemas y modificacin de la informacin Ingreso de datos para procesamiento Transacciones rechazadas Segregacin de funciones Cambios a los programas Seguridad general centros de procesamiento de datos Utilizacin de los equipos, programas e informacin inst. Normas de auditora de sistemas informticos 4 4 4 7 7 8 9 9 10 11 12 12 14 15 16 19 20 20 21 21 22 23 23 24 26
2

El proceso de auditora de sistemas informticos Principales pruebas y herramientas auditora informtica Planeacin de la auditora en informtica Investigacin preliminar Informe

32 34 35 35 39

MDULO DE AUDITORIA EN SISTEMAS INFORMATICOS

FUNDAMENTOS DE LA AUDITORIA DE SISTEMAS
1. AUDITORIA. CONCEPTOS GENERALES ORIGEN DE LA PALABRA:
Etimolgicamente el verbo latino AUDIRE significa OIR y el sustantivo latino AUDITOR significa EL QUE OYE, este significado proviene del origen histrico de la funcin de los auditores, quienes antiguamente juzgaban la veracidad o falsedad de las rendiciones de cuentas, oyendo la explicacin de los responsables de las mismas. La palabra Auditora, hasta no hace mucho tiempo, se entenda referida a la revisin de cuentas o contabilidades. No hacen muchos aos se diferenciaron las palabras Auditora de Auditora Contable.

CONCEPTO:
Distintos profesionales de Ciencias Econmicas han tratado de dar un concepto de Auditora distinto del de Auditora de Estados Contables. De estos trabajos vale la pena mencionar el de LOPEZ SANTISO de 1.976 1 que relaciona la auditora con la teora de sistemas, de donde surge la siguiente sntesis: En Administracin, una funcin de control es la encargada de medir y corregir los desvos en las actividades de una organizacin, de acuerdo a objetivos predeterminados. Existen numerosos tipos de controles, en funcin de los distintos criterios de clasificacin que pueden utilizarse.

ELEMENTOS DE UN CONTROL

Todo control de un sistema operante, posee 4 elementos bsicos: que son los siguientes: 1. Objeto: es lo que se va a examinar o medir, es una o varias caractersticas o condiciones del sistema operante a ser controladas.

2. Sensor: Es el mtodo, pauta, estndar o norma que se usa para medir o comparar con el objeto del control, la caracterstica o condicin controlada, para ver si cumple o se desva respecto de lo estipulado en este sensor. Es la unidad de medida del control.

3. Sujeto: del examen, es quien ejecuta o realiza el control. Es el grupo unidad o equipo de control que compara los datos medidos con el rendimiento planeado, determina los desvos o diferencias y lo informa de forma tal que permitir corregir la produccin del sistema.

4. Grupo Activante: Es el grupo, persona o mecanismo capaz de efectuar las correcciones en el sistema operante, de los desvos que surgieron de la comparacin entre el objeto y el sensor.

Estos cuatro elementos bsicos de todo control se presentan siempre en la misma secuencia y con la misma interrelacin de acuerdo al siguiente grfico: 1. 2. 3. 4. Sistema Operante---Caracterstica o Condicin controlada Sensor Grupo Activante Grupo de Control

CONCEPTO DE AUDITORIA EN GENERAL

AUDITORIA, podemos definirla como una funcin de control independiente, que en forma sistemtica y organizada debe:

Comparar la caracterstica o condicin controlada, con respecto a las pautas, normas o elementos utilizados para medirla. Es decir comparar el objeto con respecto al sensor.

Determinar los desvos e.

Informar a quien ordena o contrata la auditora, que jerrquicamente debe estar por encima del sistema auditado.

RELACIN ENTRE CONTROL Y AUDITORA

La auditora es una funcin de control porque su accionar se dirige a influenciar un sistema en sentido restrictivo o directivo. Al constituir un control es la auditora como cualquier otro, un control de sistemas. La auditora es por otra parte un sistema de control correctivo, del tipo retroalimentado. El auditor es el grupo de control que compara los objetivos definidos por el sistema con los resultados que produce en relacin con la caracterstica controlada, determina los desvos e informa de ello al grupo activante. No se concibe la auditora como un control no correctivo porque toda auditora est dirigida a la medicin e informacin de los desvos. Tampoco puede pensarse a la auditora como un sistema de control prealimentado, porque su fin no es la de un control incluido en la planeacin sino la verificacin de algo que ya ha sucedido, aunque se trate por ejemplo de informacin proyectada. La auditora es en general un control selectivo por lo tanto no es necesario verificar la totalidad de los resultados producidos por el sistema para obtener evidencia suficiente sobre el funcionamiento del sistema operante. Auditora es un control de secuencia abierta, es decir que el grupo de control no pertenece al sistema operante sino que es independiente de l. Cuando el control pertenece al sistema solo se denomina control pero no es auditora.

INDEPENDENCIA
Cabe destacar la caracterstica de independiente de esta particular funcin de control. El sujeto que ejecuta este control, es decir el auditor, debe cumplir con este requisito indispensable, que es ser independiente del objeto auditado y adems parecerlo. El problema de la independencia del auditor es una cuestin fctica, ya que un profesional puede ser imparcial, o no serlo, independientemente de lo que indiquen las apariencias. Sin embargo la credibilidad de un informe de auditora firmado por un familiar directo, o por alguien que depende econmicamente del auditado, probablemente resulte poco creble a los usuarios de ese informe, ms all de la objetividad con la que realiz el trabajo de auditora.

Desde el punto de vista normativo slo pueden enumerarse las situaciones que afectan la independencia aparente, no obstante los cual un auditor debe cumplir con los dos aspectos: la independencia real y la aparente.

PROCESO DE AUDITORIA

La realizacin de las tareas de cualquier auditora en forma sistemtica y organizada, significa que toda auditora es, en s misma, un proceso que requiere del cumplimiento de tres etapas bsicas que son: PLANIFICACION EJECUCION CONCLUSIONES

Cada una de estas etapas constituye verdaderos procesos en s mismos. La etapa de planificacin incluye desde la determinacin precisa de los objetivos y sub objetivos de la auditora, hasta llegar al programa de trabajo que es el detalle de los procedimientos o tcnicas seleccionados. Estos debern permitir reunir evidencia vlida y suficiente, respecto de cada uno de los objetivos y sub objetivos predeterminados. La etapa de ejecucin, como su nombre lo indica, es aquella donde llevamos a cabo los procedimientos determinados en la planificacin y que se reflejan en los programas de trabajo. De la aplicacin de cada procedimiento obtenemos conclusiones respecto del objetivo vinculado al mismo, en muchos casos resulta necesaria la aplicacin de ms de un procedimiento por cada objetivo, para poder reunir evidencia suficiente que permita la obtencin de conclusiones sobre el mismo. Esta ltima etapa del proceso de auditora se caracteriza fundamentalmente, por la sntesis de las conclusiones particulares de cada procedimiento aplicado, para llegar a una o varias conclusiones generales sobre la tarea realizada. Esta etapa termina con la emisin del correspondiente informe de auditora que adopta distintas formas segn el tipo de auditora que se trate. Las tres etapas del proceso de auditora estn estrechamente vinculadas entre s a tal punto que no hay una clara delimitacin en el tiempo, respecto del comienzo y fin de cada una. Prueba de ello es que para planificar las tareas a realizar, habitualmente resulta necesaria la aplicacin de ciertos procedimientos particulares, al igual que durante la etapa de ejecucin pueden modificarse los programas de trabajo si los resultados obtenidos de los procedimientos programados fueran insuficientes o excesivos.
7

CLASIFICACIONES:

La funcin de auditora es susceptible de clasificacin segn: El Sujeto: Auditora Interna, Externa. El Objeto: Auditora de Estados Contables, Operativa, Integral, Fiscal, de Sistemas de Informacin, de Informacin Prospectiva, Militar, Mdica, Jurdica, etc.

2. LA AUDITORA Y EL PROCESAMIENTO ELECTRONICO DE DATOS

La vertiginosa evolucin de la Tecnologa de la Informacin (TI) en los ltimos aos y la significativa reduccin de costos tanto del equipamiento, como de las aplicaciones, ha trado como consecuencia la generalizacin del uso del procesamiento electrnico de datos en prcticamente todos los mbitos. Su utilizacin en el sector productivo, administrativo, comercial, acadmico, de investigacin y de servicios, tanto en el mbito pblico como en el privado es ya una realidad innegable. Esta generalizacin ha sido tan explosiva que algunos servicios vinculados y habituales en toda organizacin, como el de auditora, no ha evolucionado de la misma forma. En algunos libros es frecuente encontrar cierta confusin conceptual sobre temas de auditora en relacin con la informtica, suelen aparecer definiciones confusas y entre cruzadas de al menos tres temas bien diferenciados:

1. AUDITORA DE ESTADOS CONTABLES EMITIDOS A PARTIR DE UN SISTEMA DE INFORMACION COMPUTARIZADO.

2. TCNICAS DE AUDITORA ASISTIDAS POR COMPUTADOR.

3. AUDITORA DE SISTEMAS DE INFORMACION COMPUTARIZADOS.

A efectos de conceptualizar cada uno, se utilizar la definicin de auditora en general y se identificarn para cada caso los elementos bsicos de toda funcin de control, definidos en la primera parte.

2.1. AUDITORA DE ESTADOS CONTABLES EMITIDOS A PARTIR DE UN SISTEMA DE INFORMACION COMPUTARIZADO.

Objeto:
Lo que se va a verificar o controlar son los estados contables, es decir, el producto final de una parte del sistema de informacin de una organizacin. A los profesionales en ciencias econmicas, las normas de auditora vigentes nos obligan a evaluar el sistema de informacin del cual surgen los estados contables, independientemente de que sea un sistema manual, mecnico o electrnico, a efectos de realizar este tipo de tarea. Esto no significa que cambia el objetivo de la labor de auditora que sigue siendo verificar la correcta valuacin y exposicin de los estados contables de acuerdo a normas contables vigentes, sino que forma parte del proceso de planificacin de las tareas de este tipo de auditora. La naturaleza, el alcance y la oportunidad de los procedimientos se determinarn en funcin de las debilidades y fortalezas detectadas en la parte pertinente del sistema de control interno, en especial el referido a esta parte del sistema de informacin.

Las Normas de Auditora, establecen lo siguiente: 1. Normas sobre Auditora externa de Informacin Contable. 1.1. Reunir los elementos de juicio vlidos y suficientes que permitan respaldar su informe a travs de la aplicacin de los siguientes procedimientos de auditora: 1.1.1. Evaluacin de las actividades de control de los sistemas que son pertinentes a su revisin, siempre que, con relacin a su tarea, el auditor decida depositar confianza en tales actividades. Esta evaluacin es conveniente que se desarrolle en la primera etapa porque sirve de base para perfeccionar la planificacin en cuanto a la naturaleza, extensin y oportunidad de las pruebas de auditora a aplicar. El desarrollo de este procedimiento implica cumplir los siguientes pasos: 1.1.1.1. Relevar las actividades formales de control de los sistemas que son pertinentes a su revisin.
9

1.1.1.2. Comprobar que esas actividades formales de control de los sistemas se aplican en la prctica. 1.1.1.3. Evaluar las actividades reales de control de los sistemas, comparndolas con las que considere razonables en las circunstancias. 1.1.1.4. Determinar el efecto de la evaluacin mencionada sobre la planificacin de modo de replantear, en su caso, la naturaleza, extensin y oportunidad de los procedimientos de auditora seleccionados previamente.

1.1.1.5. Emitir, en su caso, un informe con las observaciones recogidas durante el desarrollo de la tarea y las sugerencias para el mejoramiento de las actividades de control de los sistemas examinados.

Ningn otro procedimiento est descripto con tal grado de detalle en la norma, lo que revela la importancia que la misma le otorga a esta parte del proceso de auditora, sin perder de vista que el objeto de la auditora sigue siendo el producto final de una parte del sistema de informacin de la organizacin como normalmente es el subsistema contable. La norma usa el trmino sistemas sin distinguir si es manual, mecnico, o electrnico, sin que por ello haya perdido validez la aplicacin de la misma, por el contrario, es muy probable que la informacin volcada en los estados contables tenga mayor dependencia del sistema, en uno computarizado que en uno manual.

Sensor:
De acuerdo a lo expuesto en el prrafo referido al objeto de esta auditora, el sensor o unidad de medida para una auditora de estados contables, independientemente de donde surjan, seguirn siendo las normas contables vigentes.

Sujeto:
Es el profesional en ciencias econmicas, quien deber determinar si los estados contables se han confeccionado de acuerdo con las normas contables profesionales vigentes teniendo en cuenta para este caso en particular, el efecto combinado de los siguientes factores:

10

 Grado de utilizacin del procesamiento electrnico de datos (P.E.D.) en la emisin de los estados contables. Complejidad del ambiente P.E.D.

Importancia de la Tecnologa de Informacin (T.I.) en el negocio.

La diversidad de equipamientos, configuraciones, sistemas operativos, aplicaciones, lenguajes de programacin, programas de gestin enlatados, etc. Utilizados actualmente, es tan grande que puede requerir que el equipo de trabajo de auditora cuente con el apoyo de especialistas en sistemas y controles de sistemas, distintos para cada caso.

2.2. TCNICAS COMPUTADORA.

DE

AUDITORA

ASISTIDAS

POR

Concepto:
Uso de herramientas informticas para: la ejecucin de procedimientos, la documentacin de tareas realizadas por el auditor, etc. independientemente de las caractersticas del sistema de informacin, del tipo de auditora, o del objetivo de la misma. Son aplicables tanto en un entorno manual como informatizado, para auditoras de estados contables, de sistemas de informacin, evaluaciones de control interno, etc. Su mayor utilidad se da en contextos computarizados y en aquellas auditoras donde es necesario el manejo de grandes volmenes de datos.

Herramientas:
Existen en el mercado varias aplicaciones especficas de auditora, que permiten la realizacin de una gran cantidad de tareas, que significan para el auditor una ayuda por el ahorro de tiempo que le significa su utilizacin y la sistematicidad que se logra en el desarrollo del proceso de una auditora. Normalmente estos programas son desarrollos realizados por los grandes estudios internacionales de auditora. (Ejemplos de estos aplicativos son IDEA, ACL, etc.) y su costo suele ser elevado.
11

En el caso de pequeos estudios o profesionales independientes es ms comn la utilizacin en tareas de auditora, de aplicaciones de uso generalizado como procesadores de texto, hojas de clculo y administradores de bases de datos, disponibles en cualquier PC o porttil, con los que se pueden lograr excelentes resultados, requiriendo slo cierta pericia y alguna cuota de imaginacin por parte del auditor.

2.3. AUDITORA DE COMPUTARIZADOS.

SISTEMAS

DE

INFORMACIN

Objeto:
En este caso el objeto de auditora es el sistema de informacin (S.I.) propiamente dicho. A efectos de poder caracterizar este tipo de auditora en particular, resulta necesario definir qu es y qu incluye el S.I. ya que no existe acuerdo entre los distintos autores al respecto, encontrando conceptos muy generales que no aportan claridad sobre el alcance de este tipo de auditoras, o muy restrictivos ya que slo se refieren en forma exclusiva a las aplicaciones o programas de computacin. La importancia de conceptualizar en forma precisa, que incluye el S.I., est dada por que nos va a definir el alcance y hasta la incumbencia profesional necesaria para este tipo de auditoras.

3. SISTEMA DE INFORMACION.

CONCEPTO
Es el conjunto de personas, papeles, software, hardware, datos, entorno, medios de almacenamiento y comunicaciones y las interacciones entre ellos, que tiene como objetivo la generacin de informacin que cumpla con ciertos requisitos predeterminados. Cabe destacar que esta definicin de S.I. abarca mucho ms que las aplicaciones o programas, que son slo una parte del sistema, la auditora de S.I. tiene por objeto el sistema en su conjunto, es decir cada uno de los distintos componentes mencionados, entre ellos el software, y fundamentalmente las interacciones entre ellos.

12

Sensor:
Cual es la unidad de medida, el estndar o la norma con la cual voy a medir o comparar el sistema de informacin. Este suele ser otro problema que surge a los auditores de sistemas de informacin, al no existir un patrn nico aplicable. En trminos generales podemos mencionar:

1. Normas internas del ente: Algunas organizaciones de cierta envergadura suelen generar su propio conjunto de normas de funcionamiento materializadas en manuales de procedimientos, cursogramas, flujogramas, organigramas, documentacin de sistemas, etc. lo que resulta ms difcil es que estas normas reflejen el impacto que la informtica a causado en sus sistemas, e incluyan pautas especficas sobre el tema. An en los casos en los que existan, deben mantenerse actualizadas por la velocidad de los cambios en este tipo de sistemas (actualizaciones en el equipamiento, en los sistemas operativos, en las aplicaciones y en las comunicaciones)

2. Normas de organismos de control: Algunos organismos de control ya han emitido normas especficas referidas a Tecnologa de la Informacin (TI) ejemplos de ellos en nuestro medio son: el Banco Central de la Repblica del Ecuador con su Comunicacin A 2659, la Sindicatura General de la Nacin con las Pautas de Control Interno para Sistemas Computadorizados y Tecnologa de Informacin, con sus Normas de Seguridad de Sistemas de Informacin y a travs de la adopcin de COBIT, etc. En algunos casos es necesario complementarlas con otras pautas o normas referidas a los otros componentes de un sistema de informacin distintos de la TI. 3. Estndares emitidos por organizaciones especializadas: Organizaciones internacionales de profesionales han emitido normas aplicables a este tipo de auditoras, entre las ms relevantes se pueden mencionar: Informe C.O.S.O.- (Committee of Sponsoring Organizations) elaborado por la Treadway Commission, (EEUU 1.992) referido a pautas de control interno en general. C.O.B.I.T.- Objetivos de control para la informacin y la tecnologa relacionada desarrollado por la I.S.A.C.A. Asociacin de Auditora y Control de Sistemas de Informacin. Ambos estndares se complementan abarcando prcticamente todos los aspectos relevantes de un S.I.
13

4. Criterio del Auditor: Es el menos recomendable y en general el ms utilizado, la principal crtica que se le puede hacer como sensor es la falta de objetividad, ya que es la opinin del auditor sobre lo que debera ser, y por lo general suele ser muy discutida, salvo casos de observaciones muy evidentes, o una muy buena fundamentacin del criterio utilizado.

Objetivos de auditora
Otro problema relacionado con el sensor es su relacin con los objetivos del control. Definido que es el Sistema de Informacin y cual es el sensor aplicable, falto definir que caracterstica u objetivo de control, deber verificar el auditor. No hay consenso de cuales son los objetivos de una auditora de S.I. cada autor menciona los que cree ms relevantes, a modo de ejemplo y no por que sean los nicos, se detallan los objetivos incluidos en los estndares mencionados en el prrafo anterior de acuerdo al enfoque que utiliza cada uno, siendo los ms importantes:

1. Efectividad: La informacin relevante debe ser pertinente para los procesos del ente, adems su entrega debe ser oportuna, correcta, consistente y de manera utilizable.

2. Eficiencia: La provisin de informacin debe lograrse a travs de la utilizacin ptima de los recursos disponibles (Productividad y economa).

3. Confidencialidad: Proteccin de informacin sensible contra acceso o divulgacin no autorizada.

4. Integridad: Es la precisin y suficiencia de la informacin, as como su validez de acuerdo a las necesidades y expectativas del ente. 5. Disponibilidad: La informacin debe estar siempre disponible cuando sea requerida por los procesos del ente, tanto ahora como en el futuro. Tambin incluye la salvaguarda de los recursos necesarios y de las capacidades asociadas a la emisin de informacin.

14

6. Cumplimiento: Est referido a cumplir con leyes, regulaciones, normas internas, externas y acuerdos contractuales a los que estn sujetos los procesos del ente.

7. Confiabilidad: Se refiere a la provisin de informacin apropiada para la correcta toma de decisiones que hacen a la operatoria del ente, reportes financieros, informacin fiscal, etc. Es la base del correcto ejercicio de las responsabilidades.

Cabe destacar que los objetivos de control mencionados se refieren tanto a caractersticas del S.I: como a caractersticas de la informacin propiamente dicha, en este ltimo caso debe entenderse como que el sistema de informacin provea a su producto final de esa condicin, caso contrario estaramos en presencia de una auditora de informacin y no del sistema que le da origen.

Esto no impide que para auditar un S.I. se puedan aplicar procedimientos sobre el producto generado por el sistema con el objetivo de verificar alguna condicin a cumplir por ste. De la lectura de los objetivos mencionados surge que muchos de ellos son muy amplios o generales y requieren ser abiertos en sub objetivos ms concretos, especialmente a efectos de disear los procedimientos aplicables para verificar su cumplimiento en el S.I.

Sujeto:
El sujeto en este tipo de auditoras, es el Auditor de S.I. que debe reunir los requisitos de independencia e idoneidad.

INDEPENDENCIA:
Esta independencia respecto del sistema auditado, es la que diferencia a la Auditora de cualquier otra funcin o actividad de control realizada en una organizacin. Este requisito se debe cumplir tanto en el caso del auditor externo (ejemplo: Si el responsable del sistema se desvincula de la organizacin, no podra ser inmediatamente contratado como auditor externo del mismo ya que carece de independencia de criterio para opinar sobre su tarea anterior) como del auditor interno (El cual debe depender de un nivel jerrquico suficientemente alto, para evitar que el responsable de las observaciones que puedan surgir de su tarea, termine siendo su superior).
15

Por otra parte existe una nueva tendencia que propugna que el auditor debe asumir una actitud pro activa en su tarea, involucrndose en los proyectos y desarrollos antes de su finalizacin, dejando de lado la actitud de crtico de hechos y situaciones del pasado, esta postura puede ser vlida en la medida que no se vea comprometida su independencia respecto del objeto de la auditora.

Bsicamente es una cuestin de responsabilidades, cuando se contrata un auditor externo (para cualquier tipo de auditora), justamente lo que se busca es alguien ajeno al objeto a auditar.

El auditor debe tener claro que la responsabilidad de la correccin de lo que va a examinar, es de alguien que pertenece al ente contratante, si el auditor se involucra con el objeto de la auditora, esta responsabilidad del auditado se diluye y lo que puede ser ms grave es que termine siendo compartida con el auditor. No obstante lo expuesto nada impide que se puedan auditar etapas intermedias de un proyecto o desarrollo, emitiendo opiniones por cada una de ellas.

IDONEIDAD:
En auditoras de S.I. es normal que se formen equipos de trabajo interdisciplinarios que incluyan especialistas en relevamiento y evaluaciones de control interno, especialistas informticos con los conocimientos particulares de cada caso (redes, comunicaciones, sistemas operativos, lenguajes de programacin, etc.) y especialistas contables. Adems todos ellos deben conocer la actividad, objetivos y metas del ente desde el punto de vista operativo, comercial, administrativo y legal, o contar con el asesoramiento pertinente.

La estructura y complejidad del S.I. son las caractersticas que van a definir el tamao y la especializacin del equipo de trabajo. La auditora de un S.I. no muy grande y simple probablemente pueda ser auditada por un nico profesional que tenga los conocimientos necesarios para ese caso, independientemente del ttulo habilitante que posea. Si el tamao y la complejidad del sistema crecen puede resultar necesario incrementar el equipo de trabajo con especialistas o asesores en los temas especficos que se requieran.

16

Para grandes sistemas es recomendable la utilizacin de equipos interdisciplinarios con las habilidades especficas requeridas para cada caso en particular (no todos los profesionales en informtica conocen todos los sistemas operativos, ni todos los lenguajes de programacin, ni son expertos en redes o comunicaciones, como tampoco no todos los profesionales en ciencias econmicas son especialistas en control interno, contabilidad y auditora).

Grupo Activante:
Es quien contrata la auditora y que por su posicin jerrquica en la organizacin, est en condiciones de tomar las medidas correctivas necesarias sobre las observaciones y recomendaciones formuladas por el auditor al final de su tarea. Quien contrata la auditora debe fijar en forma precisa el alcance y objetivos de la misma. El auditor, antes de comenzar su tarea, tiene la obligacin de hacerle conocer la amplitud de objetivos de una auditora de S.I. a efectos de definir en forma precisa cuales son los que ms le interesan al contratante y asesorarlo sobre cuales pueden ser de mayor utilidad, a efectos de evitar falsas expectativas y que la tarea de auditora sea realmente productiva para la organizacin.

4. CONCLUSIONES De lo expuesto hasta ahora surge que la Auditora de S.I. incluye aspectos complejos, agravado por la falta de uniformidad conceptual entre quienes han escrito sobre el tema.

Entre los aspectos ms controvertidos pueden sintetizarse los siguientes: Alcance de la auditora: por la amplitud del objeto de auditora, es decir el S.I. que involucra no slo el componente informtico (hardware, software, seguridad informtica), sino tambin los elementos humanos y materiales y la interaccin entre ellos, pasando por el control interno de toda la organizacin. Objetivos de auditora: como ya se desarroll anteriormente el nmero de objetivos es muy alto y muy variado respecto de las habilidades que se requieren para su verificacin, lo que implica la formacin de equipos de auditora interdisciplinarios o correr el riesgo que los resultados de la misma sean parciales. Para dar una idea de la magnitud de la tarea, la planificacin de una auditora de S.I. en principio nos llevara a pensar en verificar el cumplimiento de cada objetivo propuesto respecto de cada elemento que conforma el sistema, en cada uno de los sectores de la organizacin
17

o subsistemas de informacin, dando por resultado una tarea de una magnitud ms que considerable. Desde el punto de vista normativo, para este tipo de tareas no existen normas profesionales de auditora de S.I. y menos an normas sobre como debieran ser los sistemas de informacin. Los profesionales en ciencias econmicas debemos aplicar lo que resulte pertinente de las Normas de Auditora vigentes y las emitidas por los organismos de control para los casos particulares en que sean aplicables como el memorando de auditora A-36 de la F.A.C.P.C.E. La incumbencia profesional es otro tema en discusin en el cual los profesionales de la informtica, tratan de defender que es un campo exclusivo de su incumbencia, los de ciencias econmicas tenemos una importante experiencia en relevamiento y evaluacin de S.I. aunque no siempre los conocimientos suficientes sobre sistemas computadorizados. Personalmente creo que en un mercado competitivo como el actual, quien contrata una auditora de este tipo busca soluciones, independientemente del ttulo habilitante que posea, por eso creo que un equipo interdisciplinario, especfico para cada caso en particular, es la mejor forma de encarar este tipo de tareas y obtener resultados satisfactorios.

En lo acadmico, tanto las carreras informticas y desde hace algn tiempo las de ciencias econmicas incluyen en sus planes de estudio esta materia. Por otra parte son varias las unidades acadmicas que ofrecen posgrados sobre Auditora de S.I. con una duracin variable entre uno y dos aos. Adems organizaciones internacionales como la I.S.A.C.A. otorgan, previo examen, una certificacin internacional de auditor de sistemas (C.I.S.A.) y empieza a perfilarse como una carrera autnoma.

Por todo lo expuesto estamos ante una materia, especializacin o carrera nueva, con mucho por definir y precisar para llegar a conceptos comunes que permitan al menos el uso de un lenguaje comn que incluya aspectos como definiciones, alcances, objetivos, incumbencias profesionales, etc.

Es de esperar que los organismos tcnicos de las distintas profesiones involucradas, trabajando en forma conjunta, elaboren y emitan normas aplicables a los distintos aspectos analizados de la misma.

18

EL CONTROL DE LOS SISTEMAS DE INFORMACIN COMPUTARIZADOS

Los sistemas de informacin computarizados, incluyendo equipos (hardware), programas (software) y personal, se generarn a partir de los requerimientos formalmente establecidos por los usuarios. Su ejecucin partir de un Plan Integral de Sistemas aprobado por el ejecutivo mximo y se sujetar a las disposiciones de la Direccin Nacional de Informtica de la Contralora General del Estado y de otros organismos competentes. El Plan Integral de Sistemas contendr como mnimo: La definicin de los sistemas de informacin automatizados que necesita la institucin. La priorizacin de los mismos. La base tecnolgica requerida para su implementacin (equipos, programas y personal) El presupuesto financiero El cronograma de las actividades principales a desarrollar para la ejecucin del plan.

Para la incorporacin de nuevos sistemas y para la actualizacin o crecimiento de los existentes, se utilizar tecnologa probada y actual, tanto en los equipos como en los programas de soporte computacional (software de base). El proceso de desarrollo de sistema seguir una metodologa que comprenda al menos: Un anlisis de factibilidad Una propuesta de desarrollo Un diseo conceptual y fsico Una prueba de aceptacin luego de una etapa de trabajo en paralelo Un plan de implantacin que considere: Capacitacin Adecuacin a los nuevos sistemas Mantenimiento. Esta metodologa incorporar en todas sus fases, la participacin de todos los usuarios y de la Unidad de Auditoria Interna, donde esta exista, as como instancias de aprobacin y aceptacin escritas por parte de los usuarios directamente involucrados y la entrega obligatoria de la documentacin
19

detallada de cada fase, del sistema en general y de su operacin o del usuario. En caso de adquisicin de programas computacionales (paquetes) se prevern tanto en el proceso como en los contratos respectivos, mecanismos que aseguren el cumplimiento satisfactorio de los requerimientos del usuario, la obtencin de la licencia de uso legalizada, la recepcin de los programas, diseos, documentacin en general y la garanta ofrecida por el proveedor. PRODUCCIN, OPERACIN Y MANTENIMIENTO Para los sistemas incorporados a su gestin, en cada entidad se elaborarn procedimientos formales y detallados del funcionamiento y operacin, tanto a nivel de usuarios como de la unidad de sistemas de informacin computarizados. Los sistemas en produccin se sometern a constantes pruebas y evaluaciones para identificar inconsistencias o inconformidades respecto a su funcionamiento. Para solucionar estas deficiencias se aplicarn los procedimientos de mantenimiento de los sistemas, los mismos que sern definidos por la entidad. El mantenimiento comprender tanto a los equipos como a los programas, especialmente cuando se trate de programas comerciales de constante actualizacin. ACCESO A LOS SISTEMAS Y MODIFICACIN DE LA INFORMACIN El ejecutivo mximo de cada entidad pblica o por su delegacin los directivos y jefes de unidades administrativas, establecern las medidas que permitan acceder y modificar los datos e informacin contenidos en los sistemas computarizados slo a personal autorizado. Estas se concretarn en controles de acceso fsico y lgico. Entre los controles de acceso fsico a los puntos terminales del sistema de informacin computarizado se tendrn a los siguientes: Mantener los puntos terminales bajo llave Mantener los puntos terminales bajo supervisin directa Utilizar llaves para operar los puntos terminales.

Entre los controles de acceso lgico a los sistemas y la informacin contenida en el computador, se utilizar: Claves de acceso (palabras secretas) Rangos limitados de actividades (menes restringidos) Perfiles de acceso, de acuerdo a las funciones y jerarquas de los usuarios
20

Una bitcora de operacin de los sistemas llevada en forma manual o computarizada, la misma que consistir en al menos: Un registro de utilizacin de cada uno de los sistemas por cada uno de los usuarios Registro de los intentos de acceso no autorizados Implantacin de circuitos especiales que identifican al dispositivo terminal como autorizado para acceder a los sistemas.

Se entender por "puntos terminales" a los terminales de computacin, los microcomputadores independientes y los conectados a otros equipos, ya sea en la modalidad de red o multiusuario, y todos aquellos dispositivos que permitan la intercomunicacin directa del usuario con el computador. INGRESO DE DATOS PARA PROCESAMIENTO El ejecutivo mximo de cada entidad pblica o por su delegacin los directivos y jefes de las unidades administrativas sern responsables de asegurar que los sistemas tengan controles manuales o automticos de validacin de los datos a ser ingresados para procesamiento. Una parte esencial de la validacin sern los procedimientos para verificar que la informacin registrada en los documentos fuente sea pertinente y para identificar errores de formato, campos faltantes y el ajuste de valores dentro de lmites de razonabilidad para ese proceso. Otro aspecto importante constituirn los procedimientos que garanticen el ingreso al computador solo de datos vlidos en el contexto del procesamiento al que van a ser sometidos; es decir, que sean consistentes con los archivos maestros, estn balanceados, sean ntegros, exactos, completos e ingresen una sola vez. TRANSACCIONES RECHAZADAS En sistemas computarizados que procesen transacciones, aquellas que no cumplan con las caractersticas establecidas para su ingreso al computador sern devueltas al usuario o incluidas en un archivo de transacciones en suspenso para su posterior correccin. Una vez corregidas sern sometidas a los mismos mecanismos de control establecidas para las transacciones originales. El proceso de correccin de estas transacciones ser definido de manera que se cumpla oportunamente y con eficiencia. De acuerdo a las necesidades de informacin y al menos al fin de cada mes, el responsable final de la informacin revisar las transacciones rechazadas que
21

se mantengan pendientes y tomar las acciones para su correccin.

Se mantendr un registro u otro tipo d e control sobre las transacciones rechazadas y el estado en que se encuentra cada una. As mismo se realizarn peridicamente anlisis estadsticos y de excepcin de las transacciones rechazadas para detectar errores repetitivos y adoptar medidas que eviten su recurrencia. PROCESAMIENTO Y ENTREGA DE DATOS El ejecutivo mximo de cada entidad pblica o por su delegacin los ejecutivos y jefes de las unidades administrativas establecern para los sistemas de carcter administrativo, financiero y tcnico controles para asegurar que los datos procesados y la informacin obtenida sean consistentes, completos y correspondan al perodo correcto. Estos controles podrn ser manuales o automticos y segn el tipo de informacin procesada podrn consistir en: Totalizacin de valores crticos, antes y despus del procesamiento. Verificacin de compatibilidad de fechas y nmeros de transacciones. Conciliacin del nmero de movimientos y modificaciones de los datos. Balanceo de saldos o totales de conciliacin. Utilizacin correcta de archivos para procesamiento. Verificacin de que los datos trasmitidos hayan sido completos e ntegros. Consistencia en la recuperacin de las transacciones, luego de una interrupcin del procesamiento. Validez de los datos generados automticamente. Generar rastros o pistas de auditoria.

La informacin procesada ser entregada de forma oportuna y completa, a los usuarios autorizados, dejando constancia escrita de esta entrega. SEGREGACIN DE FUNCIONES El ejecutivo mximo de cada entidad pblica definir y aprobar la estructura organizativa y funcional de la unidad de Sistemas de Informacin Computarizados (SIC), separando las responsabilidades individuales de los usuarios internos y de los servidores de dicha unidad, de manera que se evite la concentracin de funciones que creen riesgos de cometimiento de errores o irregularidades. As mismo definir la estructura jerrquica necesaria para el adecuado funcionamiento de los sistemas de informacin computarizados, en lo que respecta a la direccin, supervisin y operacin en la parte tcnica y al enlace entre las unidades de sistemas de informacin computarizados y sus usuarios.
22

Para el adecuado funcionamiento de los sistemas de informacin computarizados, los usuarios generalmente asumirn la responsabilidad sobre la iniciacin y aprobacin de transacciones, as como sobre la idoneidad, consistencia y seguridad de los datos ingresados para procesamiento. Los servidores de la unidad de Sistemas de Informacin Computarizados sern responsables del procesamiento y distribucin de la informacin obtenida como resultado, as como de la seguridad e integridad de los datos informados. En los casos de los sistemas que funcionen independientemente de la unidad de Sistemas de Informacin Computarizados, se debe compensar la falta de segregacin de funciones incorporando controles por parte del usuario que podrn consistir en: Mantener registros por tipo de transaccin. Obtener totales de control de datos permanentes. Conciliar los datos ingresados con la informacin de salida. Revisar todos los datos de entrada y salida considerados significativos. Supervisar directamente la utilizacin de los sistemas.

Para garantizar la confiabilidad de la operacin de la unidad de Sistemas de Informacin Computarizados, esta mantendr una divisin funcional que permita segregar la administracin de la unidad, el desarrollo de sistemas, el mantenimiento del software de base, la operacin del computador (incluyendo biblioteca y archivos), el control y la seguridad de los datos. Por unidad de Sistemas de Informacin Computarizados se entender al rea responsable de desarrollar, actualizar y operar los sistemas computarizados, a nivel de toda la institucin o de una parte de ella. CAMBIOS A LOS PROGRAMAS Las modificaciones a los programas de un sistema de informacin computarizado que no signifiquen desarrollo de nuevos sistemas o subsistemas, pero que impliquen cambios en los resultados generados por el computador, seguirn un procedimiento que se inicie con la peticin formal de los usuarios y especifique las autorizaciones internas a obtener antes de su aplicacin. Dichas modificaciones quedarn adecuada y completamente documentadas. SEGURIDAD GENERAL EN LOS CENTROS DE PROCESAMIENTO DE DATOS. Los centro de procesamientos de datos de la institucin establecern mecanismos que protejan y salvaguarden, contra prdidas y fugas, los medios fsicos (equipos y programas) y la informacin. Con este fin aplicarn por lo menos las siguientes medidas:
23

Procedimientos de acceso fsico restringido al centro de procesamiento de datos, biblioteca magntica, documentos, datos y documentacin de los programas. Obtencin peridica de respaldos y ubicacin fsica de los ms importantes en lugares resguardados, fuera de los centros de procesamiento de datos. Seguridades e instalaciones fsicas adecuadas. Un plan de contingencia que prevea las acciones a tomar en caso de una emergencia o suspensin en el procesamiento de la informacin por problemas con los equipos, con los programas o con el personal. Procedimiento de seguridad a observarse por parte del personal que trabaja en turnos por la noche o en fin de semana.

Se entender por centro de procesamiento de datos al rea fsica donde se ubiquen el o los computadores que almacenan la informacin. UTILIZACIN DE INSTITUCIONAL LOS EQUIPOS, PROGRAMAS E INFORMACIN

El ejecutivo mximo de cada entidad pblica o por su delegacin los directivos y jefes de las unidades administrativas, establecern procedimientos para asegurar el uso eficiente, efectivo y econmico de los equipos, programas de computacin e informacin computarizada, a travs de:

El registro y seguimiento de la operacin de los mismos. La capacitacin de los funcionarios en la utilizacin de los equipos y programas. La evaluacin peridica de los objetivos cumplidos mediante la computarizacin. Los equipos y programas sern utilizados exclusivamente en las actividades propias de la institucin.

La informacin obtenida del proceso computarizado ser de uso e intercambio entre las instituciones del sector pblico, con excepcin de aquella considerada expresamente reservada o de uso restringido. En el caso de fijarse un precio para la informacin a proporcionar a estas entidades, el mismo considerar nicamente los costos de su obtencin, procesamiento y transmisin que ser materia del Reglamento pertinente. APROVECHAMIENTO DE LOS RECURSOS COMPUTARIZADOS DEL SECTOR PBLICO El ejecutivo mximo de la entidad pblica establecer mecanismos que aseguren eficiencia, efectividad y economa en el aprovechamiento de los
24

recursos computarizados (equipos, programas e informacin) del sector pblico. Estos mecanismos promovern y viabilizarn el intercambio de informacin interinstitucional as como de programas de aplicacin desarrollados al interior de las instituciones. Complementariamente, la Direccin Nacional de Informtica autorizar la adquisicin de bienes y servicios para sistemas computarizados, tomando en cuenta la compatibilidad tanto en equipos como en programas que permita la interconexin de los sistemas y mantendr un registro del Parque Informtico del Sector Pblico. Esta ltima informacin ser difundida peridicamente a las instituciones interesadas, a nivel nacional. Cada entidad pblica deber mantener un registro de los equipos y programas que posee, para que puedan ser considerados en el Parque Informtico del Sector Pblico. El Parque Informtico del Sector Pblico estar conformado por la suma de los equipos, programas e informacin computarizados (software y hardware) que posean las entidades gubernamentales.

25

NORMAS DE AUDITORIA DE SISTEMAS INFORMATICOS VIGENTES EN EL ECUADOR

NORMAS DE CONTROL INTERNO PARA EL SECTOR PBLICO. 400 - 01 TITULO: ORGANIZACIN DEL AREA INFORMATICA Cada entidad establecer los lineamientos que orienten el proceso de organizacin del rea de informtica, aspecto que implica la definicin de actividades a cumplir, las funciones y responsabilidades del personal, al igual que las interrelaciones de los elementos comprendidos en este sector con las reas operativas de la entidad. Estos elementos formarn parte del Manual de Organizacin y Funciones, correspondiente. La estructura bsica del rea de Informtica estar constituida por reas que son importantes para el funcionamiento, de acuerdo a las necesidades de cada entidad. Corresponde a la mxima autoridad de la entidad aprobar las polticas que permitan organizar apropiadamente al rea de informtica y asignar los recursos humanos calificados y equipos de computacin necesarios. 400 02 TITULO: PLAN INFORMATICO, ADQUISICION O ACTUALIZACION DE SISTEMAS Los sistemas de informacin computarizados se generan de acuerdo a los requerimientos o necesidades establecidas en cada entidad del sector pblico, ser necesario que la mxima autoridad apruebe un PLAN INTEGRAL INFORMATICO, con sujecin a las disposiciones vigentes. Dicho plan ser de carcter obligatorio, independiente del nivel de complejidad o tamao de la entidad, adems ser el que regule y determine el desarrollo informtico de la institucin a corto y mediano plazo. El Plan Integral Informtico debe contener lo siguiente: 1. Fase organizacional referente a la misin de la entidad, estructura orgnica, ANALISIS FODA situacin actual del rea informtica en: Recursos humanos, HARDWARE y SOFTWARE; 2. La definicin de los Sistemas de Informacin Computarizados que necesita la institucin; 3. La priorizacin de los mismos; 4. La base tecnolgica requerida para su implantacin (equipos, programas y personal); 5. El presupuesto financiero; 6. Plan de inversiones; y, 7. El cronograma de las actividades principales a desarrollar para la ejecucin del plan. Esa metodologa incorporar en todas sus fases, la participacin de los usuarios y de la Unidad de Auditora Interna, donde sta exista, as como instancias de aprobacin y aceptacin escritas por parte de los usuarios directamente involucrados y la entrega obligatoria de la documentacin detallada de cada fase, del sistema en general y de su operacin o del usuario.
26

En caso de adquisicin de programas de computacin (paquetes de software) se prevern tanto en el proceso como en los contratos respectivos, mecanismos que aseguren el cumplimiento satisfactorio de los requerimientos de la entidad, la obtencin de la licencia de uso legalizada, la recepcin de los programas, diseos, documentacin en general y la garanta de mantenimiento ofrecida por el proveedor. En la adquisicin de equipos de computacin (hardware), los contratos respectivos, tendrn el detalle suficiente que permita establecer la marca y las caractersticas tcnicas de los principales componentes al igual que la garanta ofrecida por el proveedor, a fin de determinar la correspondencia de los equipos adquiridos con los requerimientos establecidos en el proceso de contratacin, lo que quedar confirmado en las actas de entrega/recepcin. Para la incorporacin de nuevos sistemas y para la actualizacin o crecimiento de los existentes, se utilizar tecnologa probada y actual tanto en los equipos como en los programas de computacin de soporte (software de base). El proceso de desarrollo de sistemas seguir una metodologa que comprenda al menos: 1. Un anlisis de factibilidad; 2. Una propuesta de desarrollo; 3. Un diseo conceptual y fsico; 4. Una prueba de aceptacin luego de una etapa de trabajo en paralelo; 5. Un plan de implantacin que considere: Capacitacin Adecuacin de los nuevos sistemas Mantenimiento 400 03 TITULO: OPERACION Y MANTENIMIENTO Para los sistemas incorporados a su gestin, en cada entidad se elaborarn procedimientos formales y detallados del funcionamiento y operacin, tanto a nivel de usuarios como de la unidad de sistemas de informacin computarizados. Los sistemas en operacin se sometern a constantes pruebas y evaluaciones para identificar inconsistencias o inconformidades respecto a su funcionamiento. Para solucionar estas deficiencias se aplicarn los procedimientos de mantenimiento de los sistemas, los mismos que sern definidos por la entidad. Para el mantenimiento de sistemas, la entidad contar con mecanismos documentados de los cambios y ajustes efectuados. 400 - 04 TITULO: ACCESO A LOS SISTEMAS Y MODIFICACION DE LA INFORMACION. La mxima autoridad de cada entidad pblica o por su delegacin los directivos y jefes de unidades administrativas, en coordinacin con el jefe de la unidad de Procesamiento Automtico de Datos, establecern las medidas que permitan acceder y modificar los datos e informacin contenidos en los sistemas computarizados solo a personal autorizado. Estas se concretarn en controles de acceso fsico y lgico. Entre los controles de acceso fsico a los puntos terminales del sistema de informacin computarizado se tomarn en cuenta los siguientes:
27

1. Mantener los puntos terminales bajo llave; 2. Mantener los puntos terminales bajo supervisin directa; y, 3. Utilizar llaves para operar los puntos terminales. Entre los controles de acceso lgico a los sistemas y la informacin contenida en la computadora, se utilizar: 1. Claves de accesos (palabras secretas); 2. Rangos limitados de actividades (menes restringidos); 3. Perfiles de acceso, de acuerdo a las funciones y jerarquas de los usuarios; 4. Una bitcora de operacin de los sistemas llevada en forma manual o computarizada, la misma que consistir en al menos: Un registro de utilizacin de cada uno de los sistemas por cada uno de los usuarios; Registro de los intentos de acceso no autorizados; Implantacin de circuitos especiales que identifican al dispositivo terminal como autorizado para acceder a los sistemas. Se entender por puntos terminales a las terminales de computacin, los microcomputadores independientes y los conectados a otros equipos, ya sea en la modalidad de red o multiusuario, y todos aquellos dispositivos que permitan la intercomunicacin directa del usuario con el computador. 400 - 05 TITULO: ENTRADA Y SALIDA DE DATOS Deben disearse controles con el propsito de salvaguardar los datos fuente, las operaciones de proceso y salida de informacin, con la finalidad de preservar la integridad de la informacin procesada por la entidad. Para implementar los controles sobre datos fuente, es necesario que la entidad designe a los usuarios encargados de salvaguardar los datos. Para ello, deben establecerse polticas que definan las claves de acceso para los tres niveles: Primer nivel: nicamente tiene opcin de consulta de datos; Segundo nivel: captura, modifica y consulta datos; y, Tercer nivel: captura, modifica, consulta y adems puede realizar bajas de datos. Los controles de salida de datos protegern la integridad de la informacin, para cuyo efecto es necesario tener en cuenta aspectos tales como: Copias de la informacin en otras unidades; La identificacin de las personas que entregan el documento de salida; La definicin de las personas que reciben la informacin. Los controles de operacin de los equipos de cmputo estn dados por procedimientos estandarizados y formales que se efectivizan de la siguiente forma: Describen en forma clara y detallada los procedimientos; Actualizan peridicamente los procedimientos; y, Asignan los trabajos con niveles efectivos de utilizacin de equipos. En tal razn, los jefes de las unidades administrativas, sern responsables de asegurar que los sistemas tengan controles, sean stos manuales o automticos de validacin de los datos que van a ser ingresados al
28

computador, puntualizando en los procedimientos para verificar que la informacin registrada en los documentos fuente es correcta, es decir, permitan identificar los errores y efectuar los ajustes que sean necesarios en el proceso. Se aplicarn procedimientos que garanticen el ingreso al computador de datos vlidos, es decir, que sean consistentes con los archivos. Corresponde a la Direccin de la entidad, en coordinacin con el rea de Informtica, establecer los controles de datos fuente, los controles de operacin y los controles de seguridad, con el objeto de asegurar la integridad y adecuado uso de la informacin que produce la entidad. 400 06 TITULO: TRANSACCIONES RECHAZADAS La entidad definir procedimientos para el caso de producirse transacciones rechazadas por efecto del procesamiento de la informacin; las transacciones que no cumplan con las caractersticas para su ingreso al computador, sern incluidas en un archivo de transacciones en suspenso; y, al final de cada proceso, el responsable de la informacin las revisar para tomar las acciones necesarias para su correccin. De acuerdo a las necesidades de informacin al menos al fin de cada mes, el responsable final de la informacin revisar las transacciones rechazadas que se mantengan pendientes y tomar las acciones para su correccin. Se mantendr un registro u otro tipo de control sobre las transacciones rechazadas y el estado en que se encuentra cada una. Una vez corregidas sern sometidas a los mismos mecanismos de control establecidos para las transacciones originales. Con la finalidad de detectar errores repetitivos de las transacciones rechazadas, mensualmente se efectuar un anlisis estadstico y de excepcin de stas, y se adoptarn las medidas que eviten su recurrencia. El proceso de correccin de estas transacciones ser definido de manera que se cumpla oportunamente y con eficiencia. 400 - 07 TITULO: PROCESAMIENTO Y ENTREGA DE DATOS La mxima autoridad de cada entidad pblica o por su delegacin los jefes de las unidades administrativas, establecern controles en los sistemas de informacin para asegurar que los datos procesados y la informacin obtenida sean completos y correspondan al perodo correcto, estos controles podrn ser manuales o automticos, segn la informacin procesada, y consistirn en: 1. Totalizacin de valores crticos, antes y despus del procesamiento; 2. Verificacin de compatibilidad de fechas y transacciones y modificaciones de los datos; 3. Balanceo de saldos o totales de conciliacin; 4. Utilizacin correcta de archivos para procesamiento; 5. Verificar que los datos transmitidos hayan sido completos; 6. Consistencia en la recuperacin de transacciones, luego de una interrupcin; 7. Validez de datos generados automticamente; y, 8. Generar rastro o pistas de auditora. La informacin procesada ser entregada de forma oportuna y completa a los usuarios autorizados, dejando constancia escrita de esta entrega.
29

400 08 TITULO: SEGREGACION DE FUNCIONES EN EL AREA DE INFORMATICA La mxima autoridad de una entidad del sector pblico, ser la encargada de definir las funciones de la unidad de Procesamiento Automtico de Datos. Esta segregacin de funciones ser definida en la estructura orgnica y se especificar las responsabilidades individuales de los usuarios internos de cada servidor; as como tambin definir la estructura jerrquica necesaria para el adecuado funcionamiento de los Sistemas de Informacin Computarizados en lo que corresponde a la direccin, supervisin y operacin de la parte tcnica y al enlace entre las unidades de sistemas de informacin computarizados y sus usuarios. En el caso de los sistemas que funcionen independientemente de la unidad de Procesamiento Automtico de Datos o en aquellas actividades que debido a su tamao no disponen de una unidad de sistemas, se compensar la falta de segregacin de funciones incorporando controles por parte del usuario, siendo el jefe o responsable del rea el que debe implementar dichos controles, que, entre otros, pueden ser: Supervisar directamente la utilizacin y seguridad de los sistemas; Mantener registros por tipo de transaccin; Obtener totales de control de datos permanentes; Conciliar los datos ingresados con la informacin de salida; y, Revisar los datos de entrada y salida considerados significativos. Para garantizar la confiabilidad de las operaciones de la unidad de Procesamiento Automtico de Datos se mantendr una divisin funcional que permita segregar la administracin de la unidad, el desarrollo de sistemas, el mantenimiento del software de base, la operacin del computador, el control y la seguridad de los datos. Por unidad de Procesamiento Automtico de Datos se entender al rea responsable de desarrollar, actualizar y operar los sistemas computarizados, a nivel de toda la institucin o de una parte de ella. 400 09 TITULO: SEGURIDAD GENERAL EN LOS CENTROS DE PROCESAMIENTO DE DATOS. Los centros de procesamiento de datos de la institucin, establecern mecanismos que protejan y salvaguarden contra prdidas y fugas de los medios fsicos (equipos y programas) y la informacin. Con este fin aplicarn por lo menos las siguientes medidas: 1. Procedimientos de acceso fsico restringido al centro de procesamiento de datos, biblioteca magntica, documentos, datos y documentacin de los programas; 2. Obtencin peridica de respaldos y ubicacin fsica de los ms importantes en lugares resguardados, fuera de los centros de procesamiento de datos; 3. Seguridades e instalaciones fsicas adecuadas; 4. Un plan de contingencias que prevea las acciones a tomar en caso de una emergencia o suspensin en el procesamiento de la informacin por problemas con los equipos, con los programas o con el personal; el Plan de Contingencias abarcar los siguientes aspectos:
30

1. Plan de Reduccin de Riesgos (Plan de Seguridad) 2. Plan de Recuperacin de Desastres: Actividades Previas al Desastre Actividades durante el Desastre (Plan de Emergencias, entrenamiento) Actividades despus del Desastre. El plan de contingencias es un documento de carcter confidencial que describe los procedimientos que debe seguir la oficina de informtica para actuar en caso de una emergencia que interrumpa la operatividad del sistema de cmputo. La aplicacin del plan permite operar en un nivel aceptable cuando las facilidades de procesamiento de informacin no estn disponibles. El plan de contingencias aprobado, se distribuye entre el personal responsable de su operacin. La revisin del plan debe realizarse cuando se haya efectuado algn cambio en la configuracin de los equipos. Corresponde al rea de informtica elaborar, mantener y actualizar el Plan de Contingencias, a fin de asegurar el funcionamiento de los sistemas de informacin que requiere la entidad para el desarrollo de sus actividades. 5. Procedimientos de seguridad a observarse por parte del personal que trabaja en turnos por la noche o en fin de semana. Se entender por centro de procesamiento de datos al rea fsica donde se ubica a los computadores que almacenan la informacin. 400 10 TITULO: UTILIZACION DE LOS EQUIPOS, PROGRAMAS E INFORMACION INSTITUCIONAL La mxima autoridad de cada entidad pblica o por su delegacin los directivos y jefes de las unidades administrativas, establecern procedimientos para asegurar el uso eficiente, eficaz y econmico de los equipos, programas de computacin e informacin computarizada, a travs de: 1. El registro y seguimiento de la operacin de los mismos; 2. La capacitacin de funcionarios en la utilizacin de los equipos y programas; 3. La evaluacin peridica de los objetivos cumplidos mediante la computarizacin. Los equipos y programas sern utilizados exclusivamente en las actividades propias de la institucin. La informacin obtenida del proceso computarizado ser de uso e intercambio entre las instituciones del sector pblico, con excepcin de aquella considerada expresamente como reservada o de uso restringido. En el caso de fijarse un valor para la informacin a proporcionar a estas entidades, el mismo considerar nicamente los costos de su obtencin, procesamiento y transmisin que ser materia del reglamento pertinente. 400 - 11 TITULO: APROVECHAMIENTO DE LOS RECURSOS COMPUTARIZADOS DEL SECTOR PUBLICO. La mxima autoridad de cada entidad pblica establecer mecanismos que aseguren eficiencia, efectividad y economa en el aprovechamiento de los recursos computarizados (equipos, programas e informacin) del sector pblico. Estos mecanismos promovern y viabilizarn el intercambio de
31

informacin interinstitucional as como de programas de aplicacin desarrollados al interior de las instituciones. Complementariamente, el organismo competente autorizar la adquisicin de bienes y servicios para sistemas computarizados, tomando en cuenta la compatibilidad tanto en equipos como en programas que permita la interconexin de los sistemas y mantendr un registro del Parque Informtico del Sector Pblico. Esta ltima informacin ser difundida peridicamente a las instituciones interesadas, a nivel nacional. Cada entidad pblica mantendr un registro de los equipos y programas que posee, para que puedan ser considerados en el Parque Informtico del Sector Pblico. El Parque Informtico del Sector Pblico estar conformado por las sumas de los equipos, programas e informacin computarizados (software y hardware) que posean las entidades gubernamentales. 400 12 TITULO: ADMINISTRACION DEL SOFTWARE Dado que el software, est protegido por la Ley de Derecho de Autor y no puede utilizarse, reproducirse o distribuirse sin la autorizacin expresa del fabricante; con la finalidad de administrar, garantizar la legitimidad del software para evitar disputas legales a futuro, es necesario formular polticas institucionales del software, que cubra la adquisicin y el uso del software en las entidades del Sector Pblico.

EL PROCESO DE AUDITORIA DE SISTEMAS INFORMATICOS

La auditora informtica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de informacin eficientes. Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de recuperacin ante una contingencia.

32

Los objetivos de la auditora Informtica son:

El control de la funcin informtica El anlisis de la eficiencia de los Sistemas Informticos La verificacin del cumplimiento de la Normativa en este mbito La revisin de la eficaz gestin de los recursos informticos.

La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:

Desempeo Fiabilidad Eficacia Rentabilidad Seguridad Privacidad

Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas:

Gobierno corporativo Administracin del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Proteccin y Seguridad Planes de continuidad y Recuperacin de desastres

La necesidad de contar con lineamientos y herramientas estndar para el ejercicio de la auditora informtica ha promovido la creacin y desarrollo de mejores prcticas como COBIT, COSO e ITIL. Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es una de las ms reconocidas y avaladas por los estndares internacionales ya que el proceso de seleccin consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificacin. La tcnica de la auditora, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniera Informtica e Ingeniera Tcnica en Informtica y licenciados en derecho especializados en el mundo de la auditora.

33

Principales informtica

pruebas

herramientas

para

efectuar

una

auditora

En la realizacin de una auditora informtica el auditor puede realizar las siguientes pruebas:

Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la informacin. Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el anlisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

Las principales herramientas de las que dispone un auditor informtico son:

Observacin Realizacin de cuestionarios Entrevistas a auditados y no auditados Muestreo estadstico Flujogramas Listas de chequeo Mapas conceptuales

La naturaleza especializada de la auditoria de los sistemas de informacin y las habilidades necesarias para llevar a cabo este tipo de auditoras, requieren el desarrollo y la promulgacin de Normas Generales para la auditoria de los Sistemas de Informacin. La auditoria de los sistemas de informacin se define como cualquier auditoria que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes. Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. A continuacin, la descripcin de los dos principales objetivos de una auditoria de sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de cmputo, con controles, tipos y seguridad.

34

La auditora en informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software). PLANEACIN DE LA AUDITORA EN INFORMTICA Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos: Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.

Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. INVESTIGACIN PRELIMINAR Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos: ADMINISTRACIN.- Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del rea de informtica:

35

Objetivos a corto y largo plazo. Recursos materiales y tcnicos Solicitar documentos sobre los equipos, nmero de ellos, localizacin y caractersticas. Estudios de viabilidad. Nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por instalar y programados) Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuracin de los equipos y capacidades actuales y mximas. Planes de expansin. Ubicacin general de los equipos. Polticas de operacin. Polticas de uso de los equipos.

SISTEMAS.- Descripcin generales de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin. Manual de formas. Manual de procedimientos de los sistemas. Descripcin genrica. Diagramas de entrada, archivos, salida. Salidas. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas. En el momento de hacer la planeacin de la auditoria o bien su realizacin, debemos evaluar que pueden presentarse las siguientes situaciones. Se solicita la informacin y se ve que: No tiene y se necesita. No se tiene y no se necesita. Se tiene la informacin pero: No se usa. Es incompleta. No est actualizada. No es la adecuada. Se usa, est actualizada, es la adecuada y est completa.

En el caso de no se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que
36

se le va a dar. En el caso de que se tenga la informacin pero no se utilice, se debe analizar por qu no se usa. En caso de que se tenga la informacin, se debe analizar si se usa, si est actualizada, si es la adecuada y si est completa. El xito del anlisis crtico depende de las consideraciones siguientes: Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin fundamento) Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados.

PERSONAL PARTICIPANTE.- Una de las partes ms importantes dentro de la planeacin de la auditora en informtica es el personal que deber participar y sus caractersticas. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan est debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases se debe considerar las caractersticas de conocimientos, prctica profesional y capacitacin que debe tener el personal que intervendr en la auditoria. En primer lugar se debe pensar que hay personal asignado por la organizacin, con el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. ste es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, sera casi imposible obtener informacin en el momento y con las caractersticas deseadas. Tambin se debe contar con personas asignadas por los usuarios para que en el momento que se solicite informacin o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Para completar el grupo, como colaboradores directos en la realizacin de la auditoria se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Experiencia en el rea de informtica.
37

Experiencia en operacin y anlisis de sistemas. Conocimientos de los sistemas ms importantes.

En caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en reas especficas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias sealadas, pero si deben intervenir una o varias personas con las caractersticas apuntadas. El hecho de contar con la informacin del avance nos permite revisar el trabajo elaborado por cualquiera de los asistentes. PASOS A SEGUIR Se requieren varios pasos para realizar una auditora. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditora que consta de objetivos de control y procedimientos de auditora que deben satisfacer esos objetivos. El proceso de auditora exige que el auditor de sistemas rena evidencia, evale fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditora que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditora debe garantizar una disponibilidad y asignacin adecuada de recursos para realizar el trabajo de auditora adems de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia. INFORME En si todos los encuestados respondieron la totalidad de las preguntas. Todos tienen la misma respuesta en la pregunta sobre la inteligencia artificial, todos dicen prcticamente lo mismo acerca de lo que es la auditoria de sistemas en que es un sistema de revisin, evaluacin, verificacin y evala la eficiencia y eficacia con que se est operando los sistemas y corregir los errores de dicho sistema. Todos los encuestados mostraron una caractersticas muy similares de las personas que van a realizan la auditoria; debe haber un contador, un ingeniero de sistemas, un tcnico y que debe tener conocimientos, prctica profesional y capacitacin para poder realizar la auditoria. Todos los encuestados conocen los mismos tipos de auditora, Econmica, Sistemas, Fiscal, Administrativa. Para los encuestados el principal objetivo de la auditoria de sistemas es Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles.
38

Mirando en general a todos los encuestados se puede ver que para ellos la auditoria de sistemas es muy importante porque en los sistemas esta toda la informacin de la empresa y del buen funcionamiento de esta depende gran parte del funcionamiento de una empresa y que no solo se debe comprender los equipos de computo sino tambin todos los sistemas de informacin desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. La auditoria de los sistemas de informtica es de mucha importancia ya que para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.

39

BIBLIOGRAFIA
http://sisinco.blogspot.com/2008/06/qu-es.html http://www.mmrree.gob.ec/ministerio/legal/normas_control_int.pdf http://html.rincondelvago.com/auditoria-de-los-sistemas-deinformacion.html http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica

40