You are on page 1of 146

Notas para Auditoria de Sistemas

Notas para

Auditoria de Sistemas
(una compilación)

Por:

J Juan Hernández M

J Juan Hernández M 1
Notas para Auditoria de Sistemas

Índice
Conceptos de Auditoria de Sistemas 2

Auditoria 22

Auditoria Informática 41

Manual de Auditoria de Sistemas 84

Auditoria aplicada a la seguridad en redes de computadores 125

El informe del auditor 133

Bibliografía 144

J Juan Hernández M 2
Notas para Auditoria de Sistemas

Conceptos de Auditoria de Sistemas


La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la
virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo específico que es
el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del
señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir
los errores, en caso de que existan, o bien mejorar la forma de actuación.

Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la
revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un
objetivo específico en el ambiente computacional y los sistemas.

A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia:

Auditoría de Sistemas es:


• La verificación de controles en el procesamiento de la información, desarrollo de
sistemas e instalación con el objetivo de evaluar su efectividad y presentar
recomendaciones a la Gerencia.
• La actividad dirigida a verificar y juzgar información.
• El examen y evaluación de los procesos del Area de Procesamiento automático de
Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a
establecer el grado de eficiencia, efectividad y economía de los sistemas
computarizados en una empresa y presentar conclusiones y recomendaciones
encaminadas a corregir las deficiencias existentes y mejorarlas.
• El proceso de recolección y evaluación de evidencia para determinar si un sistema
automatizado:

Daños
Salvaguarda activos Destrucción
Uso no autorizado
Robo

Mantiene Integridad de Información Precisa,


los datos Completa
Oportuna
Confiable

Alcanza metas Contribución de la


organizacionales función informática

J Juan Hernández M 3
Notas para Auditoria de Sistemas

Consume recursos Utiliza los recursos adecuadamente


eficientemente en el procesamiento de la información

• Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia),


sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas,
funciones, procesos, procedimientos e informes relacionados con los sistemas de
información computarizados, con el fin de emitir una opinión profesional
(imparcial) con respecto a:

ü Eficiencia en el uso de los recursos informáticos


ü Validez de la información
ü Efectividad de los controles establecidos
Tipos de Auditoría

Existen algunos tipos de auditoría entre las que la Auditoría de Sistemas integra un mundo
paralelo pero diferente y peculiar resaltando su enfoque a la función informática.

Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo


mismo que Auditoría Financiera.
Entre los principales enfoques de Auditoría tenemos los siguientes:

Financiera Veracidad de estados financieros


Preparación de informes de acuerdo a principios contables

Evalúa la eficiencia,
Operacional Eficacia
Economía
de los métodos y procedimientos que rigen un proceso de una empresa

Sistemas Se preocupa de la función informática

Fiscal Se dedica a observar el cumplimiento de


las leyes fiscales

Administrativa Analiza:
Logros de los objetivos de la Administración
Desempeño de funciones administrativas

Evalúa:
Calidad Métodos
Mediciones
Controles
de los bienes y servicios

Revisa la contribución a la sociedad

J Juan Hernández M 4
Notas para Auditoria de Sistemas

Social así como la participación en actividades


socialmente orientadas

Objetivos Generales de una Auditoría de Sistemas

ü Buscar una mejor relación costo-beneficio de los sistemas automáticos o


computarizados diseñados e implantados por el PAD

ü Incrementar la satisfacción de los usuarios de los sistemas computarizados

ü Asegurar una mayor integridad, confidencialidad y confiabilidad de la información


mediante la recomendación de seguridades y controles.

ü Conocer la situación actual del área informática y las actividades y esfuerzos necesarios
para lograr los objetivos propuestos.

ü Seguridad de personal, datos, hardware, software e instalaciones

ü Apoyo de función informática a las metas y objetivos de la organización

ü Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático

ü Minimizar existencias de riesgos en el uso de Tecnología de información

ü Decisiones de inversión y gastos innecesarios

ü Capacitación y educación sobre controles en los Sistemas de Información

J Juan Hernández M 5
Notas para Auditoria de Sistemas

Justificativos para efectuar una Auditoría de Sistemas

ü Aumento considerable e injustificado del presupuesto del PAD (Departamento de


Procesamiento de Datos)

ü Desconocimiento en el nivel directivo de la situación informática de la empresa

ü Falta total o parcial de seguridades lógicas y fisicas que garanticen la integridad del
personal, equipos e información.

ü Descubrimiento de fraudes efectuados con el computador

ü Falta de una planificación informática

ü Organización que no funciona correctamente, falta de políticas, objetivos, normas,


metodología, asignación de tareas y adecuada administración del Recurso Humano

ü Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los
resultados

ü Falta de documentación o documentación incompleta de sistemas que revela la


dificultad de efectuar el mantenimiento de los sistemas en producción

Controles

Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si todo se realiza conforme a los programas
adoptados, ordenes impartidas y principios admitidos.

Clasificación general de los controles

• Controles Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo
cierto margen de violaciones .

Ejemplos: Letrero “No fumar” para salvaguardar las instalaciones


Sistemas de claves de acceso

J Juan Hernández M 6
Notas para Auditoria de Sistemas

• Controles detectivos

Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de
ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la
eficiencia de los controles preventivos.

Ejemplo: Archivos y procesos que sirvan como pistas de auditoría


Procedimientos de validación

• Controles Correctivos

Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada


puede resultar dificil e ineficiente, siendo necesaria la implantación de controles detectivos
sobre los controles correctivos, debido a que la corrección de errores es en si una actividad
altamente propensa a errores.

Principales Controles físicos y lógicos

Controles particulares tanto en la parte fisica como en la lógica se detallan a continuación

Autenticidad

Permiten verificar la identidad


1. Passwords
2. Firmas digitales

Exactitud
Aseguran la coherencia de los datos

1. Validación de campos
2. Validación de excesos

Totalidad
Evitan la omisión de registros así como garantizan la conclusión de un proceso de envio

1. Conteo de regitros
2. Cifras de control

Redundancia
Evitan la duplicidad de datos

J Juan Hernández M 7
Notas para Auditoria de Sistemas

1. Cancelación de lotes
2. Verificación de secuencias

Privacidad

Aseguran la protección de los datos


1. Compactación
2. Encriptación

Existencia
Aseguran la disponibilidad de los datos
1. Bitácora de estados
2. Mantenimiento de activos

Protección de Activos
Destrucción o corrupción de información o del hardware

1. Extintores
2. Passwords

Efectividad
Aseguran el logro de los objetivos

1. Encuestas de satisfacción
2. Medición de niveles de servicio

Eficiencia

Aseguran el uso óptimo de los recursos

1. Programas monitores
2. Análisis costo-beneficio

J Juan Hernández M 8
Notas para Auditoria de Sistemas

Controles automáticos o lógicos

Periodicidad de cambio de claves de acceso

Los cambios de las claves de acceso a los programas se deben realizar periódicamente.
Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron
inicialmente.

El no cambiar las claves periódicamente aumenta la posibilidad de que personas no


autorizadas conozcan y utilicen claves de usuarios del sistema de computación.
Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.

Combinación de alfanuméricos en claves de acceso


No es conveniente que la clave este compuesta por códigos de empleados, ya que una
persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha
clave.

Para redefinir claves es necesario considerar los tipos de claves que existen:

Individuales

Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al
momento de efectuar las transacciones registrar a los responsables de cualquier cambio.

Confidenciales

De forma confidencial los usuarios deberán ser instruidos formalmente respecto al uso de
las claves.

No significativas

Las claves no deben corresponder a números secuenciales ni a nombres o fechas.

Verificación de datos de entrada


Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o
precisión; tal es el caso de la validación del tipo de datos que contienen los campos o
verificar si se encuentran dentro de un rango.

Conteo de registros

Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y
verificar con los totales ya registrados.

Totales de Control

J Juan Hernández M 9
Notas para Auditoria de Sistemas

Se realiza mediante la creación de totales de linea, columnas, cantidad de formularios,


cifras de control, etc. , y automáticamente verificar con un campo en el cual se van
acumulando los registros, separando solo aquellos formularios o registros con diferencias.

Verficación de limites

Consiste en la verificación automática de tablas, códigos, limites mínimos y máximos o


bajo determinadas condiciones dadas previamente.

Verificación de secuencias
En ciertos procesos los registros deben observar cierta secuencia numerica o alfabetica,
ascendente o descendente, esta verificacion debe hacerse mediante rutinas independientes
del programa en si.

Dígito autoerificador

Consiste en incluir un dígito adicional a una codificación, el mismo que es resultado de la


aplicación de un algoritmo o formula, conocido como MODULOS, que detecta la
corrección o no del código. Tal es el caso por ejemplo del decimo dígito de la cédula de
identidad, calculado con el modulo 10 o el ultimo dígito del RUC calculado con el módulo
11.

Utilizar software de seguridad en los microcomputadores

El software de seguridad permite restringir el acceso al microcomputador, de tal modo que


solo el personal autorizado pueda utilizarlo.

Adicionalmente, este software permite reforzar la segregación de funciones y la


confidencialidad de la información mediante controles para que los usuarios puedan accesar
solo a los programas y datos para los que están autorizados.

Programas de este tipo son: WACHDOG, LATTICE,SECRET DISK, entre otros.

Controles administrativos en un ambiente de Procesamiento de Datos

La máxima autoridad del Area de Informática de una empresa o institución debe implantar
los siguientes controles que se agruparan de la siguiente forma:

1.- Controles de Preinstalación


2.- Controles de Organización y Planificación
3.- Controles de Sistemas en Desarrollo y Producción
4.- Controles de Procesamiento
5.- Controles de Operación
6.- Controles de uso de Microcomputadores

J Juan Hernández M 10
Notas para Auditoria de Sistemas

• Controles de Preinstalación

Hacen referencia a procesos y actividades previas a la adquisición e instalación de un


equipo de computación y obviamente a la automatización de los sistemas existentes.

Objetivos:

& Garantizar que el hardware y software se adquieran siempre y cuando tengan la


seguridad de que los sistemas computarizados proporcionaran mayores beneficios que
cualquier otra alternativa.

& Garantizar la selección adecuada de equipos y sistemas de computación

& Asegurar la elaboración de un plan de actividades previo a la instalación

Acciones a seguir:

& Elaboración de un informe técnico en el que se justifique la adquisición del equipo,


software y servicios de computación, incluyendo un estudio costo-beneficio.

& Formación de un comité que coordine y se responsabilice de todo el proceso de


adquisición e instalación

& Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables)


el mismo que debe contar con la aprobación de los proveedores del equipo.

& Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de


equipos, programas y servicios computacionales. Este proceso debe enmarcarse en
normas y disposiciones legales.

& Efectuar las acciones necesarias para una mayor participación de proveedores.

& Asegurar respaldo de mantenimiento y asistencia técnica.

• Controles de organización y Planificación

Se refiere a la definición clara de funciones, linea de autoridad y responsabilidad de las


diferentes unidades del área PAD, en labores tales como:

1. Diseñar un sistema
2. Elaborar los programas
3. Operar el sistema
4. Control de calidad

J Juan Hernández M 11
Notas para Auditoria de Sistemas

Se debe evitar que una misma persona tenga el control de toda una operación.

Es importante la utilización óptima de recursos en el PAD mediante la preparación de


planes a ser evaluados continuamente

Acciones a seguir

& La unidad informática debe estar al mas alto nivel de la pirámide administrativa de
manera que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección
efectiva.

& Las funciones de operación, programación y diseño de sistemas deben estar claramente
delimitadas.

& Deben existir mecanismos necesarios a fin de asegurar que los programadores y
analistas no tengan acceso a la operación del computador y los operadores a su vez no
conozcan la documentación de programas y sistemas.

& Debe existir una unidad de control de calidad, tanto de datos de entrada como de los
resultado del procesamiento.

& El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente


definidos por escrito.

& Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo
plazo sujetos a evaluación y ajustes periódicos “Plan Maestro de Informática”

& Debe existir una participación efectiva de directivos, usuarios y personal del PAD en la
planificación y evaluación del cumplimiento del plan.

& Las instrucciones deben impartirse por escrito.

• Controles de Sistema en Desarrollo y Producción

Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una
relación costo-beneficio que proporcionen oportuna y efectiva información, que los
sistemas se han desarrollado bajo un proceso planificado y se enc uentren debidamente
documentados.

Acciones a seguir:

Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan
conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio

J Juan Hernández M 12
Notas para Auditoria de Sistemas

& El personal de auditoría interna/control debe formar parte del grupo de diseño para
sugerir y solicitar la implantación de rutinas de control

& El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos,


metodologías estándares, procedimientos y en general a normatividad escrita y
aprobada.

& Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante
actas u otros mecanismos a fin de evitar reclamos posteriores.

& Los programas antes de pasar a Producción deben ser probados con datos que agoten
todas las excepciones posibles.

& Todos los sistemas deben estar debidamente documentados y actualizados. La


documentación deberá contener:

Informe de factibilidad
Diagrama de bloque
Diagrama de lógica del programa
Objetivos del programa
Listado original del programa y versiones que incluyan los cambios efectuados con
antecedentes de pedido y aprobación de modificaciones
Formatos de salida
Resultados de pruebas realizadas

& Implantar procedimientos de solicitud, aprobación y ejecución de cambios a programas,


formatos de los sistemas en desarrollo.

& El sistema concluido sera entregado al usuario previo entrenamiento y elaboración de


los manuales de operación respectivos

J Juan Hernández M 13
Notas para Auditoria de Sistemas

• Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la información desde la


entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de
seguridades para:

& Asegurar que todos los datos sean procesados


& Garantizar la exactitud de los datos procesados
& Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría
& Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las
mejores condiciones.

Acciones a seguir:

& Validación de datos de entrada previo procesamiento debe ser realizada en forma
automática: clave, dígito autoverificador, totales de lotes, etc.

& Preparación de datos de entrada debe ser responsabilidad de usuarios y


consecuentemente su corrección.

& Recepción de datos de entrada y distribución de información de salida debe obedecer a


un horario elaborado en coordinación con el usuario, realizando un debido control de
calidad.

& Adoptar acciones necesaria para correcciones de errores.

& Analizar conveniencia costo-beneficio de estandarización de formularios, fuente para


agilitar la captura de datos y minimizar errores.

& Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y
sistema.

& Planificar el mantenimiento del hardware y software, tomando todas las seguridades
para garantizar la integridad de la información y el buen servicio a usuarios.

• Controles de Operación

Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos


de almacenamiento, la administración de la cintoteca y la operación de terminales y equipos
de comunicación por parte de los usuarios de sistemas on line.

J Juan Hernández M 14
Notas para Auditoria de Sistemas

Los controles tienen como fin:

& Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo
durante un proceso
& Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del
PAD
& Garantizar la integridad de los recursos informáticos.
& Asegurar la utilización adecuada de equipos acorde a planes y objetivos.

Recursos Personal
Informáticos

Datos Software

Instalaciones
Hardware

Acciones a seguir:

& El acceso al centro de computo debe contar con las seguridades necesarias para reservar
el ingreso al personal autorizado

& Implantar claves o password para garantizar operación de consola y equipo central
(mainframe), a personal autorizado.

& Formular políticas respecto a seguridad, privacidad y protección de las facilidades de


procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos
de violación y como responder ante esos eventos.

& Mantener un registro permanente (bitácora) de todos los procesos realizados, dejando
constancia de suspensiones o cancelaciones de procesos.

& Los operadores del equipo central deben estar entrenados para recuperar o restaurar
información en caso de destrucción de archivos.

& Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares
seguros y adecuados, preferentemente en bóvedas de bancos.

& Se deben implantar calendarios de operación a fin de establecer prioridades de proceso.

& Todas las actividades del Centro de Computo deben normarse mediante manuales,
instructivos, normas, reglamentos, etc.

& El proveedor de hardware y software deberá proporcionar lo siguiente:

J Juan Hernández M 15
Notas para Auditoria de Sistemas

Manual de operación de equipos


Manual de lenguaje de programación
Manual de utilitarios disponibles
Manual de Sistemas operativos

& Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, asi
como extintores de incendio, conexiones eléctricas seguras, entre otras.

& Instalar equipos que protejan la información y los dispositivos en caso de variación de
voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía.

& Contratar pólizas de seguros para proteger la información, equipos, personal y todo
riesgo que se produzca por casos fortuitos o mala operación.

• Controles en el uso del Microcomputador

Es la tarea mas difícil pues son equipos mas vulnerables, de fácil acceso, de fácil
explotación pero los controles que se implanten ayudaran a garantizar la integridad y
confidencialidad de la información.

Acciones a seguir:

& Adquisicion de equipos de protección como supresores de pico, reguladores de voltaje


y de ser posible UPS previo a la adquisición del equipo

& Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento


preventivo y correctivo.

& Establecer procedimientos para obtención de backups de paquetes y de archivos de


datos.

& Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de
aplicaciones no relacionadas a la gestión de la empresa.

& Mantener programas y procedimientos de detección e inmunización de virus en copias


no autorizadas o datos procesados en otros equipos.

& Propender a la estandarización del Sistema Operativo, software utilizado como


procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener
actualizadas las versiones y la capacitación sobre modificaciones incluidas.

Analizados los distintos tipos de controles que se aplican en la Auditoría de Sistemas


efectuaremos a continuación el análisis de casos de situaciones hipotéticas planteadas como

J Juan Hernández M 16
Notas para Auditoria de Sistemas

problemáticas en distintas empresas , con la finalidad de efectuar el análisis del caso e


identificar las acciones que se deberían implementar .

J Juan Hernández M 17
Notas para Auditoria de Sistemas

• Análisis de Casos de Controles Administrativos

Controles sobre datos fijos

Lea cada situación atentamente y

1.- Enuncie un control que hubiera prevenido el problema o posibilitado su detección.

2.- Identifique uno o más controles alternativos que hubieran ayudado a prevenir o a
detectar el problema.

Situación 1

Un empleado del grupo de control de datos obtuvo un formulario para modificaciones al


archivo maestro de proveedores (en blanco) y lo completo con el código y nombre de un
proveedor ficticio, asignándole como domicilio el numero de una casilla de correo que
previamente había abierto a su nombre.

Su objetivo era que el sistema emitiera cheques a la orden del referido proveedor, y fueran
luego remitidos a la citada casilla de correo.

Cuando el listado de modificaciones al archivo maestro de proveedores (impreso por esta


única modificación procesada en la oportunidad ) le fue enviado para su verificación con
los datos de entrada, procedió a destruirlo.

Alternativas de Solución

v Los formularios para modificarse a los archivos maestros deberían ser prenumerados;
el departamento usuario respectivo debería controlar su secuencia numérica.

v Los listados de modificaciones a los archivos maestros no sólo deberían listar los
cambios recientemente procesados, sino también contener totales de control de los
campos importantes,(número de registros, suma de campos importantes, fecha de la
última modificación ,etc.) que deberían ser reconciliados por los departamentos
usuarios con los listados anteriores.

J Juan Hernández M 18
Notas para Auditoria de Sistemas

Situación 2

Al realizar una prueba de facturación los auditores observaron que los precios facturados en
algunos casos no coincidían con los indicados en las listas de precios vigente.
Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido
procesados, razón por la cual el archivo maestro de precios estaba desactualizado.

Alternativas de Solución

v Uso de formularios prenumerados para modificaciones y controles programados


diseñado para detectar alteraciones en la secuencia numérica de los mismos.

v Creación de totales de control por lotes de formularios de modificaciones y su


posterior reconciliación con un listado de las modificaciones procesadas.

v Conciliación de totales de control de campos significativos con los acumulados por el


computador.

v Generación y revisión de los listados de modificaciones procesadas por un delegado


responsable.

v Revisión de listados periódicos del contenido del archivo maestro de precios.

Situación 3

El operador del turno de la noche, cuyos conocimientos de programación eran mayores de


los que los demás suponían, modifico (por consola) al archivo maestro de remuneraciones a
efectos de lograr que se abonara a una remuneración más elevada a un operario del área de
producción con el cual estaba emparentado. El fraude fue descubierto accidentalmente
varios meses después.

Alternativas de Solución

v Preparación de totales de control del usuario y reconciliación con los acumulados del
campo remuneraciones, por el computador.

v Aplicación de control de límites de razonabilidad.

J Juan Hernández M 19
Notas para Auditoria de Sistemas

Situación 4

XX Inc. Es un mayorista de equipos de radio que comercializa sus equipos a través de una
vasta red de representantes. Sus clientes son minoristas locales y del exterior; algunos son
considerados “ clientes especiales”, debido al volumen de sus compras, y los mismos son
atendidos directamente por los supervisores de ventas. Los clientes especiales no se
incrementan por lo general, en la misma proporción que aquellas facturadas a los clientes
especiales.

Al incrementarse los precios, el archivo maestro de precios y condiciones de venta a


clientes especiales no es automáticamente actualizado; los propios supervisores estipulan
qué porción del incremento se aplica a cada uno de los clientes especiales.

El 2 de mayo de 1983 la compañía incrementó sus precios de venta en un 23%; el archivo


maestro de precios y condiciones de venta a clientes comunes fue actualizado en dicho
porcentaje.

En lo que atañe a los clientes especiales, algunos supervisores incrementaron los precios
en el referido porcentaje, en tanto que otros -por razones comerciales- recomendaron
incrementos inferiores que oscilaron entre un 10% y un 20%. Estos nuevos precios de
venta fueron informados a la oficina central por medio de formularios de datos de
entrada, diseñados al efecto, procediéndose a la actualización del archivo maestro.

En la oportunidad, uno de los supervisores acordó con uno de sus clientes especiales no
incrementar los precios de venta (omitió remitir el citado formulario para su procesamiento)
a cambio de una “comisión’’ del 5% de las ventas.

Ningún funcionario en la oficina central detectó la no actualización de los precios


facturados a referido cliente razón por la cual la compañía se vio perjudicada por el
equivalente a US$ 50.000. El fraude fue descubierto accidentalmente, despidiéndose al
involucrado, pero no se interrumpió la relación comercial.

Alternativas de Solución

v La empresa debería actualizar el archivo maestro de precios y condiciones de venta


aplicando la totalidad del porcentaje de incremento.

v Los supervisores de venta deberían remitir formularios de entrada de datos


transcribiendo los descuentos propuestos para clientes especiales.

v Los formularios deberían ser prenumerados, controlados y aprobados, antes de su


procesamiento, por funcionarios competentes en la oficina central.

v Debe realizarse una revisión critica de listados de excepción emitidos con la nómina
de aquellos clientes cuyos precios de venta se hubiesen incrementado en menos de
un determinado porcentaje.

J Juan Hernández M 20
Notas para Auditoria de Sistemas

Situación 5

Un empleado del almacén de productos terminados ingresos al computador ordenes de


despacho ficticias, como resultado de las cuales se despacharon mercaderías a clientes
inexistentes.
Esta situación fue descubierta hasta que los auditores realizaron pruebas de cumplimientos
y comprobaron que existían algunos despachos no autorizados.

Alternativas de Solución

v Un empleado independiente de la custodia de los inventarios debería reconciliar


diariamente la información sobre despachos generada como resultado del
procesamiento de las órdenes de despacho, con documentación procesada
independientemente, por ejemplo, notas de pedido aprobadas por la gerencia de ventas.

De esta manera se detectarían los despachos ficticios.

Situación 6

Al realizar una prueba de facturación, los auditores observaron que los precios facturados
en algunos casos no coincidían con los indicados en las listas de precios vigentes.
Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido
procesados, razón por la cual el archivo maestro de precios estaba desactualizado.

Alternativas de Solución

v Creación de totales de control por lotes de formularios de modificaciones y su


posterior reconciliación con un listado de las modificaciones procesadas.

v Conciliación de totales de control con los acumulados por el computador referentes al


contenido de campos significativos.

v Generación y revisión, por un funcionario responsable, de los listados de


modificaciones procesadas.

v Generación y revisión de listados periódicos del contenido del archivo maestro de


precios.

J Juan Hernández M 21
Notas para Auditoria de Sistemas

Situación 7

Una cobranza en efectivo a un cliente registrada claramente en el correspondiente recibo


como de $ 18,01, fue ingresada al computador por $ 1.801 según surge del listado diario de
cobranzas en efectivo.

Alternativas de Solución

v Contraloría/Auditoría debería preparar y conservar totales de control de los lotes de


recibos por cobranzas en efectivo. Estos totales deberian ser luego comparados con los
totales según el listado diario de cobranzas en efectivo.

v Un test de razonabilidad asumiendo que un pago de $361.300 está definido como no


razonable.

v Comparación automática de los pagos recibidos con las facturas pendientes por el
número de factura y rechazar o imprimir aquellas discrepancias significativas o no
razonables.

v Efectuar la Doble digitación de campos criticos tales como valor o importe.

Metodología de una Auditoría de Sistemas

Existen algunas metodologías de Auditorías de Sistemas y todas depende de lo que se


pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un
proceso de revisión:

• Estudio preliminar
• Revisión y evaluación de controles y seguridades
• Examen detallado de áreas criticas
• Comunicación de resultados

Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría, efectuar


visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario
para la obtención de información para evaluar preliminarmente el control interno, solicitud
de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales
funcionarios del PAD.

Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los


diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades,
revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos (backups),
Revisión de documentación y archivos, entre otras actividades.

J Juan Hernández M 22
Notas para Auditoria de Sistemas

Examen detallado de áreas criticas.-Con las fases anteriores el auditor descubre las áreas
criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente
su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos,
alcance Recursos que usara, definirá la metodología de trabajo, la duración de la auditoría,
Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo
lo anteriormente analizado en este folleto.

Comunicación de resultados.- Se elaborara el borrador del informe a ser discutido con los
ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara
esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque
los problemas encontrados , los efectos y las recomendaciones de la Auditoría.

El informe debe contener lo siguiente:

• Motivos de la Auditoría
• Objetivos
• Alcance
• Estructura Orgánico-Funcional del área Informática
• Configuración del Hardware y Software instalado
• Control Interno
• Resultados de la Auditoría

J Juan Hernández M 23
Notas para Auditoria de Sistemas

Auditoría

1. Introducción

En un principio el desarrollo de Software se hacia sin usar metodologías o técnicas, esto


debido a que los sistemas eran pequeños y de muy escasa complejidad, pero a medida
que avanzó la tecnología, las necesidades crecieron provocando que los sistemas de
software no fueran de suficiente calidad, Iniciándose una rama de la computación que
se ha hecho indispensable en la última década, esta es conocida como "Ingeniería de
Software", evidentemente aún se encue ntra en sus inicios pero ha ayudado a solucionar
problemas en lo referente al análisis, diseño, desarrollo y mantenimiento de sistemas
administrativos, los de apoyo a las tomas de decisiones o las de aplicaciones más
comunes como son los de sistemas de mo nitoreo o los de control de procesos. Para el
desarrollo e implantación de tales sistemas es necesario realizar una serie de procesos
que parten desde la comprensión del problema hasta la puesta en marcha del producto
final.

A continuación se muestra una forma de solucionar y apoyar a la empresa “Geo Hardware


and Software” en su departamento de informática. Se especifica el objetivo fundamental de
la realización del sistema, así como también porque desarrollarlo (justificación), basándose
en los requerimientos y necesidades del instituto.

Se muestra la importancia de aplicar la “Auditoria de Software” e "Ingeniería de Software",


partiendo de diversas metodologías a seleccionar, analizando las ventajas y desventajas de
cada una de ellas; cabe mencionar que no son todos los métodos existentes pero si lo más
usuales. Ya mencionando lo anterior se muestra y detalla la metodología que se apegó a las
necesidades del instituto, así como a los objetivos que se pretenden cubrir.

Se analizan y comprenden cada uno de los procesos que desarrolla la empresa en el área
administrativa. Una vez aplicado el análisis se obtienen los problemas existentes en la
misma.

Para solucionar los problemas, es necesario siempre mostrar diferentes estrategias de


solución dando las ve ntajas y desventajas de cada una de ellas, además de proponer la más
adecuada para la empresa. En la elaboración de un sistema, es siempre recomendable
diseñar la estructura interna, externa y salida de información, con el objetivo de que el
equipo de trabajo tenga una estandarización sobre todos los componentes del sistema.

En la fase de desarrollo se elige el lenguaje de programación ideal para la elaboración del


código, tomando en cuenta las características del sistema, el código fuente Es elaborado en
el lenguaje "Clipper".

J Juan Hernández M 24
Notas para Auditoria de Sistemas

2. Objetivo Y Justificación
Objetivo
Desarrollar un sistema informático de apoyo al proceso administrativo de “Geo Hardware
and Software”, con el propósito de dar una mayor agilidad al manejo de la información, así
como una rápida consulta a los datos que se controlan y una mejor visión en la toma de
decisiones, dando un mejor servicio al alumno y una mejor presentación a la empresa, todo
esto apegándose a las bases que la misma empresa establezca y al equipo de cómputo ya
existente.

Justificación
La empresa realizaba su control administrativo en forma manual, esto ocasionaba que fuera
demasiado lento al obtener información acerca de las facturas.

Sobre los datos que se controlan, estos se almacenan por tiempo indefinido (entre una año y
medio a dos años), como un control interno en la administración de la empresa, además
como se tiene una gran cantidad de clientes, esto provocaba un exceso de papel en el
archivero, y a la vez propiciaba el extravío de información.

Por todo lo anterior; era necesario realizar un sistema informático que solucione cada uno
de los problemas existentes y que se aprovechara el equipo de computo que se tiene en el
área administrativa como es debido.

3. Marco teórico.
La forma para desarrollar software desde que se inicio la computación, a través de los años
ha sido de forma lenta, ya que se podría decir que esta se encuentra aún en sus inicios, en
un principio se trató de aplicar el análisis y diseño de otras especialidades, dando como
resultado que el software fuera de mala calidad; tuvieron que pasar varios años antes de que
se dieran cuentan que se requería de métodos y/o técnicas que ayudarán a los
desarrolladores de software a crear este de mejor calidad, con el paso del tiempo
aparecieron nuevas técnicas que se adecuaban al desarrollo del mismo.

Desgraciadamente el avance tecnológico es tan rápido que pronto esas técnicas pasaron a
ser obsoletas, por esta y otras causas hubo que crear una nueva rama de la ingeniería, la
"Ingeniería en Software", esta cada año es actualizada para poder cumplir con los requisitos
que el hardware solicita, a pesar de esto aún no ha sido posible desarrollar software que
explote al máximo el hardware, han aparecido nuevas especialidades como "Ingeniero en
Bases de Datos", tratando de alcanzar el avance de la tecnología, exigiendo que los
estudiosos se actualicen para que esta meta se llegue a conseguir.

El seleccionar la metodología de trabajo implica estudiar varias para así determinar cuál es
la más adecuada.

A continuación se muestran diferentes metodologías a utilizar en la ingeniería de software


para llevar a cabo un análisis, diseño, desarrollo e implantación de un sistema informático.

J Juan Hernández M 25
Notas para Auditoria de Sistemas

PSL/PSA (Lenguaje de Enunciados de Problemas / Analizador de Enunciados de


Problemas).
Fue desarrollado con la idea de aplicarlo al procesamiento de datos. PSL establece ocho
requisitos o aspectos principales para diseñar un sistema. PSA es un analizador
automatizado, el cual se encarga de proporcionar los datos que fueron previamente
obtenidos con PSL. Los aspectos que PSL tiene que cumplir son:

1. Flujo de entrada/salida del sistema.


2. Estructura del sistema.
3. Estructura de datos.
4. Derivación de datos.
5. Tamaño y volumen del sistema.
6. Dinámica del sistema.
7. Administración del proyecto.

La desventaja principal de este método se encuentra en no ser adecuado en el desarrollo de


sistemas de software; por ejemplo, una de las áreas donde se puede aplicar esta
metodología es en el control de sistemas aéreos.

RSL/RFVS (Lenguaje de Establecimiento de Requisitos / Sistema de Validación de


Ingeniería de Requisitos).
RSL se basa en varios de los primeros puntos de PSL, la diferencia es que RSL permite
realizar modelos de sistemas estímulo - respuesta en el control de procesos-. RFVS analiza
y procesa los requisitos que fueron determinados en RSL, permitiendo una evaluación
directa de datos.

Este método es utilizado en sistema de grandes dimensiones y de alta complejidad en donde


las inversiones de costo sean de igual tamaño de lo contrario no se puede justificar su uso.

SADT (Técnicas de Análisis y Diseño Estructurado).


Está constituido por un lenguaje gráfico y métodos de administración, se le considera entre
los mejores métodos.

Esta formado por un conjunto ordenado de diagramas SA (Análisis Estructurado),


comúnmente utilizado en ingeniería civil y mecánica. Se puede decir que SADT permite el
trabajo con bases de datos, pero su desventaja se encuentra en no tener diversos
mecanismos estructurales.

SSA (Análisis Estructurado de Sistemas).


Se compone principalmente de diagramas de flujo de datos (DFD), diccionarios de datos,
representaciones lógicas de procedimientos y técnicas de estructuración de
almacenamiento de datos.

Es muy útil, para el proceso de bases de datos y en sistemas de programa ción, por su
flexibilidad en el manejo de información se recomienda su uso para sistemas pequeños y
de mediana escala.

J Juan Hernández M 26
Notas para Auditoria de Sistemas

Organización.
Este apartado contempla el establecimiento de políticas y objetivos de seguridad y el
desarrollo de herramientas de gestión y coordinación de las medidas de seguridad
necesarias.

Antecedentes organizativos.
Evidentemente, ante todo, debe existir en la empresa una política abierta y decidida en
materia de seguridad, impulsada por la propia Dirección. Cualquier acción individual o
incluso departamental que carezca no solo del beneplácito sino también del soporte y apoyo
explícito de la Dirección estará condenada al fracaso.

Debemos recordar, una vez más, que la seguridad debe contemplarse como un conjunto
homogéneo y coordinado de medidas encaminadas a la protección de los activos de
información. En consecuencia, construir murallas robustas cuando existen puertas de
acceso fácilmente vulnerables no solo es ineficaz sino que hace inútiles las inversiones y
esfuerzos realizados.

Estructura organizativa interna.


La Organización debe estar diseñada de tal modo que facilite y favorezca la gestión de la
seguridad informática. Y esto debe cumplirse tanto dentro del propio Departamento de
Informática como en la ubicación de este en el organigrama de la empresa.

La composición del Departamento y la definición de funciones o descripción de puestos de


trabajo debe ser tal que, además de establecer claramente los cometidos de sus integrantes,
no provoque solapamientos ni deje responsabilidades por cubrir. En este sentido, es muy
importante la asignación de funciones de seguridad. Debe procurarse una segregación
adecuada, de modo que no existan, salvo casos de Departamentos de muy reducida
plantilla, personas cuyas funciones les otorguen plenos poderes en todos los aspectos del
ámbito informático.

Política de personal.
Al capítulo de personal no se le otorga, a menudo la suficiente importancia. Por muchas
medidas de seguridad que se implanten, la responsabilidad de su creación y la supervisión
de su cumplimiento recae sobre las personas. Por tanto, siendo este el activo mas
importante de la empresa u organización, parece razonable que exista una política de
personal adecuada, abarcando todos los aspectos (contratación, remuneración, información,
motivación, incentivación, formación, reciclaje, etc.) que favorezca la obtención no sólo del
máximo rendimiento de las personas sino también de su integración y realización dentro de
la empresa u organización.

Es vital contar con personal sobre el que poder depositar la confianza. Por el contrario, el
personal descontento representa una amenaza importante para la seguridad de la empresa.
Debe hacerse pública la existencia de normas de seguridad y la posición de la empresa al
respecto a fin de que sean conocidas y asumidas por el personal. Los trabajadores recién
incorporados deben ser informados lo antes posible de la política de la empresa en materia
de seguridad: no hay que olvidar que estos tomarán como referencia la actitud y

J Juan Hernández M 27
Notas para Auditoria de Sistemas

comportamiento del personal con mayor antigüedad. Por este motivo, la formación e
información en este sentido debe ser explícita y estar patente en todas las actividades
diarias.

Auditoría y control.
Aquellas empresas cuyo tamaño así lo justifique deberían tener definida la función de
Auditoría Interna asumida por personal de la propia empresa, con la responsabilidad de
efectuar periódicamente revisiones con el objetivo de comprobar el cumplimiento de la
normativa interna, especialmente en materia de seguridad, y de participar en la definición
de los nuevos sistemas de información que se desarrollen e implanten, para asegurar la
incorporación de elementos que faciliten su auditabilidad y control.

Dado que esta situación sólo se produce en organizaciones de gran envergadura, por un
problema de economía de escala, en empresas medianas y pequeñas, en las que no pueda
asumirse esta función con personal interno, sería deseable la contratación periódica de este
tipo de revisiones a empresas especializadas, exigiendo de éstas no sólo la detección de
problemas reales y riesgos potenciales sino también de un plan de acciones para
prevenirlos, detectarlos y solucionarlos, dándole así un valor añadido y una rentabilidad al
servicio obtenido, ya que, además de realizar la labor de auditoria y control, se contrastan
opiniones y se adquieren nuevos conocimientos sobre el 'estado del arte' en cada materia.

Asuntos administrativos relacionados con la seguridad.


El instituto debe disponer de servicios de mantenimiento, bien propios o contratados
externamente, en función de sus características y posibilidades. Estos servicios deben
abarcar tanto los equipos informáticos como los equipos auxiliares (electricidad, agua, aire
acondicionado, etc.) siempre que de su buen estado dependa el funcionamiento de los
sistemas informáticos.

Los equipos informáticos deben estar perfectamente identificados (marca, modelo,


ubicación, fecha de adquisición, etc.) y cubiertos por las correspondientes pólizas de
seguros. La Dirección de la empresa decidirá si la cobertura ha de limitarse simplemente a
la indemnización por destrucción física y sustracción, o contemplará además
compensaciones por la perdida de capacidad de procesamiento u otros aspectos.

Los elementos de seguridad física (localización de extintores manuales, salidas de


emergencia si las hubiese, etc.) deben estar convenientemente señalizados. Análogamente,
todo aviso o recomendación relativo a seguridad ha de ser claramente visible (indicadores
de prohibición de fumar, planos o croquis del edificio indicando el camino a escaleras y
salidas de emergencia, normas de actuación en caso de evacuación forzosa del edificio,
etc.).

Estas medidas deben adecuarse a cada situación particular, pero, en cualquier caso, su
implantación es de muy reducido coste, tanto en dinero como en tiempo.

4. Software Y Datos
Este apartado aborda los aspectos asociados al componente lógico del sistema: programas y
datos. Para ello, se distingue entre las medidas para restringir y controlar el acceso a dichos

J Juan Hernández M 28
Notas para Auditoria de Sistemas

recursos, los procedimientos para asegurar la fiabilidad del software (tanto operativo como
de gestión) y los criterios a considerar para garantizar la integridad de la información.

Control de acceso.
Sistemas de identificación, asignación y cambio de derechos de acceso, control de accesos,
restricción de terminales, desconexión de la sesión, limitación de reintento.

Software de base.
Control de cambios y versiones, control de uso de programas de utilidad, control de uso de
recursos y medición de 'performance'.

Software de aplicación.
En este apartado se trata todo lo concerniente al software de aplicación, es decir, todo lo
relativo a las aplicaciones de gestión, sean producto de desarrollo interno de la empresa o
bien sean paquetes estándar adquiridos en el mercado.

Desarrollo de software.
• Metodología: existe, se aplica, es satisfactoria. Documentación: existe, esta actualizada,
es accesible.
• Estándares: se aplican, como y quien lo controla. Involucración del usuario.
• Participación de personal externo.
• Control de calidad.
• Entornos real y de prueba.
• Control de cambios.

Adquisición de software estándar.


Metodología, pruebas, condiciones, garantías, contratos, capacitación, licencias, derechos,
soporte técnico.

Datos.
Los datos es decir, la información que se procesa y se obtiene son la parte más importante
de todo el sistema informático y su razón de ser. Un sistema informático existe como tal
desde el
momento en que es capaz de tratar y suministrar información. Sin ésta, se reduciría a un
conjunto de elementos lógicos sin ninguna utilidad.

En la actualidad la inmensa mayoría de sistemas tienen la información organizada en


sendas Bases de Datos. Los criterios que se citan a continuación hacen referencia a la
seguridad de los Sistemas de Gestión de Bases de Datos (SGBD) que cumplan normas
ANSI, si bien muchos de ellos pueden ser aplicables a los archivos de datos
convencionales.

Diseño de bases de datos.


Es importante la utilización de metodologías de diseño de datos. El equipo de analistas y
diseñadores deben hacer uso de una misma metodología de diseño, la cual debe estar en

J Juan Hernández M 29
Notas para Auditoria de Sistemas

concordancia con la arquitectura de la Base de Datos elegida jerárquica, relacional, red, o


bien orientada a objetos.

Debe realizarse una estimación previa del volumen necesario para el almacenamiento de
datos basada en distintos aspectos tales como el número mínimo y máximo de registros de
cada entidad del modelo de datos y las predicciones de crecimiento.

A partir de distintos factores como el número de usuarios que accederá a la información, la


necesidad de compartir información y las estimaciones de volumen se deberá elegir el
SGBD más adecuado a las necesidades de la empresa o proyecto en cuestión.

En la fase de diseño de datos, deben definirse los procedimientos de seguridad,


confidencialidad e integridad que se aplicarán a los datos:

Procedimientos para recuperar los datos en casos de caída del sistema o de corrupción de
los archivos.
Procedimientos para prohibir el acceso no autorizado a los datos. Para ello deberán
identificarlos.
Procedimientos para restringir el acceso no autorizado a los datos. debiendo identificar los
distintos perfiles de usuario que accederán a los archivos de la aplicación y los
subconjuntos de información que podrán modificar o consultar.
Procedimientos para mantener la consistencia y corrección de la información en todo
momento.

Básicamente existen dos niveles de integridad: la de datos, que se refiere al tipo, longitud y
rango aceptable en cada caso, y la lógica, que hace referencia a las relacio nes que deben
existir entre las tablas y reglas del negocio.

Debe designarse un Administrador de Datos, ya que es importante centralizar en personas


especializadas en el tema las tareas de redacción de normas referentes al gestor de datos
utilizado, definición de estándares y nomenclatura, diseño de procedimientos de arranque,
recuperación de datos, asesoramiento al personal de desarrollo entre algunos otros aspectos.

Creación de bases de datos.


Debe crearse un entorno de desarrollo con datos de prueba, de modo que las actividades del
desarrollo no interfieran el entorno de explotación. Los datos de prueba deben estar
dimensionados de manera que permitan la realización de pruebas de integración con otras
aplicaciones, de rendimiento con volúmenes altos.

En la fase de creación, deben desarrollarse los procedimientos de seguridad,


confidencialidad e integridad definidos en la etapa de diseño:

• Construcción de los procedimientos de copia y restauración de datos.


• Construcción de los procedimientos de restricción y control de acceso. Existen dos
enfoques para este tipo de procedimientos:

J Juan Hernández M 30
Notas para Auditoria de Sistemas

Confidencialidad basada en roles, que consiste en la definición de los perfiles de usuario y


las acciones que les son permitidas (lectura, actualización, alta, borrado,
creación/eliminación de tablas, modificación de la estructura de las tablas).
Confidencialidad basada en vistas, que consiste en la definición de vistas parciales de la
base de datos, asignándolas a determinados perfiles de usuario.

Construcción de los procedimientos para preservar la integridad de la información. En los


SGBD actuales, la tendencia es la implantación de estos procedimientos en el esquema
físico de datos, lo cual incide en un aumento de la fiabilidad y en una disminución del coste
de programación, ya que el propio gestor de la base de datos controla la obligatoriedad de
los atributos de cada entidad, dominio o rango de los datos y las reglas de integridad
referencial.

Explotación de bases de datos.


Es importante la realización de inspecciones periódicas que comprueben que los
procedimientos de seguridad, confidencialidad e integridad de los datos funcionan
correctamente. Para ello, existen diversos métodos y utilidades:
Registro de accesos y actividad (archivos lógicos). Los SGBD actuales suelen tener
archivos de auditoría, cuya misión es registrar las acciones realizadas sobre la base de
datos, haciendo referencia a nombre de objetos modificados, fecha de modificación, usuario
que ha realizado la acción, en fin lo datos más relevantes para poder llevar a cabo
seguimiento de las acciones efectuadas.
Registro de modificaciones realizadas por la aplicación. Una aplicación bien diseñada
debería grabar información necesaria para detectar incidencias o fallos. Estos atributos,
también llamados pistas de auditoría, pueden ser la fecha de creación o de ultima
modificación de un registro, el responsable de la modificación, la fecha de baja lógica de un
registro en general registrar todos los datos relevantes para poder llevar un seguimiento de
las modificaciones efectuadas.
'Tunning' periódico de la Base de Datos. Periódicamente, el Administrador de Datos debe
controlar el crecimiento y la evolución de los archivos de la base de datos a fin de tomar las
medidas necesarias para mejorar el rendimiento del sistema.
Mantenimiento de la Base de Datos. Dado que la base de datos es un objeto cambiante,
periódicamente debe efectuarse su mantenimiento, ya que su estructura, volumen,
comportamiento, apariencia se modifican con el paso del tiempo. Asimismo, deben
revisarse los roles de los usuarios para adecuarlos a los posibles cambios que se vayan
produciendo.

Metodología De Trabajo
En la etapa de selección de una metodología, el equipo de desarrollo debe de elegir la que
más se acerque a la problemática del sistema, indudablemente que no todas las
metodologías son las adecuadas a cada problema, es aquí donde la Ingeniería de Software
ayuda, sugiriendo diferentes metodologías, e inclusive la combinación de estas. La visión
de un desarrollador de software se debe de centrar en la idea de que es lo mas importante
para la empresa, teniendo como antecedente de que ambas partes (principalmente el
usuario) deben de estar de acuerdo en la solución al problema.

J Juan Hernández M 31
Notas para Auditoria de Sistemas

Tomando en cuenta lo anterior y en los problemas mencionados en la justificación, se


aplico una combinación de metodológicas entre el ciclo de vida clásico y el Sistema de
Análisis Estructurado. Sobre la metodología de Ciclo de Vida, se utilizo la fase,
"Determinación de los requerimientos", ya que es de suma importancia conocer las
necesidades del cliente u posibles problemas. Para la recopilación de datos se puede aplicar
la entrevista, el cuestionario y/o la observación. Considerando las ventajas y desventajas
que cada técnica ofrece se aplico la entrevista, por ser una de las más seguras y aplicables a
un numero menor de personas.

El principal objetivo de recabar información es para determinar el tamaño del sistema de


estudio, debido a esto se determino que se trataba de un sistema pequeño por la cantidad de
procesos, el flujo de información y la complejidad de los cálculos estadísticos que maneja
esta empresa.

En lo que se refiere al Sistema de Análisis Estructurado, se considero el mas adecuado por


permitir el manejo de sistemas de menor complejidad, desarrollar programas de software e
incorporar conceptos de bases de datos.

El uso de las bases de datos permite almacenar gran cantidad de información además de las
siguientes ventajas:

• Permite tener un mejor control sobre la información que se almacena.


• Una gran velocidad sobre la consulta de información.
• Respaldo de información, dando una mayor seguridad de la misma.
• Flexibilidad en el traslado de la información
• Manejo de reportes inmediatos, obteniendo el numero de copias necesarias en corto
tiempo.
• Velocidad y exactitud sobre los cálculos matemáticos.
• Eliminar la duplicidad de datos
• Se disminuye el manejo de datos erróneos,

Cada uno de los elementos que se incorporan en el análisis y diseño de esta metodología
ayudan a identificar y comprender los procesos que se aplican, los elementos están
involucrados, el agrupamiento mas adecuado de los datos, encontrar la duplicidad de la
información, establecer una relación entre agrupamientos de la organización sobre la
programación del software, así como un mantenimiento que asegure el funcionamiento
adecuado del sistema.

El análisis estructurado de sistemas, es utilizado en sistemas no muy grandes y de poca


complejidad, incorpora un lenguaje gráfico para representar sus modelos de sistemas a
manipular mas fácilmente la información. Esta se basa en los siguientes puntos:

Diagrama
El símbolo entidad puede representar a una empresa, una persona o una máquina, donde
cada uno de estos puede ser fuente o destino de datos. La flecha representa como la

J Juan Hernández M 32
Notas para Auditoria de Sistemas

información se traslada de una entidad a otra, la punta de la flecha indica el destino de los
datos.

Si se desea indicar transformaciones de los datos, se utiliza un rectángulo con esquinas


redondeadas, donde la información que sale será diferente de la que entra. El símbolo de
almacenamiento de datos, indica donde la información puede ser consultada, sirve también
para indicar donde se puede almacenar o guardar la información. El abuso en detallar un
DFD puede confundir al analista, por lo que no es recomendable en diagramas grandes y
complejos. El analista puede representar un sistema desde su forma mas general hasta llegar
a detallar la parte de interés en el desarrollo del sistema.

Diccionario De Datos
El uso de un diccionario de datos ayuda a determinar cuales son lo s elementos de un
sistema, además de que ayuda a detallarlo. Los elementos se deben de definir y de indicar
en que parte son utilizados.

Como primer paso se deben de agrupar según la información que se obtenga, determinar en
que grupos son repetidos los diferentes elementos. El uso de un diccionario de datos debe
primero ser generado durante la fase de análisis, y además un segundo diccionario durante
la fase de diseño, ambos diccionarios de datos son importantes, ya que mientras en la fase
de análisis sirvió para identificar los elementos del sistema, en la fase de diseño permitirá
organizar la información que será almacenada por medio de la computadora en algún
dispositivo de almacenamiento secundario ( discos flexibles, discos duros, discos ópticos,
etc.)

Representaciones Logicas
Una representación lógica es principalmente utilizada para explicar los procesos que utiliza
el instituto, estos procesos pueden ser representados por medio de lenguaje estructurado,
por arboles de decisión o por diagramas de flujo: la técnica del lenguaje estructurado es la
mas recomendable para que el usuario entienda si los procesos son correctos, se recomienda
utilizar el español para explicar los procesos, ayudándose de estructuras de control como
si....entonces, hacer mientras........, etc.

El uso de esta herramienta debe de ser cuidadoso, ya que se puede llegar detallar demasiado
los procesos, llegándose a asemejar a un programa de computadora, difícil de ser entendible
por el usuario y por el resto del equipo de trabajo. La utilización de esta técnica marcara la
forma o estructura que tendrá el sistema de software, debe entenderse que algunos
desarrolladores la llegan a utilizar preferentemente durante la fase de diseño, se recomienda
utilizarla en el análisis, para asegurar que el diseño será correcto. El desarrollador puede
utilizar diagramas de flujo de datos para representar el sistema durante la fase de diseño.

Diseño Estructurado
Es uno de los mas utilizados y recomendados por los expertos en el desarrollo de sistemas
de computo, además de que es una consecuencia del Sistema de Análisis Estructurado, el
diseño estructurado esta compuesto por las siguientes herramientas:

J Juan Hernández M 33
Notas para Auditoria de Sistemas

• Diccionario de datos
• Mapa de relaciones
• Diagrama de diálogos
• Diagrama de flujos
• Entradas y Salidas

Diccionario De Datos
El diccionario de datos que se diseñara, deberá tener como base el diccionario de datos que
se realizo durante el análisis, además de tomar en cuenta las estructuras que fueron
resultantes durante la fase de técnicas de estructuración de almacenamiento de datos.

Mapa De Relaciones
Esta herramienta tiene como base las estructuras que fueron resultantes durante el
desarrollo de la aplicación de las técnicas de estructuración de almacenamiento de datos,
añadiendo la forma en que las estructuras están relacionadas, tomando como base la
asignación de llaves, que permiten la identificación de cada relación y la forma en que estas
pueden ser identificadas, una flecha indica que la relación será de una a una, doble flecha
podrá indicar una a muchas, muchas a una, o muchas a muchas, la forma en que se
representen deberá ser respetada por el quipo de trabajo, ya que es así como se realizara la
programación.

Diagramas De Dialogos
Un diagrama de dialogo, es la representación en forma general de como estará compuesto
el sistema, indicando la trayectoria que se debe de seguir para trabajar con cada uno de los
módulos que lo componen.

Diagramas De Flujo
Estos representaran la forma en que el sistema será manipulado por el usuario, utilizándose
los símbolos clásicos de condiciones y de proceso, cuidando que estos sean de estructura
sencilla.

5. Entradas Y Salidas
El diseño de entradas consiste en desarrollar diversas formas para capturar información, por
lo regular la entrada clásica es la pantalla, y en consecuencia la salida mas importante es
por la impresora. Se deben implementar las pantallas de tal forma, que sean fáciles de
entender por el usuario, así como los formatos de salida.

Codificacion
En esta fase el equipo de trabajo debe decidir, el lenguaje que será utilizado para llevar a
cabo el desarrollo del software.

Prueba, Implantación Y Mantenimiento


Durante esta fase se deben realizar pruebas de autenticidad del software, la mayor parte de
los desarrolladores realizan estas pruebas junto con el usuario, cumpliendo además con la
capacitación al personal que utilizara el software en forma directa o indirecta, al depurar de
todos sus errores al sistema, este se implantara.

J Juan Hernández M 34
Notas para Auditoria de Sistemas

El mantenimiento es una parte muy importante, ya que esta llega a ocupar hasta un 60% de
tiempo y esfuerzo del total del proyecto, es por esto que se debe elaborar un plan de trabajo
a un tiempo determinado, este dependerá del tamaño del proyecto, al usuario se le puede
manejar este mantenimiento como "Garantía de Software".

Descripcion De Problemas

De acuerdo a la auditoría interna aplicada a la empresa "Geo Hardware and Software" en su


departamento de informática, se obtuvieron lo siguientes problemas:

1. El departamento requiere de información de manera inmediata y constante acerca del


control de facturas, como puede ser actualización de saldos, el desglose de la factura,
consultas rápidas, búsqueda de artículos, etc.
2. El excesivo uso de papel en documentación, ocasiona una lenta consulta acerca de un
dato o grupo de datos y llega a suceder que estos documentos pueden ser extraviados,
por ejemplo, el formato de calificaciones que entrega cada instructor al finalizar un
modulo, primero es recibido en la recepción, posteriormente, pasa a la secretaria para
que elabore las boletas correspondientes, y después pasa a manos de kardex, para que se
registre esa factura. Finalmente, este formato es devuelto a la secretaria para que sea
archivado en una carpeta correspondiente a la factura o al cliente. Durante este largo
proceso, es común que el formato original se extravíe y que no sea archivado.
3. Los kardex son unos pequeños formatos, existe uno por cada alumno registrado en la
empresa, ahí se registra su nombre, numero de factura y el monto total. Cada semana, se
va registrando el nume ro de folio del recibo con que cubre su factura, y en el reverso se
van anotando consecutivamente, sus abonos.
4. Al extraviarse un documento se genera un descontrol en el proceso de facturaje. Ya que
al querer elaborar un reporte de facturas, se dirige uno al Kardex, si no se encuentra,
hay que indagar que persona expidió la factura y posteriormente buscar la carpeta
correspondiente, así como el formato adecuado. Si este se extravió, no hay forma de
completar la factura, y al no tener saldo, el cliente se siente defraudado y esto ocasiona
problemas.
5. El mayor problema es la poca disponibilidad de información, al presentarse un cliente
y no tener rápidamente, y sobre todo actualizada la información.
6. Cuando el número de clientes dentro del departamento se eleva, es un proceso
complejo, el identificar a cada factura y con que saldo se encuentra actualmente. Con un
sistema de control de facturas, este proceso es automático.

Ventajas que proporcionara el sistema de control escolar automatizado.


1. Agilizar las operaciones administrativas de control de facturas.
2. Permitir que no solo una persona obtenga resultados finales, además de evitar que la
responsabilidad caiga en manos de la secretaria, sino en la persona encargada del
manejo de la base de datos.
3. El empleo de un equipo de computo, es necesario.
4. Evitar así el retraso de información

J Juan Hernández M 35
Notas para Auditoria de Sistemas

5. Disponer de la información en cualquier momento, por pantalla o papel (reportes)


6. Respaldo de información, permitiendo dar mayor seguridad a este.
7. Facilidad en el control y manejo de información, por medio de un sistema informático.
8. Mediante las facturas, tener un almacén actualizado.
9. Lograr que las auditorias tengan soporte informático
10. Satisfacción de nuestros clientes.

Antecedentes de la empresa
“geo hardware and software”, esta ubicado en Allende # 707-B, en la ciudad de Pachuca
Hgo. Dentro de sus departamentos esta el de informática, que se encarga de prestar sus
servicios a empresas particulares que requieren bienes informáticos o asesorías, además de
vender equipo y consumibles.

Geo Hardware and Software surge en Noviembre de 1994 y en Enero de 1995 el


departamento de informática inicia a vender computadoras de la marca IBM,
mantenimiento de equipo de computo y también empieza a proporcionar el servicio de
capacitación informática a la empresa. Su primer grupo, el cual tenia 8 alumnos, este grupo
inicio el 22 del mismo mes, al siguiente año, surge el segundo grupo de 22 alumnos y así
fue creciendo. En 1995 existían 2 laboratorios con 4 computadoras en cada uno, existía un
grupo en el turno matutino y un grupo en el vespertino.

Para cada uno de estos servicios se expide factura.


El primer socio fundador y actual dirigente es el Ing. Rafael Flores Espejel, en ese entonces
solo se contaba con dos Lic. en informática y una secretaria, los cuales a parte de dar clases
se encargaba de dar mantenimiento a las computadoras y tener en orden los laboratorios.

Esta empresa tiene en total 100 egresados con el diplomado de Operador de


Microcomputadoras, actualmente tiene alrededor de 450 alumnos, impartiendo las
siguientes materias para la Especialidad Operador de Microcomputadoras:

Windows 95
Microsoft Word
Microsoft Excel
Microsoft Power Point
Microsoft Publisher
Aspel Coi
Aspel Noi
Aspel Sae
Técnicas de Programación
Microsoft Visual Basic
Introducción a las Bases de Datos
Visual Fox Pro
Análisis y Diseño de Sistemas.

Además de la especialidad, se imparten diplomados en Informática Básica, Diseño Gráfico,


etc. Ya que la empresa ha ido creciendo, tienen un laboratorio con 25 maquinas.

J Juan Hernández M 36
Notas para Auditoria de Sistemas

Próximamente estarán estos equipos colocados en Red, para implantar el servicio de


Internet.

Para la empresa es de gran importancia optimizar recursos y mantener un buen nivel


académico elevando su prestigio. Es por eso que se pretende mejorar la enseñanza
educativa, las ventas y compras de equipo utilizando la tecnología actual.

6. Análisis Del Sistema


Durante el desarrollo de un sistema de información, la fase más importante de una
minuciosa investigación es la del análisis.

En esta fase se debe de determinar cuales son los problemas (por lo regular un problema
origina otros mas), que tiene el instituto con el objeto de determinar cuales son los
requerimientos y necesidades (sin llegar a lujos) de la misma.

1. Se podrá dar de alta a clientes y artículos, para de esta forma tener una base de datos
que se pueda consulta y de hay realizar con mas facilidad una factura.
2. Cuando una factura se da de alta, llena un formato con los datos mas importantes,
como la clave de la factura, su nombre completo, dirección, RFC, descripción de la
factura, Importe total, saldo, teléfono, la fecha en que se esta realizando la factura y
la fecha de vencimiento de la factura. Estos datos son importantes porque cuando
una factura es dada de baja, generalmente se le realiza una inspección para
determinar si fue un cliente cumplido o un cliente moroso y de eso dependerá si se
le otorga nuevo crédito.
3. Automáticamente se le abre un expediente a ese cliente.
4. Los empleados de la empresa se identifican también con una clave o número, y se
requiere tener la información de estos, tal como nombre completo, dirección,
teléfono, escolaridad, experiencia laboral (observaciones), edad, horario de trabajo y
la fecha en que inicia sus labores en la empresa.
5. Para un mejor control, se asigna una clave a cada articulo. Los artículos, para tener
un mejor control en el inventario.
6. Siempre a existido la necesidad de consultar las facturas de forma casi inmediata
para presentar al cliente su saldo, o bien hacer una aclaración o devolución. Las
consultas se realizan por:
ü Fecha de vencimiento.
ü Cliente
ü Resumen de flujo
7. Se debe registrar una factura durante la venta o prestación del servicio al cliente.
Cuando se termine de registrar su factura se registra el abono y el saldo.

Diccionario De Datos
Realizar un diccionario de datos en la etapa del análisis, ayuda al usuario y al equipo de
desarrollo del sistema informático a comprender cada uno de los procesos y datos que se
encuentran involucrados, definiendo y registrando cada uno de estos elementos. El
diccionario de datos que corresponde a nuestro proceso se muestra en el cuadro siguiente:

J Juan Hernández M 37
Notas para Auditoria de Sistemas

Modulo De Clientes
Este modulo cuenta con las opciones de inclusión, bajas, consulta y modificar. Los campos
que maneja son los siguientes:

ü Código
ü Nombre
ü Dirección
ü Ciudad
ü Estado
ü Código Postal
ü Ultima compra
ü Situación
ü Teléfono y clave lada
ü RFC

Modulo De Artículos
Este modulo cuenta con las opciones de inclusión, bajas, consulta y modificar. Los campos
que maneja son los siguientes:

ü Clave
ü Descripción
ü Precio

Modulo De Facturas
Este modulo cuenta con las opciones de inclusión, bajas, consulta, modificar y abonos. Los
campos que maneja son los siguientes:

ü Factura
ü Código de cliente
ü Nombre
ü Articulo
ü Descripción
ü Fecha de vencimiento
ü Valor de la factura

Modulo De Consultas
En este modulo se pueden consultar las facturas constando de las opciones de consulta por
cliente, por fecha de vencimiento y la opción de un resumen de flujo. Los campos que
maneja son:

ü Fecha inicial del reporte


ü Fecha final del reporte
ü Código de cliente.

J Juan Hernández M 38
Notas para Auditoria de Sistemas

Modulo De Servicios
Todo buen sistema debe tener un modulo que ofrezca servicios al mismo, este no es la
excepción y cuenta con los servicios de:

ü Reindexar bases de datos


ü Compactar datos
ü Realiza copia de seguridad
ü Restaurar la copia de seguridad
ü Eliminar facturas

El agrupar la información por medio del modelo relacional, es el siguiente paso en el


análisis estructurado, siendo importante para detallar el flujo y almacenamiento de datos,
además de que ayuda al analista en la detección de redundancia de los mismos.

Las relaciones están formadas con campos de los registros de datos llamándoles dominios.
El proceso de normalización de una base de datos es evitar redundancia o repetición de
grupos.

7. Diseño De Entradas Y Salidas


Entradas
El diseño de entradas consiste en realizar formatos que permitan al usuario introducir datos;
en este caso las entradas de información serán llevadas a computadora, por lo tanto se dice
que el dispositivo de entrada será el teclado. Los formatos serán pantallas que simularan
que en estas se escribe la información.

Salidas
El diseño de salidas en si, es diseñar los formatos de salidas comúnmente estas pueden ser
reportes de resultados; estos reportes pueden aparecer por papel o en pantalla, según el
usuario del sistema así lo requiera.

Desarrollo
La fase de desarrollo, consiste en realizar la programación del sistema, es decir, trasladar el
diseño de código de un lenguaje seleccionado por el equipo de desarrollo, cada modulo con
su respectivo grupo de pantallas (entradas) y reportes (salidas), así como la ayuda.

El lenguaje que se selecciono cumple con los requisitos tales como fácil de manejar y es
conocido por el equipo de trabajo, las características de las bases de datos como en el caso
del actual sistema informático, y se cuenta con documentación y bibliografía suficiente para
nuestro equipo de trabajo.

La técnica de programación, se aplica al lenguaje seleccionado, que es Visual Basic, estas


técnicas ayudan al equipo a una mejor comprensión del código fuente por parte del mismo
equipo y por otras personas ajenas al equipo que se interesan o desean conocer puntos de
vista. Además que facilita la modificación, depuración y puesta a punto del código fuente,
así como facilitar el mantenimiento.

J Juan Hernández M 39
Notas para Auditoria de Sistemas

Cada código debe ser explicado, junto con la persona que lo realizo, esto con el propósito
de conocer quien fue el responsable y cual es el mas indicado para realizar modificaciones
en caso de ser necesarias, así como anotar la fecha en que fue concluida su codificación.

Para el sistema informático que se presenta, se tuvo que seleccionar un lenguaje que
permitiera trabajar bajo ambiente Windows, esto con el propósito de que el manejo de este
fuera mas sencillo, además de que lo mas común, seria de que la persona que se encargaría
de trabajar con el sistema (usuario), esté familiarizado a trabajar bajo ambiente Windows
que en cualquier otro tipo de sistema.

A continuación se muestran la mayoría de las pantallas que se utilizan en el sistema.


El código fuente se encuentra en el anexo.

8. Conclus iones.
Al realizar el anterior trabajo se investigo acerca de todos los elementos que componen la
empresa “Geo Hardware and Software”, tanto materiales como humanos, con lo anterior, se
puede dar uno cuenta que organizar, administrar y auditar una empresa no es nada fácil, ya
que si falla un elemento del que se compone, trae consigo un efecto domino, que hace que
los demás elementos bajen su rendimiento, o en el peor de los casos sean causantes del
fracaso de la emrpesa.

Es mentira que lo mas importante para una empresa sea el equipo informático con el que se
trabaja. El factor humano es lo mas importante, ya que si se cuenta con tecnología de punta,
pero con personal no calificado o en desacuerdo con el desarrollo del Centro de Computo
optara por renunciar, o bien por seguir rezagando al mismo Asimismo la capacitación es
importantisima, ya que si no hay capacitación permanente, el personal técnico de la
empresa decide abandonarla para buscar nuevos horizontes y mayor oportunidad, aun
sacrificando el aspecto económico.

El aspecto organizativo también debe estar perfectamente estructurado, y las líneas de


mando deben estar bien definidas, evitando de esta manera la rotación innecesaria de
personal, la duplicidad de funciones, las líneas alternas de mando, etc. y que conllevan al
desquiciamiento de la estructura organizacional.

Hablando de seguridad, es indispensable el aseguramiento del equipo y de las instalaciones,


así como de la información, el control de los accesos también es punto fundamental para
evitar las fugas de información o manipulación indebida de esta.

El Departamento de informática es la parte medular de la empresa, es en donde los datos se


convierten en información útil a las diferentes áreas, es donde se guarda esta información y
por consecuencia, donde en la mayoría de los casos se toman las decisiones importantes
para la empresa.

En el desarrollo de software es necesario cumplir con metodologías que permitan la


creación de sistemas informáticos de alta calidad y confiabilidad. El Sistemas de facturas

J Juan Hernández M 40
Notas para Auditoria de Sistemas

que se pretende implantar en el Departamento de Informática de “Geo Hardware and


Software”, para que cumpla con el objetivo que se planteo en un principio, y ayudar con el
proceso administrativo de control de facturación en la empresa. Estas mejoras serán mas
notorias, cuando se reduzcan los tiempos en que tarda la información en estar disponible, lo
que se traduce en un mejor servicio al cliente (clientes y empresas afiliadas).

Además al realizar la presente auditoria nos damos cuenta que dentro del ambiente
empresarial es de vital importancia contar con la información lo más valiosa que sea, a
tiempo, de forma oportuna, clara, precisa y con cero errores para que se constituya en una
herramienta poderosa para la toma de decisiones, viéndose reflejada en la obtención de
resultados benéficos a los fines de la organización y justificar el existir de toda la
organización o empresa.

Lo anterior encaminado a justificar el uso de la auditoria informática dentro de la


organización así mismo como controlar el manejo de los recursos de la organización en
beneficio y en dirección paralela a los objetivos de dicha organización.

J Juan Hernández M 41
Notas para Auditoria de Sistemas

Auditoría Informática

A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas
más poderosas para materializar uno de los conceptos más vitales y necesarios para
cualquier organización empresarial, los Sistemas de Información de la empresa.

La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las
normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los
generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo
que se ha denominado el “management” o gestión de la empresa. Cabe aclarar que la
Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no
decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una
empresa, existe la Auditoría Informática.

El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha


considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A
causa de esto, se ha tomado la frase “Tiene Auditoría” como sinónimo de que, en dicha
entidad, antes de realizarse la auditoría, ya se habían detectado fallas.

El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza con
el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor,
que se refiere a todo aquel que tiene la virtud de oír.
Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas
colegiado. En un principio esta definición carece de la explicación del objetivo fundamental
que persigue todo auditor: evaluar la eficiencia y eficacia.
Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de contadores nos
dice: “ La auditoría no es una actividad meramente mecánica que implique la aplicación de
ciertos procedimientos cuyos resultados, una vez llevado a cabo son de carácter indudable.”
De todo esto sacamos como deducción que la auditoría es un examen crítico pero no
mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el
fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo.
Los principales objetivos que constituyen a la auditoría Informática son el control de la
función informática, el análisis de la eficiencia de los Sis temas Informáticos que comporta,
la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la
revisión de la eficaz gestión de los recursos materiales y humanos informáticos.

J Juan Hernández M 42
Notas para Auditoria de Sistemas

El auditor informático ha de velar por la correcta utilización de los amplios recursos que
la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información.
Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la
empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital
son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la
informática para gestionar sus “negocios” de forma rápida y eficiente con el fin de obtener
beneficios económicos y de costes.
Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados,
Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al control
correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta
herramienta se puede deducir de varios aspectos. He aquí algunos:
• Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos
apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este
caso interviene la Auditoría Informática de Seguridad.
• Las computadoras creadas para procesar y difundir resultados o información elaborada
pueden producir resultados o información errónea si dichos datos son, a su vez,
erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que
terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus
Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte
a Aplicaciones independientes. En este caso interviene la Auditoría Informática de
Datos.
• Un Sistema Informático mal diseñado puede convertirse en una herramienta harto
peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes
recibidas y la modelización de la empresa está determinada por las computadoras que
materializan los Sistemas de Información, la gestión y la organización de la empresa no
puede depender de un Software y Hardware mal diseñados.

Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema
Informático, por eso, la necesidad de la Auditoría de Sistemas.

Auditoría:

La auditoría nace como un órgano de control de algunas instituciones estatales y privadas.


Su función inicial es estrictamente económico-financiero, y los casos inmediatos se
encuentran en las peritaciones judiciales y las contrataciones de contables expertos por
parte de Bancos Oficiales.
La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni
son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones
pertinentes. La auditoría contiene elementos de análisis, de verificación y de exposición de
debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción para
eliminar las disfunciones y debilidades antedichas; estas sugerencias plasmadas en el
Informe final reciben el nombre de Recomendaciones.

J Juan Hernández M 43
Notas para Auditoria de Sistemas

Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con
la psicología del auditado, ya que es un informático y tiene la necesidad de realizar sus
tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en
ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran
complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen
disponer para realizar su tarea.
Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de
cuestionario. Dichos cuestionarios, llamados Check List, son guardados celosamente por
las empresas auditoras, ya que son activos importantes de su actividad. Las Check List
tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y
mal recitadas se pueden llegar a obtener resultados distintos a los esperados por la empresa
auditora. La Check List puede llegar a explicar cómo ocurren los hechos pero no por qué
ocurren. El cuestionario debe estar subordinado a la regla, a la norma, al método. Sólo una
metodología precisa puede desentrañar las causas por las cuales se realizan actividades
teóricamente inadecuadas o se omiten otras correctas.
El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones
incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.

Auditoría Interna y Auditoría Externa:


La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la
empresa auditada. Los empleados que realizan esta tarea son remunerados
económicamente. La auditoría interna existe por expresa decisión de la Emp resa, o sea, que
puede optar por su disolución en cualquier momento.
Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada;
es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna,
debido al mayor distanciamiento entre auditores y auditados.
La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes
respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías
convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente
realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los
auditados conocen estos planes y se habitúan a las Auditorías, especialmente cuando las
consecuencias de las Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informática escuchan, orientan e informan sobre las
posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto,
Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La
empresa necesita controlar su Informática y ésta necesita que su propia gestión esté
sometida a los mismos Procedimientos y estándares que el resto de aquella. La conjunción
de ambas necesidades cristaliza en la figura del auditor interno informático.
En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría
propia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser que
algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoría
Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su
propio grupo de Control Interno, con implantación física en su estructura, puesto que si se
ubicase dentro de la estructura Informática ya no sería independiente. Hoy, ya existen
varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de
autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de
las Empresas.

J Juan Hernández M 44
Notas para Auditoria de Sistemas

Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones
contratar servicios de auditoría externa. Las razones para hacerlo suelen ser:
• Necesidad de auditar una materia de gran especialización, para la cua l los servicios
propios no están suficientemente capacitados.
• Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos
de emisión interna de graves recomendaciones que chocan con la opinión
generalizada de la propia empresa.
• Servir como mecanismo protector de posibles auditorías informáticas externas
decretadas por la misma empresa.
• Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue
siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías
externas como para tener una visión desde afuera de la empresa.

La auditoría informática, tanto externa como interna, debe ser una actividad exenta de
cualquier contenido o matiz “político” ajeno a la propia estrategia y política general de la
empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a
instancias de parte, esto es, por encargo de la dirección o cliente.

Alcance de la Auditoría Informática:


El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la
auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar
expresamente en el Informe Final, de modo que quede perfectamente determinado no
solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido
omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad
exhaustivo*? ¿Se comprobará que los controles de validación de errores son adecuados y
suficientes*? La indefinición de los alcances de la auditoría compromete el éxito de la
misma.

*Control de integridad de registros:


Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no
tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo
tanto, la aplicación no funcionaría como debería.
*Control de validación de errores:
Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.

Características de la Auditoría Informática:

La información de la empresa y para la empresa, siempre importante, se ha convertido en


un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de
realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión
Informática.
Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular:
a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la
auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de
Sistemas.

J Juan Hernández M 45
Notas para Auditoria de Sistemas

Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna


forma su función: se está en el campo de la Auditoría de Organización Informática.
Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una
auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de
Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de
ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna
mezcla de ellas.

Síntomas de Necesidad de una Auditoría Informática:

Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles
de debilidad. Estos síntomas pueden agruparse en clases:
• Síntomas de descoordinacion y desorganización:
- No coinciden los objetivos de la Informática de la Compañía y de la propia
Compañía.
- Los estándares de productividad se desvían sensiblemente de los promedios
conseguidos habitualmente.
[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida
de alguna área o en la modificación de alguna Norma importante]
• Síntomas de mala imagen e insatisfacción de los usuarios:
1. - No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de
Software en los terminales de usuario, resfrecamiento de paneles, variación de los
ficheros que deben ponerse diariamente a su disposición, etc.
- No se reparan las averías de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que está abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos.
Pequeñas desviaciones pueden causar importantes desajustes en la actividad del
usuario, en especial en los resultados de Aplicaciones críticas y sensibles.
• Síntomas de debilidades económico- financiero:
2. - Incremento desmesurado de costes.
- Necesidad de justificación de Inversiones Informáticas (la empresa no está
absolutamente conve ncida de tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
3. - Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a
Desarrollo de Proyectos y al órgano que realizó la petición).
• Síntomas de Inseguridad: Evaluación de nivel de riesgos
4. - Seguridad Lógica
5. - Seguridad Física
6. - Confidencialidad
7. [Los datos son propiedad inicialmente de la organización que los genera. Los datos
de personal son especialmente confidenciales]

J Juan Hernández M 46
Notas para Auditoria de Sistemas

8. - Continuidad del Servicio. Es un concepto aún más importante que la Seguridad.


Establece las estrategias de continuidad entre fallos mediante Planes de
Contingencia* Totales y Locales.
9. - Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse,
sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el
síntoma debe ser sustituido por el mínimo indicio.

*Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en
otro lugar? Lo que generalmente se pide es que se hagan Backups de la información
diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de
ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz,
teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le
proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la
inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir
operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o
el tiempo que estipule la empresa, y después se van reciclando.

Tipos y clases de Auditorías:

El departamento de Informática posee una actividad proyectada al exterior, al usuario,


aunque el “exterior” siga siendo la misma empresa. He aquí, la Auditoría Informática de
Usuario. Se hace esta distinción para contraponerla a la informática interna, en donde se
hace la informática cotidiana y real. En consecuencia, existe una Auditoría Informática de
Actividades Internas.
El control del funcionamiento del departamento de informática con el exterior, con el
usuario se realiza por medio de la Dirección. Su figura es importante, en tanto en cuanto es
capaz de interpretar las necesidades de la Compañía. Una informática eficiente y eficaz
requiere el apoyo continuado de su Dirección frente al “exterior”. Revisar estas
interrelaciones constituye el objeto de la Auditoría Informática de Dirección. Estas tres
auditorías, mas la auditoría de Seguridad, son las cuatro Areas Generales de la Auditoría
Informática más importantes.

J Juan Hernández M 47
Notas para Auditoria de Sistemas

Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría


Informática: de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de
Proyectos. Estas son las Areas Especificas de la Auditoría Informática más importantes.

Areas
Específicas Areas Generales
Interna Dirección Usuario Seguridad
Explotación
Desarrollo
Sistemas

Comunicacio nes

Seguridad

Cada Area Especifica puede ser auditada desde los siguientes criterios generales:
• Desde su propio funcionamiento interno.
• Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de
cumplimiento de las directrices de ésta.
• Desde la perspectiva de los usuarios, destinatarios reales de la informática.
• Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama
auditada.
Estas combinaciones pueden ser ampliadas y reducidas según las características de la
empresa auditada.

Objetivo fundamental de la auditoría informática: Operatividad

La operatividad es una función de mínimos consistente en que la organización y las


maquinas funcionen, siquiera mínimamente. No es admisible detener la maquinaria
informática para descubrir sus fallos y comenzar de nuevo. La auditoría debe iniciar su
actividad cuando los Sistemas están operativos, es el principal objetivo el de mantener tal
situación. Tal objetivo debe conseguirse tanto a nivel global como parcial.
La operatividad de los Sistemas ha de constituir entonces la principal preocupación del
auditor informático. Para conseguirla hay que acudir a la realización de Controles Técnicos
Generales de Operatividad y Controles Técnicos Específicos de Operatividad, previos a
cualquier actividad de aquel.
• Los Controles Técnicos Generales son los que se realizan para verificar la
compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software de
base con todos los subsistemas existentes, así como la compatibilidad del Hardware y
del Software instalados. Estos controles son importantes en las instalaciones que
cuentan con varios competidores, debido a que la profusión de entornos de trabajo muy
diferenciados obliga a la contratación de diversos productos de Software básico, con el

J Juan Hernández M 48
Notas para Auditoria de Sistemas

consiguiente riesgo de abonar más de una vez el mismo producto o desaprovechar parte
del Software abonado. Puede ocurrir también con los productos de Software básico
desarrolla-dos por el personal de Sistemas Interno, sobre todo cuando los diversos
equipos están ubicados en Centros de Proceso de Datos geográficamente alejados. Lo
negativo de esta situación es que puede producir la inoperatividad del conjunto. Cada
Centro de Proceso de Datos tal vez sea operativo trabajando independientemente, pero
no será posible la interconexión e intercomunicación de todos los Centros de Proceso de
Datos si no existen productos comunes y compatibles.
• Los Controles Técnicos Específicos, de modo menos acusado, son igualmente
necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede
encontrar mal son parámetros de asignación automática de espacio en disco* que
dificulten o impidan su utilización posterior por una Sección distinta de la que lo
generó. También, los periodos de retención de ficheros comunes a varias Aplicaciones
pueden estar definidos con distintos plazos en cada una de ellas, de modo que la pérdida
de información es un hecho que podrá producirse con facilidad, quedando inoperativa la
explotación de alguna de las Aplicaciones mencionadas.

*Parámetros de asignación automática de espacio en disco:


Todas las Aplicaciones que se desarrollan son super-parametrizadas , es decir, que tienen
un montón de parámetros que permiten configurar cual va a ser el comportamiento del
Sistema. Una Aplicación va a usar para tal y tal cosa cierta cantidad de espacio en disco. Si
uno no analizó cual es la operatoria y el tiempo que le va a llevar ocupar el espacio
asignado, y se pone un valor muy chico, puede ocurrir que un día la Aplicación reviente, se
caiga. Si esto sucede en medio de la operatoria y la Aplicación se cae, el volver a
levantarla, con la nueva asignación de espacio, si hay que hacer reconversiones o lo que
sea, puede llegar a demandar muchísimo tiempo, lo que significa un riesgo enorme.

Revisión de Controles de la Gestión Informática:

Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditoría


es la verificación de la observancia de las normas teóricamente existentes en el
departamento de Informática y su coherencia con las del resto de la empresa. Para ello,
habrán de revisarse sucesivamente y en este orden:
1. Las Normas Generales de la Instalación Informática. Se realizará una revisión inicial
sin estudiar a fondo las contradicciones que pudieran existir, pero registrando las áreas
que carezcan de normativa, y sobre todo verificando que esta Normativa General
Informática no está en contradicción con alguna Norma General no informática de la
empresa.
2. Los Procedimientos Generales Informáticos. Se verificará su existencia, al menos en los
sectores más importantes. Por ejemplo, la recepción definitiva de las máquinas debería
estar firmada por los responsables de Explotación. Tampoco el alta de una nueva
Aplicación podría producirse si no existieran los Procedimientos de Backup y
Recuperación correspondientes.
3. Los Procedimientos Específicos Informáticos. Igualmente, se revisara su existencia en
las áreas fundamentales. Así, Explotación no debería explotar una Aplicació n sin haber
exigido a Desarrollo la pertinente documentación. Del mismo modo, deberá
comprobarse que los Procedimientos Específicos no se opongan a los Procedimientos

J Juan Hernández M 49
Notas para Auditoria de Sistemas

Generales. En todos los casos anteriores, a su vez, deberá verificarse que no existe
contradicción alguna con la Normativa y los Procedimientos Generales de la propia
empresa, a los que la Informática debe estar sometida.

Auditoría Informática de Explotación:

La Explotación Informática se ocupa de producir resultados informáticos de todo tipo:


listados impresos, ficheros soportados magnéticamente para otros informáticos, ordenes
automatizadas para lanzar o modificar procesos industriales, etc. La explotación
informática se puede considerar como una fabrica con ciertas peculiaridades que la
distinguen de las reales. Para realizar la Explotación Informática se dispone de una materia
prima, los Datos, que es necesario transformar, y que se someten previamente a controles
de integridad y calidad. La transformación se realiza por medio del Proceso informático, el
cual está gobernado por programas. Obtenido el producto final, los resultados son
sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente, al usuario.
Auditar Explotación consiste en auditar las secciones que la componen y sus
interrelaciones. La Explotación Informática se divide en tres grandes áreas: Planificación,
Producción y Soporte Técnico, en la que cada cual tiene varios grupos.

Control de Entrada de Datos:


Se analizará la captura de la información en soporte compatible con los Sistemas, el
cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta
transmisión de datos entre entornos diferentes. Se verificará que los controles de integridad
y calidad de datos se realizan de acuerdo a Norma.

Planificación y Recepción de Aplicaciones:


Se auditarán las normas de entrega de Aplicaciones por parte de Desarrollo, verificando
su cumplimiento y su calidad de interlocutor único. Deberán realizarse muestreos selectivos
de la Documentación de las Aplicaciones explotadas. Se inquirirá sobre la anticipación de
contactos con Desarrollo para la planificación a medio y largo plazo.

Centro de Control y Seguimiento de Trabajos:


Se analizará cómo se prepara, se lanza y se sigue la producción diaria. Básicamente, la
explotación Informática ejecuta procesos por cadenas o lotes sucesivos (Batch*), o en
tiempo real (Tiempo Real*). Mientras que las Aplicaciones de Teleproceso están
permanentemente activas y la función de Explotación se limita a vigilar y recuperar
incidencias, el trabajo Batch absorbe una buena parte de los efectivos de Explotación. En
muchos Centros de Proceso de Datos, éste órgano recibe el nombre de Centro de Control de
Batch. Este grupo determina el éxito de la explotación, en cuanto que es uno de los
factores más importantes en el mantenimiento de la producción.

*Batch y Tiempo Real:


Las Aplicaciones que son Batch son Aplicaciones que cargan mucha información durante
el día y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la
información, calcular cosas y obtener como salida, por ejemplo, reportes. O sea, recolecta

J Juan Hernández M 50
Notas para Auditoria de Sistemas

información durante el día, pero todavía no procesa nada. Es solamente un tema de “Data
Entry” que recolecta información, corre el proceso Batch (por lotes), y calcula todo lo
necesario para arrancar al día siguiente.
Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la
información correspondiente, inmediatamente procesan y devuelven un resultado. Son
Sistemas que tienen que responder en Tiempo Real.

Operación. Salas de Ordenadores:


Se intentarán analizar las relaciones personales y la coherencia de cargos y salarios, así
como la equidad en la asignación de turnos de trabajo. Se verificará la existencia de un
responsable de Sala en cada turno de trabajo. Se analizará el grado de automatización de
comandos, se verificara la existencia y grado de uso de los Manuales de Operación. Se
analizará no solo la existencia de planes de formación, sino el cumplimiento de los mismos
y el tiempo transcurrido para cada Operador desde el último Curso recibido. Se estudiarán
los montajes diarios y por horas de cintas o cartuchos, así como los tiempos transcurridos
entre la petición de montaje por parte del Sistema hasta el montaje real. Se verificarán las
líneas de papel impresas diarias y por horas, así como la manipulación de papel que
comportan.

Centro de Control de Red y Centro de Diagnosis:


El Centro de Control de Red suele ubicarse en el área de producción de Explotación. Sus
funciones se refieren exclusivamente al ámbito de las Comunicaciones, estando muy
relacionado con la organización de Software de Comunicaciones de Técnicas de Sistemas.
Debe analizarse la fluidez de esa relación y el grado de coordinación entre ambos. Se
verificará la existencia de un punto focal único, desde el cual sean perceptibles todos las
líneas asociadas al Sistema. El Centro de Diagnosis es el ente en donde se atienden las
llamadas de los usuarios-clientes que han sufrido averías o incidencias, tanto de Software
como de Hardware. El Centro de Diagnosis está especialmente indicado para informáticos
grandes y con usuarios dispersos en un amplio territorio. Es uno de los elementos que más
contribuyen a configurar la imagen de la Informática de la empresa. Debe ser auditada
desde esta perspectiva, desde la sensibilidad del usuario sobre el servicio que se le dispone.
No basta con comprobar la eficiencia técnica del Centro, es necesario analizarlo
simultáneamente en el ámbito de Usuario.

Auditoría Informática de Desarrollo de Proyectos o Aplicaciones:

La función de Desarrollo es una evolución del llamado Análisis y Programación de


Sistemas y Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores
informatizables tiene la empresa. Muy escuetamente, una Aplicación recorre las siguientes
fases:
• Prerequisitos del Usuario (único o plural) y del entorno
• Análisis funcional
• Diseño
• Análisis orgánico (Preprogramacion y Programación)

J Juan Hernández M 51
Notas para Auditoria de Sistemas

• Pruebas
• Entrega a Explotación y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso contrario, además del
disparo de los costes, podrá producirse la insatisfacción del usuario. Finalmente, la
auditoría deberá comprobar la seguridad de los programas en el sentido de garantizar que
los ejecutados por la maquina sean exactamente los previstos y no otros.
Una auditoría de Aplicaciones pasa indefectiblemente por la observación y el análisis de
cuatro consideraciones:
1. Revisión de las metodologías utilizadas: Se analizaran éstas, de modo que se asegure la
modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil
mantenimiento de las mismas.
2. Control Interno de las Aplicaciones: se deberán revisar las mismas fases que
presuntamente ha n debido seguir el área correspondiente de Desarrollo:
• Estudio de Vialidad de la Aplicación. [importante para Aplicaciones largas,
complejas y caras]
• Definición Lógica de la Aplicación. [se analizará que se han observado los
postulados lógicos de actuación, en función de la metodología elegida y la finalidad
que persigue el proyecto]
• Desarrollo Técnico de la Aplicación. [Se verificará que éste es ordenado y correcto.
Las herramientas técnicas utilizadas en los diversos programas deberán ser
compatibles]
• Diseño de Programas. [deberán poseer la máxima sencillez, modularidad y
economía de recursos]
• Métodos de Pruebas. [ Se realizarán de acuerdo a las Normas de la Instalación. Se
utilizarán juegos de ensayo de datos, sin que sea permisible el uso de datos reales]
• Documentación. [cumplirá la Normativa establecida en la Instalación, tanto la de
Desarrollo como la de entrega de Aplicaciones a Explotación]
• Equipo de Programación. [Deben fijarse las tareas de análisis puro, de programación
y las intermedias. En Aplicaciones complejas se producirían variaciones en la
composición del grupo, pero estos deberán estar previstos]
3. Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien desarrollada,
deberá considerarse fracasada si no sirve a los intereses del usuario que la solicitó. La
aquiescencia del usuario proporciona grandes ventajas posteriores, ya que evitará
reprogramaciones y disminuirá el mantenimiento de la Aplicación.
4. Control de Procesos y Ejecuciones de Programas Críticos: El auditor no debe descartar
la posibili-dad de que se esté ejecutando un módulo que no se corresponde con el
programa fuente que desarrolló, codificó y probó el área de Desarrollo de Aplicaciones.
Se ha de comprobar la correspondencia biunívoca y exclusiva entre el programa
codificado y su compilación. Si los programas fuente y los programa módulo no
coincidieran podríase provocar, desde errores de bulto que producirían graves y altos
costes de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje
industrial- informativo, etc. Por ende, hay normas muy rígidas en cuanto a las Librerías
de programas; aquellos programas fuente que hayan sido dados por bueno por
Desarrollo, son entregados a Explotación con el fin de que éste:

J Juan Hernández M 52
Notas para Auditoria de Sistemas

1. Copie el programa fuente en la Librería de Fuentes de Explotación, a la


que nadie más tiene acceso
2. Compile y monte ese programa, depositándolo en la Librería de Módulos
de Explo-tación, a la que nadie más tiene acceso.
3. Copie los programas fuente que les sean solicitados para modificarlos,
arreglarlos, etc. en el lugar que se le indique. Cualquier cambio exigirá
pasar nuevamente por el punto 1.

Como este sistema para auditar y dar el alta a una nueva Aplicación es bastante ardua y
compleja, hoy (algunas empresas lo usarán, otras no) se utiliza un sistema llamado U.A.T
(User Acceptance Test). Este consiste en que el futuro usuario de esta Aplicación use la
Aplicación como si la estuviera usando en Producción para que detecte o se denoten por sí
solos los errores de la misma. Estos defectos que se encuentran se van corrigiendo a medida
que se va haciendo el U.A.T. Una vez que se consigue el U.A.T., el usuario tiene que dar el
Sign Off (“Esto está bien”). Todo este testeo, auditoría lo tiene que controlar, tiene que
evaluar que el testeo sea correcto, que exista un plan de testeo, que esté involucrado tanto el
cliente como el desarrollador y que estos defectos se corrijan. Auditoría tiene que
corroborar que el U.A.T. prueba todo y que el Sign Off del usuario sea un Sign Off por
todo.

Auditoría Informática de Sistemas:

Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus
facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las
Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado,
aunque formen parte del entorno general de Sistemas.
Sistemas Operativos:
Engloba los Subsistemas de Teleproceso, Entrada/Salída, etc. Debe verificarse en primer
lugar que los Sistemas están actualizados con las últimas versiones del fabricante,
indagando las causas de las omisiones si las hubiera. El análisis de las versiones de los
Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros
productos de Software Básico adquiridos por la instalación y determinadas versiones de
aquellas. Deben revisarse los parámetros variables de las Librerías más importantes de los
Sistemas, por si difieren de los valores habituales aconsejados por el constructor.
Software Básico:
Es fundamental para el auditor conocer los productos de software básico que han sido
facturados aparte de la propia computadora. Esto, por razones económicas y por razones de
comprobación de que la computadora podría funcionar sin el producto adquirido por el
cliente. En cuanto al Software desarrollado por el personal informático de la empresa, el
auditor debe verificar que éste no agreda ni condiciona al Sistema. Igualmente, debe
considerar el esfuerzo realizado en términos de costes, por si hubiera alternativas más
económicas.
Software de Teleproceso (Tiempo Real):
No se incluye en Software Básico por su especialidad e importancia. Las consideraciones
anteriores son válidas para éste también.
Tunning:

J Juan Hernández M 53
Notas para Auditoria de Sistemas

Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del


comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning
deben diferenciarse de los controles habituales que realiza el personal de Técnica de
Sistemas. El tunning posee una naturaleza más revisora, estableciéndose previamente
planes y programas de actuación según los síntomas observados. Se pueden realizar:
• Cuando existe sospecha de deterioro del comportamiento
parcial o general del Sistema
• De modo sistemático y periódico, por ejemplo cada 6 meses.
En este caso sus acciones son repetitivas y están planificados y
organizados de antemano.

El auditor deberá conocer el número de Tunning realizados en el último año, así como sus
resultados. Deberá analizar los modelos de carga utilizados y los niveles e índices de
confianza de las observacio- nes.
Optimización de los Sistemas y Subsistemas:
Técnica de Sistemas debe realizar acciones permanentes de optimización como
consecuencia de la realización de tunnings preprogramados o específicos. El auditor
verificará que las acciones de optimización* fueron efectivas y no comprometieron la
Operatividad de los Sistemas ni el plan crítico de producción diaria de Explotación.

*Optimización:
Por ejemplo: cuando se instala una Aplicación, normalmente está vacía, no tiene nada
cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicación
se va poniendo cada vez más lenta; porque todas las referencias a tablas es cada vez más
grande, la información que está moviendo es cada vez mayor, entonces la Aplicación se
tiende a poner lenta. Lo que se tiene que hacer es un análisis de performance, para luego
optimizarla, mejorar el rendimiento de dicha Aplicación.

Administración de Base de Datos:


El diseño de las Bases de Datos, sean relaciones o jerárquicas, se ha convertido en una
actividad muy compleja y sofisticada, por lo general desarrollada en el ámbito de Técnica
de Sistemas, y de acuerdo con las áreas de Desarrollo y usuarios de la empresa. Al conocer
el diseño y arquitectura de éstas por parte de Sistemas, se les encomienda también su
administración. Los auditores de Sistemas han observado algunas disfunciones derivadas de
la relativamente escasa experiencia que Técnica de Sistemas tiene sobre la problemática
general de los usuarios de Bases de Datos.
La administración tendría que estar a cargo de Explotación. El auditor de Base de Datos
debería asegurarse que Explotación conoce suficientemente las que son accedidas por los
Procedimientos que ella ejecuta. Analizará los Sistemas de salvaguarda existentes, que
competen igualmente a Explotación. Revisará finalmente la integridad y consistencia de los
datos, así como la ausencia de redundancias entre ellos.
Investigación y Desarrollo:
Como empresas que utilizan y necesitan de informáticas desarrolladas, saben que sus
propios efectivos están desarrollando Aplicaciones y utilidades que, concebidas

J Juan Hernández M 54
Notas para Auditoria de Sistemas

inicialmente para su uso interno, pueden ser susceptibles de adquisición por otras empresas,
haciendo competencia a las Compañías del ramo. La auditoría informática deberá cuidar de
que la actividad de Investigación y Desarrollo no interfiera ni dificulte las tareas
fundamentales internas.
<La propia existencia de aplicativos para la obtención de estadísticas desarrollados por los
técnicos de Sistemas de la emp resa auditada, y su calidad, proporcionan al auditor experto
una visión bastante exacta de la eficiencia y estado de desarrollo de los Sistemas>

Auditoría Informática de Comunicaciones y Redes:

Para el informático y para el auditor informático, el ent ramado conceptual que


constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc.
no son sino el soporte físico- lógico del Tiempo Real. El auditor tropieza con la dificultad
técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está
condicionado a la participación del monopolio telefónico que presta el soporte. Como en
otros casos, la auditoría de este sector requiere un equipo de especialis-tas, expertos
simultáneamente en Comunicaciones y en Redes Locales (no hay que olvidarse que en
entornos geográficos reducidos, algunas empresas optan por el uso interno de Redes
Locales, diseñadas y cableadas con recursos propios).
El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas
contratadas con información abundante sobre tiempos de desuso. Deberá proveerse de la
topología de la Red de Comunicaciones, actualizada, ya que la desactualizacion de esta
documentación significaría una grave debilidad. La inexistencia de datos sobre la cuantas
líneas existen, cómo son y donde están instaladas, supondría que se bordea la
Inoperatividad Informática. Sin embargo, las debilidades más frecuentes o importantes se
encuentran en las disfunciones organizativas. La contratación e instalación de líneas va
asociada a la instalación de los Puestos de Trabajo correspondientes (Pantallas, Servidores
de Redes Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas
estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola
organización.

Auditoría de la Seguridad informática:

La computadora es un instrumento que estructura gran cantidad de información, la cual


puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada
o divulgada a personas que hagan mal uso de esta. También puede ocurrir robos, fraudes o
sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta
información puede ser de suma importancia, y el no tenerla en el momento preciso puede
provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado otro factor
que hay que considerar: el llamado “virus” de las computadoras, el cual, aunque tiene
diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin
autorización (“piratas”) y borra toda la información que se tiene en un disco. Al auditar los
sistemas se debe tener cuidado que no se tengan copias “piratas” o bien que, al conectarnos

J Juan Hernández M 55
Notas para Auditoria de Sistemas

en red con otras computadoras, no exista la posibilidad de transmisión del virus. El uso
inadecuado de la computadora comienza desde la utilización de tiempo de máquina para
usos ajenos de la organización, la copia de programas para fines de comercialización sin
reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de
modificar la información con propósitos fraudulentos.
La seguridad en la informática abarca los conceptos de seguridad física y seguridad
lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de
datos, así como a la de los edificios e instalaciones que los albergan. Contempla las
situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.
La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los
datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios
a la información.
Un método eficaz para proteger sistemas de computación es el software de control de
acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no
autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a
información confidencial. Dichos paquetes han sido populares desde hace muchos años en
el mundo de las computadoras grandes, y los principales proveedores ponen a disposición
de clientes algunos de estos paquetes.

Ejemplo: Existe una Aplicación de Seguridad que se llama SEOS, para Unix, que lo que
hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a
archivos, accesos a directorios, que usuario lo hizo, si tenía o no tenía permiso, si no tenía
permiso porque falló, entrada de usuarios a cada uno de los servidores, fecha y hora,
accesos con password equivocada, cambios de password, etc. La Aplicación lo puede
graficar, tirar en números, puede hacer reportes, etc.

La seguridad informática se la puede dividir como Area General y como Area Especifica
(seguridad de Explotación, seguridad de las Ap licaciones, etc.). Así, se podrán efectuar
auditorías de la Seguridad Global de una Instalación Informática –Seguridad General- y
auditorías de la Seguridad de un área informática determinada – Seguridad Especifica -.
Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han
ido originando acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y
conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo
de productos de Seguridad lógica y la utilización de sofisticados medios criptograficos.

El sistema integral de seguridad debe comprender:

• Elementos administrativos

• Definición de una política de seguridad


• Organización y división de responsabilidades
• Seguridad física y contra catástrofes(incendio, terremotos, etc.)

J Juan Hernández M 56
Notas para Auditoria de Sistemas

• Prácticas de seguridad del personal


• Elementos técnicos y procedimientos
• Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto
redes como terminales.
• Aplicación de los sistemas de seguridad, incluyendo datos y archivos
• El papel de los auditores, tanto internos como externos
• Planeación de programas de desastre y su prueba.

La decisión de abordar una Auditoría Informática de Seguridad Global en una empresa, se


fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida. Se
elaboran “matrices de riesgo”, en donde se consideran los factores de las “Amenazas” a las
que está sometida una instalación y los “Impactos” que aquellas puedan causar cuando se
presentan. Las matrices de riesgo se representan en cuadros de doble entrada <<Amenaza-
Impacto>>, en donde se evalúan las probabilidades de ocurrencia de los elementos de la
matriz.

Ejemplo:
Impacto Amenaza
1: Improbable
Error Incendio Sabotaje …….. 2: Probable
Destrucción - 1 1 3: Certeza
de Hardware -: Despreciable
Borrado de 3 1 1
Información
El cuadro muestra que si por error codificamos un parámetro que ordene el borrado de un
fichero, éste se borrará con certeza.

El caso de los Bancos en la República Argentina:


En la Argentina, el Banco Central (BCRA) les realiza una Auditoría de Seguridad de
Sistemas a todos los Bancos, minoritarios y mayoristas. El Banco que es auditado le
prepara a los auditores del BCRA un “demo” para que estos vean cual es el flujo de
información dentro del Banco y que Aplicaciones están involucradas con ésta. Si los
auditores detectan algún problema o alguna cosa que según sus normas no está bien, y en
base a eso, emiten un informe que va, tanto a la empresa, como al mercado. Este,
principalmente, es uno de los puntos básicos donde se analiza el riesgo de un banco, más
allá de cómo se maneja. Cada Banco tiene cierto riesgo dentro del mercado; por un lado,

J Juan Hernández M 57
Notas para Auditoria de Sistemas

está dado por como se mueve éste dentro del mercado (inversiones, réditos, etc.) y por otro
lado, el como funcionan sus Sistemas. Por esto, todos los Bancos tienen auditoría interna y
auditoría externa; y se los audita muy frecuentemente.
(Ver Anexo de las normas del Banco Central sobre la Seguridad de los Sistemas de
Información)

Herramientas y Técnicas para la Auditoría Informática:

Cuestionarios:
Las auditorías informáticas se materializan recabando información y documentación de
todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar
las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del
auditor consiste en lograr toda la información necesaria para la emisión de un juicio global
objetivo, siempre amparado en hechos demostrables, llamados también evidencias.
Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de cuestionarios
preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que
sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a
auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.
Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis
determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de
ambos tipos de información es una de las bases fundamentales de la auditoría.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido
por otro medios la información que aquellos preimpresos hubieran proporcionado.

Entrevistas:
El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de
tres formas:
1. Mediante la petición de documentación concreta sobre alguna materia de su
responsabilidad.
2. Mediante “entrevistas” en las que no se sigue un plan predeterminado ni un método
estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de
antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del auditor; en ellas,
éste recoge más información, y mejor matizada, que la proporcionada por medios propios
puramente técnicos o por las respuestas escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se
basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor,
interroga y se interroga a sí mismo. El auditor informático experto entrevista al auditado
siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma
de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y
con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta

J Juan Hernández M 58
Notas para Auditoria de Sistemas

sencillez es solo aparente. Tras ella debe existir una preparación muy elaborada y
sistematizada, y que es diferente para cada caso particular.

Checklist:
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en
función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus
cuestionarios son vitales para el trabajo de análisis, cruza miento y síntesis posterior, lo cual
no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no
conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas “normales”,
que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus
Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una
pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor
informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El
profesionalismo pasa por un procesamiento interno de información a fin de obtener
respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El
profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse
flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las
Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a
cualquier otra forma.
Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde
posiciones muy distintas y con disposición muy variable. El auditado, habitualmente
informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos
del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción
configura el principio de autoridad y prestigio que el auditor debe poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas,
coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su
formulación. Las empresas externas de Auditoría Informática guardan sus Checklists, pero
de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que
la función auditora se ejerce sobre bases de autoridad, prestigio y ética.
El auditor deberá aplicar la Checklist de modo que el auditado responda clara y
escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en
que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se hará
necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y en
cualquier caso, se deberá evitar absolutame nte la presión sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a
las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este
modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá
analizar los matices de las respuestas y reelaborar preguntas complementarias cuando
hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe
percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas
imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará
cuestionarios en su presencia.

J Juan Hernández M 59
Notas para Auditoria de Sistemas

Los cuestionarios o Checklists responden fundamentalmente a dos tipos de “filosofía” de


calificación o evaluación:

a) Checklist de rango
Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por
ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo)

Ejemplo de Checklist de rango:


Se supone que se está realizando una auditoría sobre la seguridad física de una instalación
y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de
Cálculo. Podrían formularse las preguntas que figuran a continuación, en donde las
respuestas tiene los siguientes significados:
1 : Muy deficiente.
2 : Deficiente.
3 : Mejorable.
4 : Aceptable.
5 : Correcto.

Se figuran posibles respuestas de lo s auditados. Las preguntas deben sucederse sin que
parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un
pequeño guión. La cumplimentación de la Checklist no debe realizarse en presencia del
auditado.

-¿Existe personal específico de vigilancia externa al edificio?


-No, solamente un guarda por la noche que atiende además otra instalación adyacente.
<Puntuación: 1>
-Para la vigilancia interna del edificio, ¿Hay al menos un vigilante por turno en los aledaños
del Centro de Cálculo?
-Si, pero sube a las otras 4 plantas cuando se le necesita.
<Puntuación: 2>
-¿Hay salida de emergencia además de la habilitada para la entrada y salida de máquinas?
-Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.
<Puntuación: 2>
-El personal de Comunicaciones, ¿Puede entrar directamente en la Sala de Computadoras?
-No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente mas que por causa
muy justificada, y avisando casi siempre al Jefe de Explotación.
<Puntua ción: 4>

El resultado sería el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25 Deficiente.

b) Checklist Binaria
Es la constituida por preguntas con respuesta única y excluyente: Si o No. Aritmeticamente,
equivalen a 1(uno) o 0(cero), respectivamente.

Ejemplo de Checklist Binaria:

J Juan Hernández M 60
Notas para Auditoria de Sistemas

Se supone que se está realizando una Revisión de los métodos de pruebas de programas en
el ámbito de Desarrollo de Proyectos.

-¿Existe Normativa de que el usuario final compruebe los resultados finales de los
programas?
<Puntuación: 1>
-¿Conoce el personal de Desarrollo la existencia de la anterior normativa?
<Puntuación: 1>
-¿Se aplica dicha norma en todos los casos?
<Puntuación: 0>

-¿Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia
de Bases de Datos reales?
<Puntuacion: 0>

Obsérvese como en este caso están contestadas las siguientes preguntas:


-¿Se conoce la norma anterior?
<Puntuación: 0>
-¿Se aplica en todos los casos?
<Puntuación: 0>

Las Checklists de rango son adecuadas si el equipo auditor no es muy grande y mantiene
criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la
evaluación que en la checklist binaria. Sin embargo, la bondad del método depende
excesivamente de la formación y competencia del equipo auditor.
Las Checklists Binarias siguen una elaboración inicial mucho más ardua y compleja.
Deben ser de gran precisión, como corresponde a la suma precisión de la respuesta. Una
vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el
inconveniente genérico del <si o no> frente a la mayor riqueza del intervalo.
No existen Checklists estándar para todas y cada una de las instalaciones informáticas a
auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de
adaptación correspondientes en las preguntas a realizar.

Trazas y/o Huellas:


Con frecuencia, el auditor informático debe verificar que los programas, tanto de los
Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para
ello se apoya en productos Software muy potentes y modulares que, entre otras funciones,
rastrean los caminos que siguen los datos a través del programa.
Muy especialmente, estas “Trazas” se utilizan para comprobar la ejecución de las
validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el
Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá
de antemano las fechas y horas más adecuadas para su empleo.
Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean productos
que comprueban los valores asignados por Técnica de Sistemas a cada uno de los
parámetros variables de las Librerías más importantes del mismo. Estos parámetros
variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo,
algunas instalaciones descompensan el número de iniciadores de trabajos de determinados

J Juan Hernández M 61
Notas para Auditoria de Sistemas

entornos o toman criterios especialmente restrictivos o permisivos en la asignación de


unidades de servicio para según cuales tipos carga. Estas actuaciones, en principio útiles,
pueden resultar contraproducentes si se traspasan los límites.
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripción de la
auditoría informática de Sistemas: el auditor informático emplea preferentemente la amplia
información que proporciona el propio Sistema: Así, los ficheros de <Accounting> o de
<contabilidad>, en donde se encuentra la producción completa de aquél, y los <Log*> de
dicho Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la
actividad general.
Del mismo modo, el Sistema genera automáticamente exacta información sobre el
tratamiento de errores de maquina central, periféricos, etc.
[La auditoría financiero-contable convencional emplea trazas con mucha frecuencia. Son
programas encaminados a verificar lo correcto de los cálculos de nóminas, primas, etc.].

*Log:
El log vendría a ser un historial que informa que fue cambiando y cómo fue cambiando
(información). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se
llaman las transacciones. Las transacciones son unidades atómicas de cambios dentro de
una base de datos; toda esa serie de cambios se encuadra dentro de una transacción, y todo
lo que va haciendo la Aplicación (grabar, modificar, borrar) dentro de esa transacción,
queda grabado en el log. La transacción tiene un principio y un fin, cuando la transacción
llega a su fin, se vuelca todo a la base de datos. Si en el medio de la transacción se cortó por
x razón, lo que se hace es volver para atrás. El log te permite analizar cronológicamente que
es lo que sucedió con la información que está en el Sistema o que existe dentro de la base
de datos.

Software de Interrogación:
Hasta hace ya algunos años se han utilizado productos software llamados genéricamente
<paquetes de auditoría>, capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informático.
Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos
que permitieran la obtención de consecuencias e hipótesis de la situación real de una
instalación.
En la actualidad, los productos Software especiales para la auditoría informática se orientan
principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos
de la empresa auditada. Estos productos son utilizados solamente por los auditores
externos, por cuanto los internos disponen del software nativo propio de la instalación.
Del mismo modo, la proliferación de las redes locales y de la filosofía “Cliente-Servidor”,
han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre
computadoras personales y mainframe, de modo que el auditor informático copia en su
propia PC la información más relevante para su trabajo.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e
información parcial generada por la organización informática de la Compañía.
Efectivamente, conectados como terminales al “Host”, almacenan los datos
proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve
obligado (naturalmente, dependiendo del alcance de la auditoría) a recabar información de
los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los

J Juan Hernández M 62
Notas para Auditoria de Sistemas

polivalentes productos descritos. Con todo, las opiniones más autorizadas indican que el
trabajo de campo del auditor informático debe realizarse principalmente con los productos
del cliente.
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente
determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en
el manejo de Procesadores de Texto, paquetes de Gráficos, Hojas de Cálculo, etc.

Metodología de Trabajo de Auditoría Informática

El método de trabajo del auditor pasa por las siguientes etapas:

• Alcance y Objetivos de la Auditoría Informática.


• Estudio inicial del entorno auditable.
• Determinación de los recursos necesarios para realizar la auditoría.
• Elaboración del plan y de los Programas de Trabajo.
• Actividades propiamente dichas de la auditoría.
• Confección y redacción del Informe Final.
• Redacción de la Carta de Introducción o Carta de Presentación del Informe final.

Definición de Alcance y Objetivos

El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy
preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a
auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las
excepciones de alcance de la auditoría, es decir cuales materias, funciones u organizaciones
no van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.
Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los
objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del
cliente, de forma que las metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los objetivos
generales y comunes de a toda auditoría Informática: La operatividad de los Sistemas y los
Controles Generales de Gestión Informática.

Estudio Inicial

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la


informática.
Para su realización el auditor debe conocer lo siguiente:

Organización:

J Juan Hernández M 63
Notas para Auditoria de Sistemas

10. Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién
ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en:
11.
1) Organigrama:
El organigrama expresa la estructura oficial de la organización a auditar.
Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de
manifiesto tal circunstancia.

2) Departamentos:
Se entiende como departamento a los órganos que siguen inmediatamente a la
Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos.

3) Relaciones Jerárquicas y funcionales entre órganos de la Organización:


El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas
previstas por el organigrama, o por el contrario detectará, por ejemplo, si algún
empleado tiene dos jefes.
Las de Jerarquía implican la correspondiente subordinación. Las funcionales por el
contrario, indican relaciones no estrictamente subordinables.

4) Flujos de Información:
12. Además de las corrientes verticales intradepartamentales, la estructura organizativa
cualquiera que sea, produce corrientes de información horizontales y oblicuas
extradepartamentales.
Los flujos de información entre los grupos de una organización son necesarios para su
eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio
organigrama.
En ocasiones, las organizaciones crean espontáneamente canales alternativos de
información, sin los cuales las funciones no podrían ejercerse con eficacia; estos
canales alternativos se producen porque hay pequeños o grandes fallos en la estructura
y en el organigrama que los representa.
Otras veces, la aparición de flujos de información no previstos obedece a afinidades
personales o simple comodidad. Estos flujos de información son indeseables y
producen graves perturbaciones en la organización.

13. Número de Puestos de trabajo


14. El equipo auditor comprobará que los nombres de los Puesto de los Puestos de
Trabajo de la organización corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica
la existencia de funciones operativas redundantes.
Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a
conocer tal circunstancia y expresarán el número de puestos de trabajo verdaderamente
diferentes.

15. Número de personas por Puesto de Trabajo

J Juan Hernández M 64
Notas para Auditoria de Sistemas

16. Es un parámetro que los auditores informáticos deben considerar. La inadecuación


del personal determina que el número de personas que realizan las mismas
funciones rara vez coincida con la estructura oficial de la organización.

Entorno Operacional
17. El equipo de auditoría informática debe poseer una adecuada referencia del
entorno en el que va a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los siguientes
extremos:

a) Situación geográfica de los Sistema s:


Se determinará la ubicación geográfica de los distintos Centros de Proceso de
Datos en la empresa. A continuación, se verificará la existencia de responsables en
cada unos de ellos, así como el uso de los mismos estándares de trabajo.

b) Arquitectura y configuración de Hardware y Software:


Cuando existen varios equipos, es fundamental la configuración elegida para cada
uno de ellos, ya que los mismos deben constituir un sistema compatible e
intercomunicado. La configuración de los sistemas esta muy ligada a las políticas
de seguridad lógica de las compañías.
Los auditores, en su estudio inicial, deben tener en su poder la distribución e
interconexión de los equipos.

c) Inventario de Hardware y Software:


El auditor recabará información escrita, en donde figuren todos los elementos
físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs,
unidades de control local y remotas, periféricos de todo tipo, etc.
El inventario de software debe contener todos los productos lógicos del Sistema,
desde el software básico hasta los programas de utilidad adquiridos o desarrollados
internamente. Suele ser habitual clasificarlos en facturables y no facturables.

18. d) Comunicación y Redes de Comunicación:


En el estudio inicial los auditores dispondrán del número, situación y
características principales de las líneas, así como de los accesos a la red pública de
comunicaciones.
Igualmente, poseerán información de las Redes Locales de la Empresa.

Aplicaciones bases de datos y ficheros


19. El estudio inicial que han de realizar los auditores se cierra y culmina con una idea
general de los procesos informáticos realizados en la empresa auditada. Para ello
deberán conocer lo siguiente:

d) Volumen, antigüedad y complejidad de las Aplicaciones

e) Metodología del Diseño

J Juan Hernández M 65
Notas para Auditoria de Sistemas

Se clasificará globalmente la existencia total o parcial de metodología en el


desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se
pondrá de manifiesto.

f) Documentación
La existencia de una adecuada documentación de las aplicaciones proporciona
beneficios tangibles e inmediatos muy importantes.
La documentación de programas disminuye gravemente el mantenimiento de los
mismos.

g) Cantidad y complejidad de Bases de Datos y Ficheros.


El auditor recabará información de tamaño y características de las Bases de Datos,
clasificándolas en relación y jerarquías. Hallará un promedio de número de
accesos a ellas por hora o días. Esta operación se repetirá con los ficheros, así
como la frecuencia de actualizaciones de los mismos.
Estos datos proporcionan una visión aceptable de las características de la carga
informática.

Determinación de recursos de la auditoría Informática


Mediante los resultados del estudio inicial realizado se procede a determinar los recursos
humanos y materiales que han de emplearse en la auditoría.

Recursos materiales
20. Es muy importante su determinación, por cuanto la mayoría de ellos son
proporcionados por el cliente. Las herramientas software propias del equipo van a
utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo
posible las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:

h) Recursos materiales Software


Programas propios de la auditoria: Son muy potentes y Flexibles. Habitua lmente
se añaden a las ejecuciones de los procesos del cliente para verificarlos.
Monitores: Se utilizan en función del grado de desarrollo observado en la
actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los
datos ya existentes.

i) Recursos materiales Hardware


Los recursos hardware que el auditor necesita son proporcionados por el cliente.
Los procesos de control deben efectuarse necesariamente en las Computadoras del
auditado.
Para lo cuál habrá de convenir, tiempo de maquina, espacio de disco, impresoras
ocupadas, etc.

Recursos Humanos

J Juan Hernández M 66
Notas para Auditoria de Sistemas

La cantidad de recursos depende del volumen auditable. Las características y perfiles del
personal seleccionado depende de la materia auditable.
Es igualmente reseñable que la auditoría en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia multidisciplinaria.

Perfiles Porfesionales de los auditores informáticos

Profesión Actividades y conocimientos deseables


Informático Generalista Con experiencia amplia en ramas distintas.
Deseable que su labor se haya desarrollado en
Explotación y en Desarrollo de Proyectos.
Conocedor de Sistemas.
Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos.
Experto analista. Conocedor de las metodologías de
Desarrollo más importantes.
Técnico de Sistemas Experto en Sistemas Operativos y Software Básico.
Conocedor de los productos equivalentes en el
mercado. Amplios conocimientos de Explotación.
Experto en Bases de Datos y Con experiencia en el mantenimiento de Bases de
Administración de las mismas. Datos. Conocimiento de productos compatibles y
equivalentes. Buenos conocimientos de explotación
Experto en Software de Alta especialización dentro de la técnica de
Comunicación sistemas. Conocimientos profundos de redes. Muy
experto en Subsistemas de teleproceso.

Experto en Explotación y Gestión Responsable de algún Centro de Cálculo. Amplia


de CPD´S experiencia en Automatización de trabajos. Experto
en relaciones humanas. Buenos conocimientos de
los sistemas.
Técnico de Organización Experto organizador y coordinador. Especialista en
el análisis de flujos de información.
Técnico de evaluación de Costes Economista con conocimiento de Informática.
Gestión de costes.

Elaboración del Plan y de los programas de trabajo

Una vez asignados los recursos, el responsable de la auditoría y sus colaboradores


establecen un plan de trabajo. Decidido éste, se procede a la programación del mismo.
El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:

J Juan Hernández M 67
Notas para Auditoria de Sistemas

a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso,
la elaboración es más compleja y costosa.

b) Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no


solamente el número de auditores necesarios, sino las especialidades necesarias del
personal.

• En el plan no se consideran calendarios, porque se manejan recursos genéricos y no


específicos.
• En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios.
• En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con
las prioridades del cliente.
• El Plan establece disponibilidad futura de los recursos durante la revisión.
• El Plan estructura las tareas a realizar por cada integrante del grupo.
• En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.

Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo


suficientemente como para permitir modificaciones a lo largo del proyecto.

Actividades de la Auditoría Informática

Auditoría por temas generales o por áreas específicas:


La auditoría Informática general se realiza por áreas generales o por áreas específicas. Si
se examina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo
total y mayores recursos.
Cuando la auditoría se realiza por áreas específicas, se abarcan de una vez todas las
peculiaridades que afectan a la misma, de forma que el resultado se obtiene más
rápidamente y con menor calidad.

Técnicas de Trabajo:

- Análisis de la información recabada del auditado.


- Análisis de la información propia.
- Cruzamiento de las informaciones anteriores.
- Entrevistas.
- Simulación.
- Muestreos.

Herramientas:

- Cuestionario general inicial.


- Cuestionario Checklist.
- Estándares.
- Monitores.

J Juan Hernández M 68
Notas para Auditoria de Sistemas

- Simuladores (Generadores de datos).


- Paquetes de auditoría (Generadores de Programas).
- Matrices de riesgo.

Informe Final

La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la


elaboración final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos al
informe final, los que son elementos de contraste entre opinión entre auditor y auditado
y que pueden descubrir fallos de apreciación en el auditor.

Estructura del informe final:


El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción
del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las
personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de
trabajo que ostente.

Definición de objetivos y alcance de la auditoría.

Enumeración de temas considerados:


Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible
todos los temas objeto de la auditoría.

Cuerpo expositivo:
Para cada tema, se seguirá el siguiente orden a saber:

a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no


solamente una situación sino además su evolución en el tiempo, se expondrá la
situación prevista y la situación real
b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias
futuras.
c) Puntos débiles y amenazas.
d) Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos
débiles, el verdadero objetivo de la auditoría informática.
e) Redacción posterior de la Carta de Introducción o Presentación.

Modelo conceptual de la exposición del informe final:


El informe debe incluir solamente hechos importantes.

J Juan Hernández M 69
Notas para Auditoria de Sistemas

La inclusión de hechos poco relevantes o accesorios desvía la atención del lector.


El Informe debe consolidar los hechos que se describen en el mismo.
El término de “hechos consolidados” adquiere un especial significado de verificación
objetiva y de estar documentalmente probados y soportados. La consolidación de los
hechos debe satisfacer, al menos los siguientes criterios:
1. El hecho debe poder ser sometido a cambios.
2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la
situación.
3. No deben existir alternativas viables que superen al cambio propuesto.
4. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y
estándares existentes en la instalación.

La aparición de un hecho en un informe de auditoría implica necesariamente la existencia


de una debilidad que ha de ser corregida.

Flujo del hecho o debilidad:


21. 1 – Hecho encontrado.
- Ha de ser relevante para el auditor y pera el cliente.
- Ha de ser exacto, y además convincente.
- No deben existir hechos repetidos.

2 – Consecuencias del hecho


- Las consecuencias deben redactarse de modo que sean directamente deducibles
del hecho.

3 – Repercusión del hecho


- Se redactará las influencias directas que el hecho pueda tener sobre otros
aspectos informáticos u otros ámbitos de la empresa.

4 – Conclusión del hecho


- No deben redactarse conclusiones más que en los casos en que la exposición
haya sido muy extensa o compleja.

5 – Recomendación del auditor informático


- Deberá entenderse por sí sola, por simple lectura.
- Deberá estar suficientemente soportada en el propio texto.
- Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementación.
- La recomendación se redactará de forma que vaya dirigida expresamente a la
persona o personas que puedan implementarla.

Carta de introducción o presentación del informe final:


La carta de introducción tiene especial importancia porque en ella ha de resumirse la
auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la
persona concreta que encargo o contrato la auditoría.

J Juan Hernández M 70
Notas para Auditoria de Sistemas

Así como pueden existir tantas copias del informe Final como solicite el cliente, la
auditoría no hará copias de la citada carta de Introducción.
La carta de introducción poseerá los siguientes atributos:
- Tendrá como máximo 4 folios.
- Incluirá fecha, naturaleza, objetivos y alcance.
- Cuantificará la importancia de las áreas analizadas.
- Proporcionará una conclusión general, concretando las áreas de gran debilidad.
- Presentará las debilidades en orden de importancia y gravedad.
- En la carta de Introducción no se escribirán nunca recomendaciones.

CRMR (Computer resource management review)

Definición de la metodología CRMR:

CRMR son las siglas de <<Computer resource management review>>; su traducción más
adecuada, Evaluación de la gestión de recursos informáticos. En cualquier caso, esta
terminología quiere destacar la posibilidad de realizar una evaluación de eficiencia de
utilización de los recursos por medio del management.
Una revisión de esta naturaleza no tiene en sí misma el grado de profundidad de una
auditoría informática global, pero proporciona soluciones más rápidas a problemas
concretos y notorios.

Supuestos de aplicación:

En función de la definición dada, la metodología abreviada CRMR es aplicable más a


deficiencias organizativas y gerenciales que a problemas de tipo técnico, pero no cubre
cualquier área de un Centro de Procesos de Datos.
El método CRMR puede aplicarse cuando se producen algunas de las situaciones que se
citan:
• Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.
• Los resultados del Centro de Procesos de Datos no están a disposición de los usuarios
en el momento oportuno.
• Se genera con alguna frecuencia información errónea por fallos de datos o proceso.
• Existen sobrecargas frecuentes de capacidad de proceso.
• Existen costes excesivos de proceso en el Centro de Proceso de Datos.
Efectivamente, son éstas y no otras las situaciones que el auditor informático enc uentra
con mayor frecuencia. Aunque pueden existir factores técnicos que causen las debilidades
descritas, hay que convenir en la mayor incidencia de fallos de gestión.

Areas de aplicación:

Las áreas en que el método CRMR puede ser aplicado se corresponden con las sujetas a
las condiciones de aplicación señaladas en punto anterior:
• Gestión de Datos.
• Control de Operaciones.

J Juan Hernández M 71
Notas para Auditoria de Sistemas

• Control y utilización de recursos materiales y humanos.


• Interfaces y relaciones con usuarios.
• Planificación.
• Organización y administración.
Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisición de
nuevos equipos (Capacity Planning) o para revisar muy a fondo los caminos críticos o las
holguras de un Proyecto complejo.

Objetivos:

CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los
procedimientos y métodos de gestión que se observan en un Centro de Proceso de Datos.
Las Recomendaciones que se emitan como resultado de la aplicación del CRMR, tendrán
como finalidad algunas de las que se relacionan:
• Identificar y fijas responsabilidades.
• Mejorar la flexibilidad de realización de actividades.
• Aumentar la productividad.
• Disminuir costes
• Mejorar los métodos y procedimientos de Dirección.

Alcance:

Se fijarán los límites que abarcará el CRMR, antes de comenzar el trabajo.


Se establecen tres clases:
1. Reducido. El resultado consiste en señalar las áreas de actuación con potencialidad
inmediata de obtención de beneficios.
2. Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal y
como se hace en la auditoría informática ordinaria.
3. Amplio. El CRMR incluye Planes de Acción, aportando técnicas de implementación de
las Recomendaciones, a la par que desarrolla las conclusiones.

Información necesaria para la evaluación del CRMR:

Se determinan en este punto los requisitos necesarios para que esta simbiosis de auditoría
y consultoría pueda llevarse a cabo con éxito.
1. El trabajo de campo del CRMR ha de realizarse completamente integrado en la
estructura del Centro de Proceso de Datos del cliente, y con los recursos de éste.
2. Se deberá cumplir un detallado programa de trabajo por tareas.
3. El auditor-consultor recabará determinada información necesaria del cliente.

Se tratan a continuación los tres requisitos expuestos:

1. Integración del auditor en el Centro de Procesos de Datos a revisar

J Juan Hernández M 72
Notas para Auditoria de Sistemas

No debe olvidarse que se están evaluando actividades desde el punto de vista gerencial.
El contacto permanente del auditor con el trabajo ordinario del Centro de Proceso de Datos
permite a aquél determinar el tipo de esquema organizativo que se sigue.

2. Programa de trabajo clasificado por tareas


Todo trabajo habrá de ser descompuesto en tareas. Cada una de ellas se someterá a la
siguiente sistemática:
• Identificación de la tarea.
• Descripción de la tarea.
• Descripción de la función de dirección cuando la tarea se realiza incorrectamente.
• Descripción de ventajas, sugerencias y beneficios que puede originar un cambio o
modificación de tarea
• Test para la evaluación de la práctica directiva en relación con la tarea.
• Posibilidades de agrupación de tareas.
• Ajustes en función de las peculiaridades de un departamento concreto.
• Registro de resultados, conclusiones y Recomendaciones.

3. Información necesaria para la realización del CRMR


El cliente es el que facilita la información que el auditor contrastará con su trabajo de
campo.
Se exhibe a continuación una Checklist completa de los datos necesarios para confeccionar
el CRMR:
• Datos de mantenimiento preventivo de Hardware.
• Informes de anomalías de los Sistemas.
• Procedimientos estándar de actualización.
• Procedimientos de emergencia.
• Monitarización de los Sistemas.
• Informes del rendimiento de los Sistemas.
• Mantenimiento de las Librerías de Programas.
• Gestión de Espacio en disco.
• Documentación de entrega de Aplicaciones a Explotación.
• Documentación de alta de cadenas en Explotación.
• Utilización de CPU, canales y discos.
• Datos de paginación de los Sistemas.
• Volumen total y libre de almacenamiento.
• Ocupación media de disco.
• Manuales de Procedimientos de Explotación.
Esta información cubre ampliamente el espectro del CRMR y permite ejercer el
seguimiento de las Recomendaciones realizadas.

Caso Práctico de una Auditoría de Seguridad Informática <<Ciclo de Seguridad>>

A continuación, un caso de auditoría de área general para proporcionar una visión más
desarrollada y amplia de la función auditora.

J Juan Hernández M 73
Notas para Auditoria de Sistemas

Es una auditoría de Seguridad Informática que tiene como misión revisar tanto la seguridad
física del Centro de Proceso de Datos en su sentido más amplio, como la seguridad lógica
de datos, procesos y funciones informáticas más importantes de aquél.

Ciclo de Seguridad

El objetivo de esta auditoría de seguridad es revisar la situación y las cuotas de eficiencia


de la misma en los órganos más importantes de la estructura informática.
Para ello, se fijan los supuestos de partida:
El área auditada es la Seguridad. El área a auditar se divide en: Segmentos.
Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
De este modo la auditoría se realizara en 3 niveles.
Los segmentos a auditar, son:

- Segmento 1: Seguridad de cumplimiento de normas y estándares.


- Segmento 2: Seguridad de Sistema Operativo.
- Segmento 3: Seguridad de Software.
- Segmento 4: Seguridad de Comunicaciones.
- Segmento 5: Seguridad de Base de Datos.
- Segmento 6: Seguridad de Proceso.
- Segmento 7: Seguridad de Aplicaciones.
- Segmento 8: Seguridad Física.

Se darán los resultados globales de todos los segmentos y se realizará un tratamiento


exhaustivo del Segmento 8, a nivel de sección y subsección.

Conceptualmente la auditoria informática en general y la de Seguridad en particular, ha de


desarrollarse en seis fases bien diferenciadas:

Fase 0. Causas de la realización del ciclo de seguridad.


Fase 1. Estrategia y logís tica del ciclo de seguridad.
Fase 2. Ponderación de sectores del ciclo de seguridad.
Fase 3. Operativa del ciclo de seguridad.
Fase 4. Cálculos y resultados del ciclo de seguridad.
Fase 5. Confección del informe del ciclo de seguridad.

A su vez, las actividades auditoras se realizan en el orden siguiente:


0. Comienzo del proyecto de Auditoría Informática.
1. Asignación del equipo auditor.
2. Asignación del equipo interlocutor del cliente.
3. Cumplimentación de formularios globales y parciales por parte del cliente.
4. Asignación de pesos técnicos por parte del equipo auditor.
5. Asignación de pesos políticos por parte del cliente.
6. Asignación de pesos finales a segmentos y secciones.

J Juan Hernández M 74
Notas para Auditoria de Sistemas

7. Preparación y confirmación de entrevistas.


8. Entrevistas, confrontaciones y análisis y repaso de documentación.
9. Calculo y ponderación de subsecciones, secciones y segmentos.
10. Identificación de áreas mejorables.
11. Elección de las áreas de actuación prioritaria.
12. Preparación de recomendaciones y borrador de informe
13. Discusión de borrador con cliente.
14. Entrega del informe.

Causas de realización de una Auditoría de Seguridad

Esta constituye la FASE 0 de la auditoría y el orden 0 de actividades de la misma.


El equipo auditor debe conocer las razones por las cuales el cliente desea realizar el Ciclo
de Seguridad. Puede haber muchas causas: Reglas internas del cliente, incrementos no
previstos de costes, obligaciones legales, situación de ineficiencia global notoria, etc.
De esta manera el auditor conocerá el entorno inicial. Así, el equipo auditor elaborará el
Plan de Trabajo.

Estrategia y logística del ciclo de Seguridad

Constituye la FASE 1 del ciclo de seguridad y se desarrolla en las actividades 1, 2 y 3:


Fase 1. Estrategia y logística del ciclo de seguridad
1. Designación del equipo auditor.
2. Asignación de interlocutores, validadores y decisores del cliente.
3. Cumplimentación de un formulario general por parte del cliente, para la
realización del estudio inicial.
Con las razones por las cuales va a ser realizada la auditoría (Fase 0), el equipo auditor
diseña el proyecto de Ciclo de Seguridad con arreglo a una estrategia definida en función
del volumen y complejidad del trabajo a realizar, que constituye la Fase 1 del punto
anterior.
Para desarrollar la estrategia, el equipo auditor necesita recursos materiales y humanos. La
adecuación de estos se realiza mediante un desarrollo logístico, en el que los mismos deben
ser determinados con exactitud. La cantidad, calidad, coordinación y distribución de los
mencionados recursos, determina a su vez la eficiencia y la economía del Proyecto.

Los planes del equipo auditor se desarrolla de la siguiente manera:

1. Eligiendo el responsable de la auditoria su propio equipo de trabajo. Este ha de ser


heterogéneo en cuanto a especialidad, pero compacto.
2. Recabando de la empresa auditada los nombres de las personas de la misma que han de
relacionarse con los auditores, para las peticiones de información, coordinación de
entrevistas, etc.
3. Mediante un estudio inicial, del cual forma parte el análisis de un formulario
exhaustivo, también inicial, que los auditores entregan al cliente para su
cumplimentación.

J Juan Hernández M 75
Notas para Auditoria de Sistemas

Según los planes marcados, el equipo auditor, cumplidos los requisitos 1, 2 y 3, estará en
disposición de comenzar la “tarea de campo”, la operativa auditora del Ciclo de Seguridad.

Ponderación de los Sectores Auditados

Este constituye la Fase 2 del Proyecto y engloba las siguientes actividades:


FASE 2. Ponderación de sectores del ciclo de seguridad.
4. Asignación de pesos técnicos. Se entienden por tales las ponderaciones que el
equipo auditor hace de los segmentos y secciones, en función de su
importancia.
5. Asignación de pesos políticos. Son las mismas ponderaciones anteriores, pero
evaluadas por el cliente.
6. Asignación de pesos finales a los Segmentos y Secciones. El peso final es el
promedio del peso técnico y del peso político. La Subsecciones se calculan pero
no se ponderan.
22.
Se pondera la importancia relativa de la seguridad en los diversos sectores de la
organización informática auditada.
Las asignaciones de pesos a Secciones y Segmentos del área de seguridad que se audita,
se realizan del siguiente modo:

Pesos técnicos

Son los coeficientes que el equipo auditor asigna a los Segmentos y a las Secciones.

Pesos políticos

Son los coeficientes o pesos que el cliente concede a cada Segmento y a cada Sección del
Ciclo de Seguridad.

J Juan Hernández M 76
Notas para Auditoria de Sistemas

Ciclo de Seguridad. Suma Pesos Segmentos = 100

(con independencia del número de segmentos consideradas)

Segmentos Pesos Técnicos Pesos Políticos Pesos Finales

Seg1. Normas y 12 8 10
Estándares

Seg2. Sistema Operativo 10 10 10

Seg3. Software Básico 10 14 12

Seg4. Comunicaciones 12 12 12

Seg5. Bases de Datos 12 12 12

Seg6. Procesos 16 12 14

Seg7. Aplicaciones 16 16 16

Seg8. Seguridad Física 12 16 14

TOTAL 100 100 100

Pesos finales

Son el promedio de los pesos anteriores.


El total de los pesos de los 8 segmentos es 100. Este total de 100 puntos es el que se ha
asignado a la totalidad del área de Seguridad, como podría haberse elegido otro cualquiera.
El total de puntos se mantie ne cualquiera que hubiera sido el número de segmentos. Si
hubieran existido cinco segmentos, en lugar de 8, la suma de los cinco habría de seguir
siendo de 100 puntos.

• Suma Peso Secciones = 20


(con independencia del número de Secciones consideradas)
Secciones Pesos Técnicos Pesos Políticos Pesos Finales

Secc1. Seg. Física de Datos 6 6 6


Secc2. Control de Accesos 5 3 4

J Juan Hernández M 77
Notas para Auditoria de Sistemas

Secc3. Equipos 6 4 5
Secc4. Documentos 2 4 3
Secc5. Suministros 1 3 2
20 20 20
• TOTAL

Puede observarse la diferente apreciación de pesos por parte del cliente y del equipo
auditor. Mientras éstos estiman que las Normas y Estándares y los Procesos son muy
importantes, el cliente no los considera tanto, a la vez que prima, tal vez excesivamente, el
Software Básico.
Del mismo modo, se concede a todos los segmentos el mismo valor total que se desee,
por ejemplo 20, con absoluta independencia del número de Secciones que tenga cada
Segmento. En este caso, se han definido y pesado cinco Secciones del Segmento de
Seguridad Física. Cabe aclarar, solo se desarrolló un solo Segmento a modo de ejemplo.

Operativa del ciclo de Seguridad

Una vez asignados los pesos finales a todos los Segmentos y Secciones, se comienza la
Fase 3, que implica las siguientes actividades:

FASE 3. Operativa del ciclo de seguridad


7. Preparación y confirmación de entrevistas.
8. Entrevistas, pruebas, análisis de la información, cruzamiento y repaso de la
misma.

Las entrevistas deben realizarse con exactitud. El responsable del equipo auditor
designará a un encargado, dependiendo del área de la entrevista. Este, por supuesto, deberá
conocer a fondo la misma.
La realización de entrevistas adecuadas constituye uno de los factores fundamentales del
éxito de la auditoría. La adecuación comienza con la completa cooperación del
entrevistado. Si esta no se produce, el responsable lo hará saber al cliente.
Deben realizarse varias entrevistas del mismo tema, al menos a dos o tres niveles
jerárquicos distintos. El mismo auditor puede, y en ocasiones es conveniente, entrevistar a
la misma persona sobre distintos temas. Las entrevistas deben realizarse de acuerdo con el
plan establecido, aunque se pueden llegar a agregar algunas adicionales y sin planificación.
La entrevista concreta suele abarcar Subsecciones de una misma Sección tal vez una
sección completa. Comenzada la entrevista, el auditor o auditores formularán preguntas
al/los entrevistado/s. Debe identificarse quien ha dicho qué, si son más de una las personas
entrevistadas.
Las Checklist’s son útiles y en muchos casos imprescindibles. Terminadas las entrevistas,
el auditor califica las respuestas del auditado (no debe estar presente) y procede al
levantamiento de la información correspondiente.
Simultáneamente a las entrevistas, el equipo auditor realiza pruebas planeadas y pruebas
sorpresa para verificar y cruzar los datos solicitados y facilitados por el cliente. Estas
pruebas se realizan ejecutando trabajos propios o repitiendo los de aquél, que
indefectiblemente deberán ser similares si se han reproducido las condiciones de carga de

J Juan Hernández M 78
Notas para Auditoria de Sistemas

los Sistemas auditados. Si las pruebas realizadas por el equipo auditor no fueran
consistentes con la información facilitada por el auditado, se deberá recabar nueva
información y reverificar los resultados de las pruebas auditoras.
La evaluación de las Checklists, las pruebas realizadas, la información facilitada por el
cliente y el análisis de todos los datos disponibles, configuran todos los elementos
necesarios para calcular y establecer los resultados de la auditoria, que se materializarán en
el informe final.

A continuación, un ejemplo de auditoría de la Sección de Control de Accesos del Segmento


de Seguridad Física:
Vamos a dividir a la Sección de Control de Accesos en cuatro Subsecciones:
1. Autorizaciones
2. Controles Automáticos
3. Vigilancia
4. Registros
En las siguientes Checklists, las respuestas se calificarán de 1 a 5, siendo1 la más
deficiente y 5 la máxima puntuación.
Control de Accesos: Autorizaciones
Preguntas Respuestas Puntos
¿Existe un único responsable de Si, el Jefe de Explotación, pero el 4
implementar la política de autorizaciones Director puede acceder a la Sala con
de entrada en el Centro de Cálculo? acompañantes sin previo aviso.
¿Existe alguna autorización permanente Una sola. El técnico permanente de la 5
de estancia de personal ajeno a la firma suministradora.
empresa?
¿Quiénes saben cuales son las personas El personal de vigilancia y el Jefe de 5
autorizadas? Explo-tación.
Además de la tarjeta magnética de No, solamente la primera. 4
identifica-ción, ¿hay que pasar otra
especial?
¿Se pregunta a las visitas si piensan No, vale la primera autorización. 3
visitar el Centro de Cálculo?
¿Se preveen las visitas al Centro de No, basta que vayan acompañados por 3
Cálculo con 24 horas al menos? el Jefe de Explotación o Director
TOTAL AUTORIZACIONES 24/30
80%

Control de Accesos: Controles Automáticos


Respuestas Puntos
• Preguntas
¿Cree Ud. que los Controles Automáticos Si, aunque ha de reconocerse que a 3
son adecuados? pie puede llegarse por la noche hasta
el edificio principal.
¿Quedan registradas todas las entradas y No, solamente las del personal ajeno 3
salidas del Centro de Cálculo? a Operación.

J Juan Hernández M 79
Notas para Auditoria de Sistemas

Al final de cada turno, ¿Se controla el Sí, y los vigilantes los reverifican. 5
número de entradas y salidas del personal
de Operación?
¿Puede salirse del Centro de Cálculo sin Si, porque existe otra puerta de 3
tarjeta magnética? emergen-cia que puede abrirse desde
adentro
TOTAL CONTROLES AUTOMATICOS 14/20
70%

Control de Accesos: Vigilancia


Respuestas Puntos
• Preguntas
¿Hay vigilantes las 24 horas? Sí. 5
¿Existen circuitos cerrados de TV Sí. 5
exteriores?
Identificadas las visitas, ¿Se les acompaña No. 2
hasta la persona que desean ver?
¿Conocen los vigilantes los terminales que No, sería muy complicado. 2
deben quedar encendidos por la noche?
TOTAL VIGILANCIA 14/20
70%

Control de Accesos: Registros


Preguntas Respuestas Puntos
¿Existe una adecuada política de registros? No, reconocemos que casi nunca, 1
pero hasta ahora no ha habido
necesidad.
¿Se ha registrado alguna vez a una Nunca. 1
persona?
¿Se abren todos los paquetes dirigidos a Casi nunca. 1
personas concretas y no a Informática?
¿Hay un cuarto para abrir los paquetes? Si, pero no se usa siempre. 3
TOTAL REGISTROS 6/20
30%

Cálculos y Resultados del Ciclo de Seguridad

FASE 4. Cálculos y resultados del ciclo de seguridad


9. Cálculo y ponderación de Secciones y Segmentos. Las Subsecciones no se
ponderan, solo se calculan.
10. Identificación de materias mejorables.
11. Priorización de mejoras.

J Juan Hernández M 80
Notas para Auditoria de Sistemas

En el punto anterior se han realizado las entrevistas y se han puntuado las respuestas de
toda la auditoría de Seguridad.
El trabajo de levantamiento de información está concluido y contrastado con las pruebas.
A partir de ese momento, el equipo auditor tiene en su poder todos los datos necesarios para
elaborar el informe final. Solo faltaría calcular el porcentaje de bondad de cada área; éste se
obtiene calculando el sumatorio de las respuestas obtenidas, recordando que deben
afectarse a sus pesos correspondientes.
Una vez realizado los cálculos, se ordenaran y clasificaran los resultados obtenidos por
materias mejorables, estableciendo prioridades de actuación para lograrlas.

Cálculo del ejemplo de las Subsecciones de la Sección de Control de Accesos:


Autorizaciones 80%
Controles Automáticos 70%
Vigilancia 70%
Registros 30%
Promedio de Control de Accesos 62,5%

Cabe recordar, que dentro del Segmento de Seguridad Física, la Sección de Control de
Accesos tiene un peso final de 4.
Prosiguiendo con el ejemplo, se procedió a la evaluación de las otras cuatro Secciones,
obteniéndose los siguientes resultados:

Ciclo de Seguridad: Segmento 8, Seguridad Física.


Peso Puntos
• Secciones
Sección 1. Datos 6 57,5%
Sección 2. Control de Accesos 4 62,5%
Sección 3. Equipos (Centro de Cálculo) 5 70%
Sección 4. Documentos 3 52,5%
Sección 5. Suministros 2 47,2%

Conocidas los promedios y los pesos de las cinco Secciones, se procede a calcular y
ponderar el Segmento 8 de Seguridad Física:

Seg. 8 = PromedioSección1 * peso + PromedioSecc2 * peso + PromSecc3 * peso +


PromSecc4 * peso + PromSecc5 * peso / (peso1 + peso2 + peso3 + peso4 + peso5)
ó
Seg. 8 = (57,5 * 6) + (62,5 * 4) + (70 * 5) + (52,5 * 3) + (47,2 * 2) / 20

Seg. 8 = 59,85%

A continuación, la evaluación final de los demás Segmentos del ciclo de Seguridad:

J Juan Hernández M 81
Notas para Auditoria de Sistemas

• Ciclo de Seguridad. Evaluación y pesos de Segmentos


Pesos Evaluación
• Segmentos
Seg1. Normas y Estándares 10 61%
Seg2. Sistema Operativo 10 90%
Seg3. Software Básico 12 72%
Seg4. Comunicaciones 12 55%
Seg5. Bases de Datos 12 77,5%
Seg6. Procesos 14 51,2%
Seg7. Aplicaciones 16 50,5%
Seg8. Seguridad Física 14 59,8%
Promedio Total Area de Seguridad 100 63,3%

Sistemática seguida para el cálculo y evaluación del Ciclo de Seguridad:

a) Valoración de las respuestas a las preguntas específicas realizadas en las entrevistas y a


los cuestionarios formulados por escrito.
b) Cálculo matemático de todas las subsecciones de cada sección, como media aritmética
(promedio final) de las preguntas específicas. Recuérdese que las subsecciones no se
ponderan.
c) Cálculo matemático de la Sección, como media aritmética (promedio final) de sus
Subsecciones. La Sección calculada tiene su peso correspondiente.
d) Cálculo matemático del Segmento. Cada una de las Secciones que lo componen se
afecta por su peso correspondiente. El resultado es el valor del Segmento, el cual, a su
vez, tiene asignado su peso.
e) Cálculo matemático de la auditoría. Se multiplica cada valor de los Segmentos por sus
pesos correspond ientes, la suma total obtenida se divide por el valor fijo asignado a
priori a la suma de los pesos de los segmentos.

Finalmente, se procede a mostrar las áreas auditadas con gráficos de barras, exponiéndose
primero los Segmentos, luego las Secciones y por último las Subsecciones. En todos los
casos sé referenciarán respecto a tres zonas: roja, amarilla y verde.
La zona roja corresponde a una situación de debilidad que requiere acciones a corto
plazo. Serán las más prioritarias, tanto en la exposición del Informe como en la toma de
medidas para la corrección.
La zona amarilla corresponde a una situación discreta que requiere acciones a medio
plazo, figurando a continuación de las contenidas en la zona roja.
La zona verde requiere solamente alguna acción de mantenimiento a largo plazo.

J Juan Hernández M 82
Normativa
Notas para Auditoria de Sistemas
Sistema Operativo

Software Básico

Comunicaciones

Bases de Datos

Procesos

Aplicaciones

Seguridad Física

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Nula Pobre Insuficiente Sufic Adecuado buen Excel.


. a

Confección del Informe del Ciclo de Seguridad

Fase5. Confección del informe del ciclo de seguridad


1. Preparación de borrador de informe y Recomendaciones.
2. Discusión del borrador con el cliente.
3. Entrega del Informe y Carta de Introducción.

Ha de resaltarse la importancia de la discusión de los borradores parciales con el cliente.


La referencia al cliente debe entenderse como a los responsables directos de los segmentos.
Es de destacar que si hubiese acuerdo, es posible que el auditado redacte un contrainforme
del punto cuestionado. Este acta se incorporará al Informe Final.

Las Recomendaciones del Informe son de tres tipos:


1. Recomendaciones correspondientes a la zona roja. Serán muy detalladas e irán en
primer lugar, con la máxima prioridad. La redacción de las recomendaciones se hará de
modo que sea simple verificar el cumplimiento de la misma por parte del cliente.
2. Recomendaciones correspondientes a la zona amarilla. Son las que deben observarse a
medio plazo, e igualmente irán priorizadas.
3. Recomendaciones correspondientes a la zona verde. Suelen referirse a medidas de
mantenimiento. Pueden ser omitidas. Puede detallarse alguna de este tipo cuando una
acción sencilla y económica pueda originar beneficios importantes.

Empresas que realizan auditorías externas:

J Juan Hernández M 83
Notas para Auditoria de Sistemas

Arthur Andersen:
Tiene 420 oficinas en todo el mundo, casi 40.000 profesionales, y factura alrededor de 2,8
billones de dólares anuales. Invierte 250 millones de dólares por año en educación y
capacitación a medida. Menos del uno por ciento del presupuesto para entrenamiento se
gasta fuera de la organización, aunque la cuota de educación que cada profesional recibe es
prácticamente equivalente a un “master” norteamericano. Se dictan los cursos de la
compañía en el multimillonario Centro para la Capacitación Profesional que Arthur
Andersen posee cerca de Chicago, con capacidad para 1.700 estudiantes con cama y
comida. En la Argentina, como en muchos otros mercados complejos, Arthur Andersen
combina el tradicional papel de auditor con un rol más creativo como consejero, en el cual
la firma ayuda a sus clientes a mejorar sus operaciones a través de la generación de ideas
nuevas y mejoras en sistemas y prácticas comerciales. Este punto de vista en materia
auditora permite que las dos unidades de la firma puedan, en muchos casos, trabajar juntas
en la elaboración de proyectos especiales para empresas/clientes.

Price Waterhouse:
De llegar a fusionarse con la empresa consultora Coopers & Lybrand, tendrían una fuerza
de trabajo de 135.000 personas, 8.500 socios y una facturación anual superior a los 13.000
millones de dólares. Además, el gigante Andersen pasaría a ocupar el segundo lugar en el
ránking de los Seis Grandes Internacionales.

J Juan Hernández M 84
Notas para Auditoria de Sistemas

MANUAL DE AUDITORIA DE
SISTEMAS
La auditoría en informática es la revisión y la evaluación de los controles, sistemas,
procedimientos de informática; de los equipos de cómputo, su utilización, eficie ncia y
seguridad, de la organización que participan en el procesamiento de la información, a fin de
que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente
y segura de la información que servirá para una adecuada toma de decisiones.
La auditoría en informática deberá comprender no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los
sistemas de información en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información.
La auditoría en informática es de vital importancia para el buen desempeño de los sistemas
de información, ya que proporciona los controles necesarios para que los sistemas sean
confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática,
organización de centros de información, hardware y software).

PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie
de pasos previos que permitirán dimensionar el tamaño y características de área dentro del
organismo a auditar, sus sistemas, organización y equipo.
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que
hacerla desde el punto de vista de los dos objetivos:
• Evaluación de los sistemas y procedimientos.
• Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general
sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer
una investigación preliminar y algunas entrevistas previas, con base en esto planear el
programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos
auxiliares a solicitar o formular durante el desarrollo de la misma.

INVESTIGACIÓN PRELIMINAR
Se deberá observar el estado general del área, su situación dentro de la organización, si
existe la información solicitada, si es o no necesaria y la fecha de su última actualización.
Se debe hacer la investigación preliminar solicitando y revisando la información de cada
una de las áreas basándose en los siguientes puntos:
ADMINISTRACIÓN

J Juan Hernández M 85
Notas para Auditoria de Sistemas

Se recopila la información para obtener una visión general del departamento por medio de
observaciones, entrevistas preliminares y solicitud de documentos para poder definir el
objetivo y alcances del departamento.
PARA ANALIZAR Y DIMENSIONAR LA ESTRUCTURA POR AUDITAR SE DEBE
SOLICITAR:
A NIVEL DEL ÁREA DE INFORMÁTICA
Objetivos a corto y largo plazo.
RECURSOS MATERIALES Y TECNICOS
Solicitar documentos sobre los equipos, número de ellos, localización y características.
• Estudios de viabilidad.
• Número de equipos, localización y las características (de los equipos instalados y
por instalar y programados)
• Fechas de instalación de los equipos y planes de instalación.
• Contratos vigentes de compra, renta y servicio de mantenimiento.
• Contratos de seguros.
• Convenios que se tienen con otras instalaciones.
• Configuración de los equipos y capacidades actuales y máximas.
• Planes de expansión.
• Ubicación general de los equipos.
• Políticas de operación.
• Políticas de uso de los equipos.
SISTEMAS
Descripción general de los sistemas instalados y de los que estén por instalarse que
contengan volúmenes de información.
• Manual de formas.
• Manual de procedimientos de los sistemas.
• Descripción genérica.
• Diagramas de entrada, archivos, salida.
• Salidas.
• Fecha de instalación de los sistemas.
• Proyecto de instalación de nuevos sistemas.
En el momento de hacer la planeación de la auditoría o bien su realización, debemos
evaluar que pueden presentarse las siguientes situaciones.
Se solicita la información y se ve que:
• No tiene y se necesita.
• No se tiene y no se necesita.
Se tiene la información pero:
• No se usa.
• Es incompleta.
• No esta actualizada.
• No es la adecuada.
• Se usa, está actualizada, es la adecuada y está completa.
En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es
necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore
de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la

J Juan Hernández M 86
Notas para Auditoria de Sistemas

información pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga
la información, se debe analizar si se usa, si está actualizada, si es la adecuada y si está
completa.
El éxito del análisis crítico depende de las consideraciones siguientes:
• Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la
información sin fundamento)
• Investigar las causas, no los efectos.
• Atender razones, no excusas.
• No confiar en la memoria, preguntar constantemente.
• Criticar objetivamente y a fondo todos los informes y los datos recabados.

PERSONAL PARTICIPANTE
Una de las partes más importantes dentro de la planeación de la auditoría en informática es
el personal que deberá participar y sus características.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el
personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al
cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense
justamente por su trabajo.
Con estas bases se debe considerar las características de conocimientos, práctica
profesional y capacitación que debe tener el personal que intervendrá en la auditoría. En
primer lugar se debe pensar que hay personal asignado por la organización, con el
suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda la
información que se solicite y programar las reuniones y entrevistas requeridas.
Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar
con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a
auditar, sería casi imposible obtener información en el momento y con las características
deseadas.
También se debe contar con personas asignadas por los usuarios para que en el momento
que se solicite información o bien se efectúe alguna entrevista de comprobación de
hipótesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo
multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de
informática, sino también el del usuario del sistema.
Para comple tar el grupo, como colaboradores directos en la realización de la auditoría se
deben tener personas con las siguientes características:
• Técnico en informática.
• Experiencia en el área de informática.
• Experiencia en operación y análisis de sistemas.
• Conocimientos de los sistemas más importantes.
En caso de sistemas complejos se deberá contar con personal con conocimientos y
experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no significa que
una sola persona tenga los conocimientos y experiencias señaladas, pero si deben intervenir
una o varias personas con las características apuntadas.
Una vez que se ha hecho la planeación, se puede utilizar el formato señalado en el anexo 1,
el figura el organismo, las fases y subfases que comprenden la descripción de la actividad,
el número de personas participantes, las fechas estimadas de inicio y terminación, el

J Juan Hernández M 87
Notas para Auditoria de Sistemas

número de días hábiles y el número de días/hombre estimado. El control del avance de la


auditoría lo podemos llevar mediante el anexo 2, el cual nos permite cumplir con los
procedimientos de control y asegurarnos que el trabajo se está llevando a cabo de acuerdo
con el programa de auditoría, con los recursos estimados y en el tiempo señalado en la
planeación.
El hecho de contar con la información del avance nos permite revisar el trabajo elaborado
por cualquiera de los asistentes. Como ejemplo de propuesta de auditoría en informática
véase el anexo 3.

EVALUACIÓN DE SISTEMAS

La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se debe
revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas
aislados. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración
de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de
objetivos.
El plan estratégico deberá establecer los servicios que se presentarán en un futuro
contestando preguntas como las siguientes:
• ¿Cuáles servicios se implementarán?
• ¿Cuándo se pondrán a disposición de los usuarios?
• ¿Qué características tendrán?
• ¿Cuántos recursos se requerirán?
La estrategia de desarrollo deberá establecer las nuevas aplicaciones, recursos y la
arquitectura en que estarán fundamentados:
• ¿Qué aplicaciones serán desarrolladas y cuando?
• ¿Qué tipo de archivos se utilizarán y cuando?
• ¿Qué bases de datos serán utilizarán y cuando?
• ¿Qué lenguajes se utilizarán y en que software?
• ¿Qué tecnología será utilizada y cuando se implementará?
• ¿Cuantos recursos se requerirán aproximadamente?
• ¿Cuál es aproximadamente el monto de la inversión en hardware y software?
En lo referente a la consulta a los usuarios, el plan estratégico debe definir los
requerimientos de información de la dependencia.
• ¿Qué estudios van a ser realizados al respecto?
• ¿Qué metodología se utilizará para dichos estudios?
• ¿Quién administrará y realizará dichos estudios?
En el área de auditoría interna debe evaluarse cuál ha sido la participación del auditor y los
controles establecidos.
Por último, el plan estratégico determina la planeación de los recursos.
• ¿Contempla el plan estratégico las ventajas de la nueva tecnología?
• ¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios?
El proceso de planeación de sistemas deberá asegurarse de que todos los recursos
requeridos estén claramente identificados en el plan de desarrollo de aplicaciones y datos.

J Juan Hernández M 88
Notas para Auditoria de Sistemas

Estos recursos (hardware, software y comunicaciones) deberán ser compatibles con la


arquitectura y la tecnología, conque se cuenta actua lmente.
Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen:
requerimientos del usuario, estudio de factibilidad, diseño general, análisis, diseño lógico,
desarrollo físico, pruebas, implementación, evaluación, modificaciones, instalación,
mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de
factibilidad.
La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si
el sistema es factible de realizarse, cuál es su relación costo/beneficio y si es recomendable
elaborarlo.
Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en
operación, así como los que estén en la fase de análisis para evaluar si se considera la
disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles,
la necesidad de los usuarios, las formas de utilización de los sistemas, el costo y los
beneficios que reportará el sistema, el efecto que producirá en quienes lo usarán y el efecto
que éstos tendrán sobre el sistema y la congruencia de los diferentes sistemas.
En el caso de sistemas que estén funcionando, se deberá comprobar si existe el estudio de
factibilidad con los puntos señalados y compararse con la realidad con lo especificado en el
estudio de factibilidad
Por ejemplo en un sistema que el estudio de factibilidad señaló determinado costo y una
serie de beneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue
su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del
sistema.
Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el
costo de los programas, el uso de los equipos (compilaciones, programas, pruebas,
paralelos), tiempo, personal y operación, cosa que en la práctica son costos directos,
indirectos y de operación.
Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos
de operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor
servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad.

EVALUACIÓN DEL ANÁLISIS

En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para llevar a
cabo el análisis.
Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes
principales:
• La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados
entre sí y no como programas aislados. Las aplicaciones deben comprender todos
los sistemas que puedan ser desarrollados en la dependencia, independientemente de
los recursos que impliquen su desarrollo y justificación en el momento de la
planeación.
• Los requerimientos de los usuarios.
• El inventario de sistemas en proceso al recopilar la información de los cambios que
han sido solicitados, sin importar si se efectuaron o se registraron.

J Juan Hernández M 89
Notas para Auditoria de Sistemas

La situación de una aplicación en dicho inventario puede ser alguna de las siguientes:
• Planeada para ser desarrollada en el futuro.
• En desarrollo.
• En proceso, pero con modificaciones en desarrollo.
• En proceso con problemas detectados.
• En proceso sin problemas.
• En proceso esporádicamente.
Nota: Se deberá documentar detalladamente la fuente que generó la necesidad de la
aplicación. La primera parte será evaluar la forma en que se encuentran especificadas las
políticas, los procedimientos y los estándares de análisis, si es que se cumplen y si son los
adecuados para la dependencia.
Es importante revisar la situación en que se encuentran los manuales de análisis y si están
acordes con las necesidades de la dependencia. En algunas ocasiones se tiene una
microcomputadora, con sistemas sumamente sencillos y se solicita que se lleve a cabo una
serie de análisis que después hay que plasmar en documentos señalados en los estándares,
lo cual hace que esta fase sea muy compleja y costosa. Los sistemas y su documentación
deben estar acordes con las características y necesidades de una dependencia específica.
Se debe evaluar la obtención de datos sobre la operación, flujo, nivel, jerarquía de la
información que se tendrá a través del sistema. Se han de comparar los objetivos de los
sistemas desarrollados con las operaciones actuales, para ver si el estudio de la ejecución
deseada corresponde al actual.
La auditoría en sistemas debe evaluar los documentos y registros usados en la elaboración
del sistema, así como todas las salidas y reportes, la descripción de las actividades de flujo
de la información y de procedimientos, los archivos almacenados, su uso y su relación con
otros archivos y sistemas, su frecuencia de acceso, su conservación, su seguridad y control,
la documentación propuesta, las entradas y salidas del sistema y los documentos fuentes a
usarse.
Con la información obtenida podemos contestar a las siguientes preguntas:
• ¿Se está ejecutando en forma correcta y eficiente el proceso de información?
• ¿Puede ser simplificado para mejorar su aprovechamiento?
• ¿Se debe tener una mayor interacción con otros sistemas?
• ¿Se tiene propuesto un adecuado control y seguridad sobre el sistema?
• ¿Está en el análisis la documentación adecuada?

EVALUACIÓN DEL DISEÑO LÓGICO DEL SISTEMA

En esta etapa se deberán analizar las especificaciones del sistema.


¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el
proceso y salida de reportes?
Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el
usuario en la identificación del nuevo sistema, la participación de auditoría interna en el
diseño de los controles y la determinación de los procedimientos de operación y decisión.
Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente
se está obteniendo en la cual debemos evaluar lo planeado, cómo fue planeado y lo que
realmente se está obteniendo.

J Juan Hernández M 90
Notas para Auditoria de Sistemas

Los puntos a evaluar son:


• Entradas.
• Salidas.
• Procesos.
• Especificaciones de datos.
• Especificaciones de proceso.
• Métodos de acceso.
• Operaciones.
• Manipulación de datos (antes y después del proceso electrónico de datos).
• Proceso lógico necesario para producir informes.
• Identificación de archivos, tamaño de los campos y registros.
• Proceso en línea o lote y su justificación.
• Frecuencia y volúmenes de operación.
• Sistemas de seguridad.
• Sistemas de control.
• Responsables.
• Número de usuarios.
Dentro del estudio de los sistemas en uso se deberá solicitar:
• Manual del usuario.
• Descripción de flujo de información y/o procesos.
• Descripción y distribución de información.
• Manual de formas.
• Manual de reportes.
• Lista de archivos y especificaciones.
Lo que se debe determinar en el sistema:
En el procedimiento:
• ¿Quién hace, cuando y como?
• ¿Qué formas se utilizan en el sistema?
• ¿Son necesarias, se usan, están duplicadas?
• ¿El número de copias es el adecuado?
• ¿Existen puntos de control o faltan?
En la gráfica de flujo de información:
• ¿Es fácil de usar?
• ¿Es lógica?
• ¿Se encontraron lagunas?
• ¿Hay faltas de control?
En el diseño:
• ¿Cómo se usará la herramienta de diseño si existe?
• ¿Qué también se ajusta la herramienta al procedimiento?

EVALUACIÓN DEL DESARROLLO DEL SISTEMA

En esta etapa del sistema se deberán auditar los programas, su diseño, el leguaje utilizado,
interconexión entre los programas y características del hardware empleado (total o parcial)

J Juan Hernández M 91
Notas para Auditoria de Sistemas

para el desarrollo del sistema.Al evaluar un sistema de información se tendrá presente que
todo sistema debe proporcionar información para planear, organizar y controlar de manera
eficaz y oportuna, para reducir la duplicidad de datos y de reportes y obtener una mayor
seguridad en la forma más económica posible. De ese modo contará con los mejores
elementos para una adecuada toma de decisiones.Al tener un proceso distribuido, es preciso
considerar la seguridad del movimiento de la información entre nodos. El proceso de
planeación de sistemas debe definir la red óptima de comunicaciones, los tipos de mensajes
requeridos, el trafico esperado en las líneas de comunicación y otros factores que afectan el
diseño. Es importante considerar las variables que afectan a un sistema: ubicación en los
niveles de la organización, el tamaño y los recursos que utiliza.Las características que
deben evaluarse en los sistemas son:
• Dinámicos (susceptibles de modificarse).
• Estructurados (las interacciones de sus componentes o subsistemas deben actuar
como un todo)
• Integrados (un solo objetivo). En él habrá sistemas que puedan ser interrelacionados
y no programas aislados.
• Accesibles (que estén disponibles).
• Necesarios (que se pruebe su utilización).
• Comprensibles (que contengan todos los atributos).
• Oportunos (que esté la información en el momento que se requiere).
• Funcionales (que proporcionen la información adecuada a cada nivel).
• Estándar (que la información tenga la misma interpretación en los distintos niveles).
• Modulares (facilidad para ser expandidos o reducidos).
• Jerárquicos (por niveles funcionales).
• Seguros (que sólo las personas autorizadas tengan acceso).
• Únicos (que no duplique información).

CONTROL DE PROYECTOS

Debido a las características propias del análisis y la programación, es muy frecuente que la
implantación de los sistemas se retrase y se llegue a suceder que una persona lleva
trabajando varios años dentro de un sistema o bien que se presenten irregularidades en las
que los programadores se ponen a realizar actividades ajenas a la dirección de informática.
Para poder controlar el avance de los sistemas, ya que ésta es una actividad de difícil
evaluación, se recomienda que se utilice la técnica de administración por proyectos para su
adecuado control.
Para tener una buena administración por proyectos se requiere que el analista o el
programador y su jefe inmediato elaboren un plan de trabajo en el cual se especifiquen
actividades, metas, personal participante y tiempos. Este plan debe ser revisado
periódicamente (semanal, mensual, etc.) para evaluar el avance respecto a lo programado.
La estructura estándar de la planeación de proyectos deberá incluir la facilidad de asignar
fechas predefinidas de terminación de cada tarea. Dentro de estas fechas debe estar el
calendario de reuniones de revisión, las cuales tendrán diferentes niveles de detalle.

CUESTIONARIO

J Juan Hernández M 92
Notas para Auditoria de Sistemas

1. ¿Existe una lista de proyectos de sistema de procedimiento de información y fechas


programadas de implantación que puedan ser considerados como plan maestro?
2. ¿Está relacionado el plan maestro con un plan general de desarrollo de la dependencia?
3. ¿Ofrece el plan maestro la atención de solicitudes urgentes de los usuarios?
4. ¿Asigna el plan maestro un porcentaje del tiempo total de producción al reproceso o
fallas de equipo?
5. Escribir la lista de proyectos a corto plazo y largo plazo.
6. Escribir una lista de sistemas en proceso periodicidad y usuarios.
7. ¿Quién autoriza los proyectos?
8. ¿Cómo se asignan los recursos?
9. ¿Cómo se estiman los tiempos de duración?
10. ¿Quién interviene en la planeación de los proyectos?
11. ¿Cómo se calcula el presupuesto del proyecto?
12. ¿Qué técnicas se usan en el control de los proyectos?
13. ¿Quién asigna las prioridades?
14. ¿Cómo se asignan las prioridades?
15. ¿Cómo se controla el avance del proyecto?
16. ¿Con qué periodicidad se revisa el reporte de avance del proyecto?
17. ¿Cómo se estima el rendimiento del personal?
18. ¿Con que frecuencia se estiman los costos del proyecto para compararlo con lo
presupuestado?
19. ¿Qué acciones correctivas se toman en caso de desviaciones?
20. ¿Qué pasos y técnicas siguen en la planeación y control de los proyectos?
Enumérelos secuencialmente.
( ) Determinación de los objetivos.
( ) Señalamiento de las políticas.
( ) Designación del funcionario responsable del proyecto.
( ) Integración del grupo de trabajo.
( ) Integración de un comité de decisiones.
( ) Desarrollo de la investigación.
( ) Documentación de la investigación.
( ) Factibilidad de los sistemas.
( ) Análisis y valuación de propuestas.
( ) Selección de equipos.
21. ¿Se llevan a cabo revisiones periódicas de los sistemas para determinar si aún cumplen
con los objetivos para los cuales fueron diseñados?
De análisis SÍ ( ) NO ( )
De programación SÍ ( ) NO ( )
Observaciones
22. Incluir el plazo estimado de acuerdo con los proyectos que se tienen en que el
departamento de informática podría satisfacer las necesidades de la dependencia, según la
situación actual.

CONTROL DE DISEÑO DE SISTEMAS Y PROGRAMACIÓN

J Juan Hernández M 93
Notas para Auditoria de Sistemas

El objetivo es asegurarse de que el sistema funcione conforme a las especificaciones


funcionales, a fin de que el usuario tenga la suficiente información para su manejo,
operación y aceptación. Las revisiones se efectúan en forma paralela desde el análisis hasta
la programación y sus objetivos son los siguientes:
ETAPA DE ANÁLISIS Identificar inexactitudes, ambigüedades y omisiones en las
especificaciones.
ETAPA DE DISEÑO Descubrir errores, debilidades, omisiones antes de iniciar la
codificación.
ETAPA DE PROGRAMACIÓN Buscar la claridad, modularidad y verificar con base en
las especificaciones.
Esta actividad es muy importante ya que el costo de corregir errores es directamente
proporcional al momento que se detectan: si se descubren en el momento de programación
será más alto que si se detecta en la etapa de análisis. Esta función tiene una gran
importancia en el ciclo de evaluación de aplicaciones de los sistemas de información y
busca comprobar que la aplicación cumple las especificaciones del usuario, que se haya
desarrollado dentro de lo presupuestado, que tenga los controles necesarios y que
efectivamente cumpla con los objetivos y beneficios esperados.
El siguiente cuestionario se presenta como ejemplo para la evaluación del diseño y prueba
de los sistemas:
1. ¿Quiénes intervienen al diseñar un sistema?
• Usuario.
• Analista.
• Programadores.
• Operadores.
• Gerente de departamento.
• Auditores internos.
• Asesores.
• Otros.
2. ¿Los analistas son también programadores?
SÍ ( ) NO ( )
3. ¿Qué lenguaje o lenguajes conocen los analistas?
4. ¿Cuántos analistas hay y qué experiencia tienen?
5. ¿Qué lenguaje conocen los programadores?
6. ¿Cómo se controla el trabajo de los analistas?
7. ¿Cómo se controla el trabajo de los programadores?
8. Indique qué pasos siguen los programadores en el desarrollo de un programa:
• Estudio de la definición ( )
• Discusión con el analista ( )
• Diagrama de bloques ( )
• Tabla de decisiones ( )
• Prueba de escritorio ( )
• Codificación ( )
• ¿Es enviado a captura o los programadores capturan? ( )
• ¿Quién los captura?___________________________________________
• Compilación ( )

J Juan Hernández M 94
Notas para Auditoria de Sistemas

• Elaborar datos de prueba ( )


• Solicitar datos al analista ( )
• Correr programas con datos ( )
• Revisión de resultados ( )
• Corrección del programa ( )
• Documentar el programa ( )
• Someter resultados de prueba ( )
• Entrega del programa ( )
9. ¿Qué documentación acompaña al programa cuando se entrega?

Difícilmente se controla realmente el flujo de la información de un sistema que desde su


inicio ha sido mal analizado, mal diseñado, mal programado e incluso mal documentado. El
excesivo mantenimiento de los sistemas generalmente ocasionado por un mal desarrollo, se
inicia desde que el usuario establece sus requerimientos (en ocasiones sin saber qué desea)
hasta la instalación del mismo, sin que se haya establecido un plan de prueba del sistema
para medir su grado de confiabilidad en la operación que efectuará. Para verificar si existe
esta situación, se debe pedir a los analistas y a los programadores las actividades que están
desarrollando en el momento de la auditoría y evaluar si están efectuando actividades de
mantenimiento o de realización de nuevos proyectos. En ambos casos se deberá evaluar el
tiempo que llevan dentro del mismo sistema, la prioridad que se le asignó y cómo está en el
tiempo real en relación al tiempo estimado en el plan maestro.

INSTRUCTIVOS DE OPERACIÓN

Se debe evaluar los instructivos de operación de los sistemas para evitar que los
programadores tengan acceso a los sistemas en operación, y el contenido mínimo de los
instructivos de operación se puedan verificar mediante el siguiente cuestionario.
El instructivo de operación deberá comprender.
- Diagrama de flujo por cada programa. ( )
- Diagrama particular de entrada/salida ( )
- Mensaje y su explicación ( )
- Parámetros y su explicación ( )
- Diseño de impresión de resultados ( )
- Cifras de control ( )
- Fórmulas de verificación ( )
- Observaciones ( )
- Instrucciones en caso de error ( )
- Calendario de proceso y resultados ( )

FORMA DE IMPLEMENTACIÓN

J Juan Hernández M 95
Notas para Auditoria de Sistemas

La finalidad de evaluar los trabajos que se realizan para iniciar la operación de un sistema,
esto es, la prueba integral del sistema, adecuación, aceptación por parte del usuario,
entrenamiento de los responsables del sistema etc.
Indicar cuáles puntos se toman en cuenta para la prueba de un sistema:
Prueba particular de cada programa ( )
Prueba por fase validación, actualización ( )
Prueba integral del paralelo ( )
Prueba en paralelo sistema ( )
Otros (especificar)____________________________________________

ENTREVISTA A USUARIOS

La entrevista se deberá llevar a cabo para comprobar datos proporcionados y la situación de


la dependencia en el departamento de Sistemas de Información .
Su objeto es conocer la opinión que tienen los usuarios sobre los servicios proporcionados,
así como la difusión de las aplicaciones de la computadora y de los sistemas en operación.
Las entrevistas se deberán hacer, en caso de ser posible, a todos los asuarios o bien en
forma aleatoria a algunos de los usuarios, tanto de los más importantes como de los de
menor importancia, en cuanto al uso del equipo.
Desde el punto de vista del usuario los sistemas deben:
• Cumplir con los requerimientos totales del usuario.
• Cubrir todos los controles necesarios.
• No exceder las estimaciones del presupuesto inicial.
• Serán fácilmente modificables.
Para que un sistema cumpla con los requerimientos del usuario, se necesita una
comunicación completa entre usuarios y responsable del desarrollo del sistema.
En esta misma etapa debió haberse definido la calidad de la información que será procesada
por la computadora, estableciéndose los riesgos de la misma y la forma de minimizarlos.
Para ello se debieron definir los controles adecuados, estableciéndose además los niveles de
acceso a la información, es decir, quién tiene privilegios de consulta, modificar o incluso
borrar información.
Esta etapa habrá de ser cuidadosamente verificada por el auditor interno especialista en
sistemas y por el auditor en informática, para comprobar que se logro una adecuada
comprensión de los requerimientos del usuario y un control satisfactorio de información.

J Juan Hernández M 96
Notas para Auditoria de Sistemas

Para verificar si los servicios que se proporcionan a los usuarios son los requeridos y se
están proporcionando en forma adecuada, cuando menos será preciso considerar la
siguiente información.
• Descripción de los servicios prestados.
• Criterios de evaluación que utilizan los usuarios para evaluar el nivel del servicio
prestado.
• Reporte periódico del uso y concepto del usuario sobre el servicio.
• Registro de los requerimientos planteados por el usuario.
Con esta información se puede comenzar a realizar la entrevista para determinar si los
servicios proporcionados y planeados por la dirección de Informática cubren las
necesidades de información de las dependencias.
A continuación se presenta una guía de cuestionario para aplicarse durante la entrevista con
el usuario.
1. ¿Considera que el Departamento de Sistemas de Información de los resultados
esperados?.-
Si ( ) No ( )
¿Por que?
2. ¿Cómo considera usted, en general, el servicio proporcionado por el Departamento de
Sistemas de Información?
Deficiente ( )
Aceptable ( )
Satisfactorio ( )
Excelente ( )
¿Por que?
3. ¿Cubre sus necesidades el sistema que utiliza el departamento de cómputo?
No las cubre ( )
Parcialmente ( )
La mayor parte ( )
Todas ( )
¿Por que?
4. ¿Hay disponibilidad del departamento de cómputo para sus requerimientos?
Generalmente no existe ( )
Hay ocasionalmente ( )
Regularmente ( )
Siempre ( )
¿Por que?
5. ¿Son entregados con puntualidad los trabajos?
Nunca ( )
Rara vez ( )
Ocasionalmente ( )
Generalmente ( )
Siempre ( )
¿Por que?
6. ¿Que piensa de la presentación de los trabajadores solicitados al departamento de
cómputo?
Deficiente ( )

J Juan Hernández M 97
Notas para Auditoria de Sistemas

Aceptable ( )
Satisfactorio ( )
Excelente ( )
¿Por que?
7. ¿Que piensa de la asesoría que se imparte sobre informática?
No se proporciona ( )
Es insuficiente ( )
Satisfactoria ( )
Excelente ( )
¿Por que?
8. ¿Que piensa de la seguridad en el manejo de la información proporcionada por el sistema
que utiliza?
Nula ( )
Riesgosa ( )
Satisfactoria ( )
Excelente ( )
Lo desconoce ( )
¿Por que?
9. ¿Existen fallas de exactitud en los procesos de información?
¿Cuáles?
10. ¿Cómo utiliza los reportes que se le proporcionan?
11. ¿Cuáles no Utiliza?
12. De aquellos que no utiliza ¿por que razón los recibe?
13. ¿Que sugerencias presenta en cuanto a la eliminación de reportes modificación, fusión,
división de reporte?
14. ¿Se cuenta con un manual de usuario por Sistema?
SI ( ) NO ( )
15. ¿Es claro y objetivo el manual del usuario?
SI ( ) NO ( )
16. ¿Que opinión tiene el manual?
NOTA: Pida el manual del usuario para evaluarlo.
17. ¿Quién interviene de su departamento en el diseño de sistemas?
18. ¿Que sistemas desearía que se incluyeran?
19. Observaciones:

CONTROLES

Los datos son uno de los recursos más valiosos de las organizaciones y, aunque son
intangibles, necesitan ser controlados y auditados con el mismo cuidado que los demás
inventarios de la organización, por lo cual se debe tener presente:
a) La responsabilidad de los datos es compartida conjuntamente por alguna función
determinada y el departamento de cómputo.
b) Un problema de dependencia que se debe considerar es el que se origina por la
duplicidad de los datos y consiste en poder determinar los propietarios o usuarios
posibles(principalmente en el caso de redes y banco de datos) y la responsabilidad de su
actualización y consistencia.

J Juan Hernández M 98
Notas para Auditoria de Sistemas

c) Los datos deberán tener una clasificación estándar y un mecanismo de identificación que
permita detectar duplicidad y redundancia dentro de una aplicación y de todas las
aplicaciones en general.
d) Se deben relacionar los elementos de los datos con las bases de datos donde están
almacenados, así como los reportes y grupos de procesos donde son generados.

CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE CONTROL


La mayoría de los Delitos por computadora son cometidos por modificaciones de datos
fuente al:
• Suprimir u omitir datos.
• Adicionar Datos.
• Alterar datos.
• Duplicar procesos.
Esto es de suma importancia en caso de equipos de cómputo que cuentan con sistemas en
línea, en los que los usuarios son los responsables de la captura y modificación de la
información al tener un adecuado control con señalamiento de responsables de los
datos(uno de los usuarios debe ser el único responsable de determinado dato), con claves de
acceso de acuerdo a niveles.
El primer nivel es el que puede hacer únicamente consultas. El segundo nivel es aquel que
puede hacer captura, modificaciones y consultas y el tercer nivel es el que solo puede hacer
todos lo anterior y además puede realizar bajas.
NOTA: Debido a que se denomina de diferentes formas la actividad de transcribir la
información del dato fuente a la computadora, en el presente trabajo se le denominará
captura o captación considerándola como sinónimo de digitalizar (capturista,
digitalizadora).
Lo primero que se debe evaluar es la entrada de la información y que se tengan las cifras de
control necesarias para determinar la veracidad de la información, para lo cual se puede
utilizar el siguiente cuestionario:
1. Indique el porcentaje de datos que se reciben en el área de captación
2. Indique el contenido de la orden de trabajo que se recibe en el área de captación de datos:
Número de folio ( ) Número(s) de formato(s) ( )
Fecha y hora de Nombre, Depto. ( )
Recepción ( ) Usuario ( )
Nombre del documento ( ) Nombre responsable ( )
Volumen aproximado Clave de cargo
de registro ( ) (Número de cuenta) ( )
Número de registros ( ) Fecha y hora de entrega de
Clave del capturista ( ) documentos y registros captados ( )
Fecha estimada de entrega ( )
3. Indique cuál(es) control(es) interno(s) existe(n) en el área de captación de datos:
Firmas de autorización ( )
Recepción de trabajos ( ) Control de trabajos atrasados ( )
Revisión del documento ( ) Avance de trabajos ( )
fuente(legibilidad,
verificación de datos

J Juan Hernández M 99
Notas para Auditoria de Sistemas

completos, etc.) ( )
Prioridades de captación ( ) Errores por trabajo ( )
Producción de trabajo ( ) Corrección de errores ( )
Producción de cada operador ( ) Entrega de trabajos ( )
Verificación de cifras Costo Mensual por trabajo ( )
de control de entrada con
las de salida. ( )
4. ¿Existe un programa de trabajo de captación de datos?
a) ¿Se elabora ese programa para cada turno?
Diariamente ( )
Semanalmente ( )
Mensualmente ( )
b) La elaboración del programa de trabajos se hace:
Internamente ( )
Se les señalan a los us uarios las prioridades ( )
c) ¿Que acción(es) se toma(n) si el trabajo programado no se recibe a tiempo?
5. ¿Quién controla las entradas de documentos fuente?
6. ¿En que forma las controla?
7. ¿Que cifras de control se obtienen?
Sistema Cifras que se Observaciones
Obtienen
8. ¿Que documento de entrada se tienen?
Sistemas Documentos Depto. que periodicidad Observaciones
proporciona
el documento
9. ¿Se anota que persona recibe la información y su volumen?
SI NO
10. ¿Se anota a que capturista se entrega la información, el volumen y la hora?
SI NO
11. ¿Se verifica la cantidad de la información recibida para su captura?
SI NO
12. ¿Se revisan las cifras de control antes de enviarlas a captura?
SI NO
13. ¿Para aquellos procesos que no traigan cifras de control se ha establecido criterios a fin
de asegurar que la información es completa y valida?
SI NO
14. ¿Existe un procedimiento escrito que indique como tratar la información inválida (sin
firma ilegible, no corresponden las cifras de control)?
15. En caso de resguardo de información de entrada en sistemas, ¿Se custodian en un lugar
seguro?
16. Si se queda en el departamento de sistemas, ¿Por cuanto tiempo se guarda?
17. ¿Existe un registro de anomalías en la información debido a mala codificación?
18. ¿Existe una relación completa de distribución de listados, en la cual se indiquen
personas, secuencia y sistemas a los que pertenecen?
19. ¿Se verifica que las cifras de las validaciones concuerden con los documentos de
entrada?

J Juan Hernández M 100


Notas para Auditoria de Sistemas

20. ¿Se hace una relación de cuando y a quién fueron distribuidos los listados?
_________________________________________________________________________
21. ¿Se controlan separadamente los documentos confidenciales?
_________________________________________________________________________
22. ¿Se aprovecha adecuadamente el papel de los listados inservibles?
_________________________________________________________________________
23. ¿Existe un registro de los documentos que entran a capturar?
_________________________________________________________________________
24. ¿Se hace un reporte diario, semanal o mensual de captura?
_________________________________________________________________________
25. ¿Se hace un reporte diario, semanal o mensual de anomalías en la información de
entrada?
26. ¿Se lleva un control de la producción por persona?
27. ¿Quién revisa este control?
28. ¿Existen instrucciones escritas para capturar cada aplicación o, en su defecto existe una
relación de programas?

CONTROL DE OPERACIÓN
La eficiencia y el costo de la operación de un sistema de cómputo se ven fuertemente
afectados por la calidad e integridad de la documentación requerida para el proceso en la
computadora.
El objetivo del presente ejemplo de cuestionario es señalar los procedimientos e
instructivos formales de operación, analizar su estandarización y evaluar el cumplimiento
de los mismos.
1. ¿Existen procedimientos formales para la operación del sistema de computo?
SI ( ) NO ( )
2. ¿Están actualizados los procedimientos?
SI ( ) NO ( )
3. Indique la periodicidad de la actualización de los procedimientos:
Semestral ( )
Anual ( )
Cada vez que haya cambio de equipo ( )
4. Indique el contenido de los instructivos de operación para cada aplicación:
Identificación del sistema ( )
Identificación del programa ( )
Periodicidad y duración de la corrida ( )
Especificación de formas especiales ( )
Especificación de cintas de impresoras ( )
Etiquetas de archivos de salida, nombre, ( )
archivo lógico, y fechas de creación y expiración
Instructivo sobre materiales de entrada y salida ( )
Altos programados y la acciones requeridas ( )
Instructivos específicos
a los operadores en caso de falla del equipo ( )
Instructivos de reinicio ( )
Procedimientos de recuperación para proceso de

J Juan Hernández M 101


Notas para Auditoria de Sistemas

gran duración o criterios ( )


Identificación de todos los
dispositivos de la máquina a ser usados ( )
Especificaciones de resultados
(cifras de control, registros de salida por archivo, etc. ) ( )
5. ¿Existen órdenes de proceso para cada corrida en la computadora (incluyendo pruebas,
compilaciones y producción)?
SI ( ) NO ( )
6. ¿Son suficientemente claras para los operadores estas órdenes?
SI ( ) NO ( )
7. ¿Existe una estandarización de las ordenes de proceso?
SI ( ) NO ( )
8. ¿Existe un control que asegure la justificación de los procesos en el computador? (Que
los procesos que se están autorizados y tengan una razón de ser procesados.
SI ( ) NO ( )
9. ¿Cómo programan los operadores los trabajos dentro del departamento de cómputo?
Primero que entra, primero que sale ( )
se respetan las prioridades, ( )
Otra (especifique) ( )
10. ¿Los retrasos o incumplimiento con el programa de operación diaria, se revisa y
analiza?
SI ( ) NO ( )
11. ¿Quién revisa este reporte en su caso?
12. Analice la eficiencia con que se ejecutan los trabajos dentro del departamento de
cómputo, tomando en cuenta equipo y operador, a través de inspección visual, y describa
sus observaciones.
13. ¿Existen procedimientos escritos para la recuperación del sistema en caso de falla?
14. ¿Cómo se actúa en caso de errores?
15. ¿Existen instrucciones especificas para cada proceso, con las indicaciones pertinentes?
16. ¿Se tienen procedimientos específicos que indiquen al operador que hacer cuando un
programa interrumpe su ejecución u otras dificultades en proceso?
17. ¿Puede el operador modificar los datos de entrada?
18. ¿Se prohibe a analistas y programadores la operación del sistema que programo o
analizo?
19. ¿Se prohibe al operador modificar información de archivos o bibliotecas de programas?
20. ¿El operador realiza funciones de mantenimiento diario en dispositivos que así lo
requieran?
21. ¿Las intervenciones de los operadores:
Son muy numerosas? SI ( ) NO ( )
Se limitan los mensajes esenciale s? SI ( ) NO ( )
Otras (especifique)______________________________________________________
22. ¿Se tiene un control adecuado sobre los sistemas y programas que están en operación?
SI ( ) NO ( )
23. ¿Cómo controlan los trabajos dentro del departamento de cómputo?
24. ¿Se rota al personal de control de información con los operadores procurando un
entrenamiento cruzado y evitando la manipulación fraudulenta de datos?
SI ( ) NO ( )

J Juan Hernández M 102


Notas para Auditoria de Sistemas

25. ¿Cuentan los operadores con una bitácora para mantener registros de cualquier evento y
acción tomada por ellos?
Si ( )
por máquina ( )
escrita manualmente ( )
NO ( )
26. Verificar que exista un registro de funcionamiento que muestre el tiempo de paros y
mantenimiento o instalaciones de software.
27.¿Existen procedimientos para evitar las corridas de programas no autorizados?
SI ( ) NO ( )
28. ¿Existe un plan definido para el cambio de turno de operaciones que evite el descontrol
y discontinuidad de la operación.
29. Verificar que sea razonable el plan para coordinar el cambio de turno.
30. ¿Se hacen inspecciones periódicas de muestreo?
SI ( ) NO ( )
31. Enuncie los procedimientos mencionados en el inciso anterior:
32. ¿Se permite a los operadores el acceso a los diagramas de flujo, programas fuente, etc.
fuera del departamento de cómputo?
SI ( ) NO ( )
33. ¿Se controla estrictamente el acceso a la documentación de programas o de aplicaciones
rutinarias?
SI ( ) NO ( )
¿Cómo?_______________________________________________________________
34. Verifique que los privilegios del operador se restrinjan a aquellos que le son asignados a
la clasificación de seguridad de operador.
35. ¿Existen procedimientos formales que se deban observar antes de que sean aceptados en
operación, sistemas nuevos o modificaciones a los mismos?
SI ( ) NO ( )
36. ¿Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con
las versiones anteriores?
SI ( ) NO ( )
37. ¿Durante cuanto tiempo?
38. ¿Que precauciones se toman durante el periodo de implantación?
39. ¿Quién da la aprobación formal cuando las corridas de prueba de un sistema modificado
o nuevo están acordes con los instructivos de operación.
40. ¿Se catalogan los programas liberados para producción rutinaria?
SI ( ) NO ( )
41. Mencione que instructivos se proporcionan a las personas que intervienen en la
operación rutinaria de un sistema.
42. Indique que tipo de controles tiene sobre los archivos magnéticos de los archivos de
datos, que aseguren la utilización de los datos precisos en los procesos correspondientes.
43. ¿Existe un lugar para archivar las bitácoras del sistema del equipo de cómputo?
SI ( ) NO ( )
44. Indique como está organizado este archivo de bitácora.
• Por fecha ( )
• por fecha y hora ( )

J Juan Hernández M 103


Notas para Auditoria de Sistemas

• por turno de operación ( )


• Otros ( )
45. ¿Cuál es la utilización sistemática de las bitácoras?
46. ¿Además de las mencionadas anteriormente, que otras funciones o áreas se encuentran
en el departamento de cómputo actualmente?
47. Verifique que se lleve un registro de utilización del equipo diario, sistemas en línea y
batch, de tal manera que se pueda medir la eficiencia del uso de equipo.
48. ¿Se tiene inventario actualizado de los equipos y terminales con su localización?
SI ( ) NO ( )
49. ¿Cómo se controlan los procesos en línea?
50. ¿Se tienen seguros sobre todos los equipos?
SI ( ) NO ( )
51. ¿Conque compañía?
Solicitar pólizas de seguros y verificar tipo de seguro y montos.
52. ¿Cómo se controlan las llaves de acceso (Password)?.

CONTROLES DE SALIDA
1. ¿Se tienen copias de los archivos en otros locales?
2. ¿Dónde se encuentran esos locales?
3. ¿Que seguridad física se tiene en esos locales?
4. ¿Que confidencialidad se tiene en esos locales?
5. ¿Quién entrega los documentos de salida?
6. ¿En que forma se entregan?
7. ¿Que documentos?
8. ¿Que controles se tienen?
9. ¿Se tiene un responsable (usuario) de la información de cada sistema? ¿Cómo se
atienden solicitudes de información a otros usuarios del mismo sistema?
10. ¿Se destruye la información utilizada, o bien que se hace con ella?
Destruye ( ) Vende ( ) Tira ( ) Otro ______________________________

CONTROL DE MEDIOS DE ALMACENAMIENTO MASIVO


Los dispositivos de almacenamiento representan, para cualquier centro de cómputo,
archivos extremadamente importantes cuya pérdida parcial o total podría tener
repercusiones muy serias, no sólo en la unidad de informática, sino en la dependencia de la
cual se presta servicio. Una dirección de informática bien administrada debe tener
perfectamente protegidos estos dispositivos de almacenamiento, además de mantener
registros sistemáticos de la utilización de estos archivos, de modo que servirán de base a
registros sistemáticos de la utilización de estos archivos, de modo que sirvan de base a los
programas de limpieza (borrado de información), principalmente en el caso de las cintas.
Además se deben tener perfectamente identificados los carretes para reducir la posibilidad
de utilización errónea o destrucción de la información.

J Juan Hernández M 104


Notas para Auditoria de Sistemas

Un manejo adecuado de estos dispositivos permitirá una operación más eficiente y segura,
mejorando además los tiempos de procesos.
CONTROL DE ALMACENAMIENTO MASIVO
OBJETIVOS
El objetivo de este cuestionario es evaluar la forma como se administran los dispositivos de
almacenamiento básico de la dirección.
1. Los locales asignados a la cintoteca y discoteca tienen:
• Aire acondicionado ( )
• Protección contra el fuego ( )
• (señalar que tipo de protección )__________________________________
• Cerradura especial ( )
• Otra
2. ¿Tienen la cintoteca y discoteca protección automática contra el fuego?
SI ( ) NO ( )
(señalar de que tipo)_______________________________________________
3. ¿Que información mínima contiene el inventario de la cintoteca y la discoteca?
Número de serie o carrete ( )
Número o clave del us uario ( )
Número del archivo lógico ( )
Nombre del sistema que lo genera ( )
Fecha de expiración del archivo ( )
Fecha de expiración del archivo ( )
Número de volumen ( )
Otros
4. ¿Se verifican con frecuencia la validez de los inventarios de los archivos magnéticos?
SI ( ) NO ( )
5. En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y
explican satisfactoriamente las discrepancias?
SI ( ) NO ( )
6. ¿Que tan frecuentes son estas discrepancias?
_________________________________________________________________________
7. ¿Se tienen procedimientos que permitan la reconstrucción de un archivo en cinta a disco,
el cual fue inadvertidamente destruido?
SI ( ) NO ( )
8. ¿Se tienen identificados los archivos con información confidencial y se cuenta con claves
de acceso?
SI ( ) NO ( )
¿Cómo?_______________________________________________________________
9. ¿Existe un control estricto de las copias de estos archivos?
SI ( ) NO ( )
10. ¿Que medio se utiliza para almacenarlos?
Mueble con cerradura ( )
Bóveda ( )
Otro(especifique)_______________________________________________________
11. Este almacén esta situado:
En el mismo edificio del departamento ( )

J Juan Hernández M 105


Notas para Auditoria de Sistemas

En otro lugar ( )
¿Cual?_________________________________________________________________
12. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan
estos?
SI ( ) NO ( )
13. ¿Se certifica la destrucción o baja de los archivos defectuosos?
SI ( ) NO ( )
14. ¿Se registran como parte del inventario las nuevas cintas que recibe la biblioteca?
SI ( ) NO ( )
15 ¿Se tiene un responsable, por turno, de la cintoteca y discoteca?
SI ( ) NO ( )
16. ¿Se realizan auditorías periódicas a los medios de almacenamiento?
SI ( ) NO ( )
17. ¿Que medidas se toman en el caso de extravío de algún dispositivo de almacenamiento?
18. ¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de
almacenamiento, al personal autorizado?
SI ( ) NO ( )
19. ¿Se tiene relación del persona l autorizado para firmar la salida de archivos
confidenciales?
SI ( ) NO ( )
20. ¿Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se
devolverán?
SI ( ) NO ( )
21. ¿Se lleva control sobre los archivos prestados por la instalación?
SI ( ) NO ( )
22. En caso de préstamo ¿Conque información se documentan?
Nombre de la institución a quién se hace el préstamo.
• fecha de recepción ( )
• fecha en que se debe devolver ( )
• archivos que contiene ( )
• formatos ( )
• cifras de control ( )
• código de grabación ( )
• nombre del responsable que los presto ( )
• otros
23. Indique qué procedimiento se sigue en el reemplazo de las cintas que contienen los
archivos maestros:
24. ¿Se conserva la cinta maestra anterior hasta después de la nueva cinta?
SI ( ) NO ( )
25. ¿El cintotecario controla la cinta maestra anterior previendo su uso incorrecto o su
eliminación prematura?
SI ( ) NO ( )
26. ¿La operación de reemplazo es controlada por el cintotecario?
SI ( ) NO ( )
27. ¿Se utiliza la política de conservación de archivos hijo-padre-abuelo?
SI ( ) NO ( )

J Juan Hernández M 106


Notas para Auditoria de Sistemas

28. En los procesos que manejan archivos en línea, ¿Existen procedimientos para recuperar
los archivos?
SI ( ) NO ( )
29. ¿Estos procedimientos los conocen los operadores?
SI ( ) NO ( )
30. ¿Con que periodicidad se revisan estos procedimientos?
MENSUAL ( ) ANUAL ( )
SEMESTRAL ( ) OTRA ( )
31. ¿Existe un responsable en caso de falla?
SI ( ) NO ( )
32. ¿Explique que políticas se siguen para la obtención de archivos de respaldo?
33. ¿Existe un procedimiento para el manejo de la información de la cintoteca?
SI ( ) NO ( )
34. ¿Lo conoce y lo sigue el cintotecario?
SI ( ) NO ( )
35. ¿Se distribuyen en forma periódica entre los jefes de sistemas y programación informes
de archivos para que liberen los dispositivos de almacenamiento?
SI ( ) NO ( )
¿Con qué frecuencia?

CONTROL DE MANTENIMIENTO
Como se sabe existen básicamente tres tipos de contrato de mantenimiento: El contrato de
mantenimiento total que incluye el mantenimiento correctivo y preventivo, el cual a su vez
puede dividirse en aquel que incluye las partes dentro del contrato y el que no incluye
partes. El contrato que incluye refacciones es propiamente como un seguro, ya que en caso
de descompostura el proveedor debe proporcionar las partes sin costo alguno. Este tipo de
contrato es normalmente mas caro, pero se deja al proveedor la responsabilidad total del
mantenimiento a excepción de daños por negligencia en la utilización del equipo. (Este tipo
de mantenimiento normalmente se emplea en equipos grandes).
El segundo tipo de mantenimiento es “por llamada”, en el cual en caso de descompostura se
le llama al proveedor y éste cobra de acuerdo a una tarifa y al tiempo que se requiera para
componerlo(casi todos los proveedores incluyen, en la cotización de compostura, el tiempo
de traslado de su oficina a donde se encuentre el equipo y viceversa). Este tipo de
mantenimiento no incluye refacciones.
El tercer tipo de mantenimiento es el que se conoce como “en banco”, y es aquel en el cual
el cliente lleva a las oficinas del proveedor el equipo, y este hace una cotización de acuerdo
con el tiempo necesario para su compostura mas las refacciones (este tipo de
mantenimiento puede ser el adecuado para computadoras personales).
Al evaluar el mantenimiento se debe primero analizar cual de los tres tipos es el que más
nos conviene y en segundo lugar pedir los contratos y revisar con detalles que las cláusulas
estén perfectamente definidas en las cuales se elimine toda la subjetividad y con
penalización en caso de incumplimiento, para evitar contratos que sean parciales.
Para poder exigirle el cumplimiento del contrato de debe tener un estricto control sobre las
fallas, frecuencia, y el tiempo de reparación.

J Juan Hernández M 107


Notas para Auditoria de Sistemas

Para evaluar el control que se tiene sobre el mantenimiento y las fallas se pueden utilizar
los siguientes cuestionarios:
1. Especifique el tipo de contrato de mantenimiento que se tiene (solicitar copia del
contrato).
2. ¿Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de
computo?
SI ( ) NO ( )
3. ¿Se lleva a cabo tal programa?
SI ( ) NO ( )
4. ¿Existen tiempos de respuesta y de compostura estipulados en los contratos?
SI ( ) NO ( )
5. Si los tiempos de reparación son superiores a los estipulados en el contrato, ¿Qué
acciones correctivas se toman para ajustarlos a lo convenido?
SI ( ) NO ( )
6. Solicite el plan de mantenimiento preventivo que debe ser proporcionado por el
proveedor.-
SI ( ) NO ( )
¿Cual?
8. ¿Cómo se notifican las fallas?
9. ¿Cómo se les da seguimiento?

ORDEN EN EL CENTRO DE CÓMPUTO

Una dirección de Sistemas de Información bien administrada debe tener y observar reglas
relativas al orden y cuidado del departamento de cómputo. Los dispositivos del sistema de
cómputo, los archivos magnéticos, pueden ser dañados si se manejan en forma inadecuada
y eso puede traducirse en perdidas irreparables de información o en costos muy elevados en
la reconstrucción de archivos. Se deben revisar las disposiciones y reglamentos que
coadyuven al mantenimiento del orden dentro del departamento de cómputo.
1. Indique la periodicidad con que se hace la limpieza del departamento de cómputo y de la
cámara de aire que se encuentra abajo del piso falso si existe y los ductos de aire:
Semanalmente ( ) Quincenalmente ( )
Mensualmente ( ) Bimestralmente ( )
No hay programa ( ) Otra (especifique) ( )
2. Existe un lugar asignado a las cintas y discos magnéticos?
SI ( ) NO ( )
3. ¿Se tiene asignado un lugar especifico para papelería y utensilios de trabajo?
SI ( ) NO ( )
4. ¿Son funcionales los muebles asignados para la cintoteca y discoteca?
SI ( ) NO ( )
5. ¿Se tienen disposiciones para que se acomoden en su lugar correspondiente, después de
su uso, las cintas, los discos magnéticos, la papelería, etc.?
SI ( ) NO ( )
6. Indique la periodicidad con que se limpian las unidades de cinta:

J Juan Hernández M 108


Notas para Auditoria de Sistemas

Al cambio de turno ( ) cada semana ( )


cada día ( ) otra (especificar) ( )
7. ¿Existen prohibiciones para fumar, tomar alimentos y refrescos en el departamento de
cómputo?
SI ( ) NO ( )
8. ¿Se cuenta con carteles en lugares visibles que recuerdan dicha prohibición?
SI ( ) NO ( )
9. ¿Se tiene restringida la operación del sistema de cómputo al personal especializado de la
Dirección de Informática?
SI ( ) NO ( )
10. Mencione los casos en que personal ajeno al departamento de operación opera el
sistema de cómputo:

EVALUACIÓN DE LA CONFIGURACIÓN DEL SISTEMA DE CÓMPUTO

Los objetivos son evaluar la configuración actual tomando en consideración las


aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual el
sistema operativo satisface las necesidades de la instalación y revisar las políticas seguidas
por la unidad de informática en la conservación de su programoteca.
Esta sección esta orientada a:
a) Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cómputo con la
carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a
mediano y lago plazo.
b) Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de
proceso.
c) Evaluar la utilización de los diferentes dispositivos periféricos.
1. De acuerdo con los tiempos de utilización de cada dispositivo del sistema de cómputo,
¿existe equipo?
¿Con poco uso? SI ( ) NO ( )
¿Ocioso? SI ( ) NO ( )
¿Con capacidad superior a la necesaria? SI ( ) NO ( )
Describa cual es ____________________________________________________
2. ¿El equipo mencionado en el inciso anterior puede reemplazarse por otro mas lento y de
menor costo?
SI ( ) NO ( )
3. Si la respuesta al inciso anterior es negativa, ¿el equipo puede ser cancelado?
SI ( ) NO ( )
4. De ser negativa la respuesta al inciso anterior, explique las causas por las que no puede
ser cancelado o cambiado.
________________________________________________________________
5. ¿El sistema de cómputo tiene capacidad de teleproceso?
SI ( ) NO ( )
6. ¿Se utiliza la capacidad de teleproceso?
SI ( ) NO ( )
7. ¿En caso negativo, exponga los motivos por los cuales no utiliza el teleproceso?
SI ( ) NO ( )

J Juan Hernández M 109


Notas para Auditoria de Sistemas

8. ¿Cuantas terminales se tienen conectadas al sistema de cómputo?

9. ¿Se ha investigado si ese tiempo de respuesta satisface a los usuarios?


SI ( ) NO ( )
10. ¿La capacidad de memoria y de almacenamiento máximo del sistema de cómputo es
suficiente
para atender el proceso por lotes y el proceso remoto?
SI ( ) NO ( )

SEGURIDAD LÓGICA Y CONFIDENCIAL

La computadora es un instrumento que estructura gran cantidad de información, la cual


puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada
o divulgada a personas que hagan mal uso de esta. También puede ocurrir robos, fraudes o
sabotajes que provoquen la destrucción total o parcial de la actividad computacional.
Esta información puede ser de suma importancia, y el no tenerla en el momento preciso
puede provocar retrasos sumamente costosos. Antes esta situación, en el transcurso del
siglo XX, el mundo ha sido testigo de la transformación de algunos aspectos de seguridad y
de derecho.
En la actualidad y principalmente en las computadoras personales, se ha dado otro factor
que hay que considerar el llamado "“virus” de las computadoras, el cual aunque tiene
diferentes intenciones se encuentra principalmente para paquetes que son copiados sin
autorización (“piratas”) y borra toda la información que se tiene en un disco.
Al auditar los sistemas se debe tener cuidado que no se tengan copias “piratas” o bien que,
al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del
virus.
El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina
para usos ajenos de la organización, la copia de programas para fines de comercialización
sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de
modificar la información con propósitos fraudulentos.
Un método eficaz para proteger sistemas de computación es el software de control de
acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no
autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a
información confidencial. Dichos paquetes han sido populares desde hace muchos años en
el mundo de las computadoras grandes, y los principales proveedores ponen a disposición
de clientes algunos de estos paquetes.
El sistema integral de seguridad debe comprender:
• Elementos administrativos
• Definición de una política de seguridad
• Organización y división de responsabilidades
• Seguridad físic a y contra catástrofes(incendio, terremotos, etc.)
• Prácticas de seguridad del personal
• Elementos técnicos y procedimientos
• Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos,
tanto redes como terminales.

J Juan Hernández M 110


Notas para Auditoria de Sistemas

• Aplicación de los sistemas de seguridad, incluyendo datos y archivos


• El papel de los auditores, tanto internos como externos
• Planeación de programas de desastre y su prueba.
Se debe evaluar el nivel de riesgo que puede tener la información para poder hacer un
adecuado estudio costo/beneficio entre el costo por perdida de información y el costo de un
sistema de seguridad, para lo cual se debe considerar lo siguiente:
• Clasificar la instalación en términos de riesgo (alto, mediano, pequeño).
• Identificar aquellas aplicaciones que tengan un alto riesgo.
• Cuantificar el impacto en el caso de suspensión del servicio en aquellas aplicaciones
con un alto riesgo.
• Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad
que se requiera.
• La justificación del costo de implantar las medidas de seguridad para poder
clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo
siguiente:
• Que sucedería si no se puede usar el sistema?
• Si la contestación es que no se podría seguir trabajando, esto nos sitúa en un
sistema de alto riego.
• La siguiente pregunta es:
• ¿Que implicaciones tiene el que no se obtenga el sistema y cuanto tiempo
podríamos estar sin utilizarlo?
• ¿Existe un procedimiento alterno y que problemas nos ocasionaría?
• ¿Que se ha hecho para un caso de emergencia?
Una vez que se ha definido, el grado de riesgo, hay que elaborar una lista de los sistemas
con las medias preventivas que se deben tomar, así como las correctivas en caso de desastre
señalándole a cada uno su prioridad .
Hay que tener mucho cuidado con la información que sale de la oficina, su utilización y que
sea borrada al momento de dejar la instalación que está dando respaldo.
Para clasificar la instalación en términos de riesgo se debe:
• Clasificar los datos, información y programas que contienen información
confidencial que tenga un alto valor dentro del mercado de competencia de una
organización, e información que sea de difícil recuperación.
• Identificar aquella información que tenga un gran costo financiero en caso de
pérdida o bien puede provocar un gran impacto en la toma de decisiones.
• Determinar la información que tenga una gran pérdida en la organización y,
consecuentemente, puedan provocar hasta la posibilidad de que no pueda sobrevivir
sin esa información.
Para cuantificar el riesgo es necesario que se efectúen entrevistas con los altos niveles
administrativos que sean directamente afectados por la suspensión en el procesamiento y
que cuantifíquen el impacto que les puede causar este tipo de situaciones.

Para evaluar las medidas de seguridad se debe:


• Especificar la aplicación, los programas y archivos.
• Las medidas en caso de desastre, pérdida total, abuso y los planes necesarios.
• Las prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo.

J Juan Hernández M 111


Notas para Auditoria de Sistemas

• En cuanto a la división del trabajo se debe evaluar que se tomen las siguientes
precauciones, las cuales dependerán del riesgo que tenga la información y del tipo y
tamaño de la organización.
• El personal que prepara la información no debe tener acceso a la operación.
• Los análisis y programadores no deben tener acceso al área de operaciones y
viceversa.
• Los operadores no debe tener acceso irrestringido a las librerías ni a los
lugares donde se tengan los archivos almacenados; es importante separar las
funciones de librería y de operación.
• Los operadores no deben ser los únicos que tengan el control sobre los
trabajos procesados y no deben hacer las correcciones a los errores
detectados.
Al implantar sistemas de seguridad puede, reducirse la flexibilidad en el trabajo, pero no
debe reducir la eficiencia.

SEGURIDAD FÍSICA

El objetivo es establecer políticas, procedimientos y prácticas para evitar las interrupciones


prolongadas del servicio de procesamiento de datos, información debido a contingencias
como incendio, inundaciones, huelgas, disturbios, sabotaje, etc. y continuar en medio de
emergencia hasta que sea restaurado el servicio completo.
Entre las precauciones que se deben revisar están:
• Los ductos del aire acondicionado deben estar limpios, ya que son una de las
principales causas del polvo y se habrá de contar con detectores de humo que
indiquen la posible presencia de fuego.
• En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible,
tanto en la comp utadora como en la red y los equipos de teleproceso.
• En cuanto a los extintores, se debe revisar en número de estos, su capacidad, fácil
acceso, peso y tipo de producto que utilizan. Es muy frecuente que se tengan los
extintores, pero puede suceder que no se encuentren recargados o bien que sean de
difícil acceso de un peso tal que sea difícil utilizarlos.
• Esto es común en lugares donde se encuentran trabajando hombres y mujeres y los
extintores están a tal altura o con un peso tan grande que una mujer no puede
utilizarlos.
• Otro de los problemas es la utilización de extintores inadecuados que pueden
provocar mayor perjuicio a las máquinas (extintores líquidos) o que producen gases
tóxicos.
• También se debe ver si el personal sabe usar los equipos contra incendio y si ha
habido prácticas en cuanto a su uso.
• Se debe verificar que existan suficientes salidas de emergencia y que estén
debidamente controladas para evitar robos por medio de estas salidas.
• Los materiales mas peligrosos son las cintas magnéticas que al quemarse, producen
gases tóxicos y el papel carbón que es altamente inflamable.
Tomando en cuenta lo anterior se elaboro el siguiente cuestionario:

J Juan Hernández M 112


Notas para Auditoria de Sistemas

1. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de información?


SI ( ) NO ( )
2. ¿Existen una persona responsable de la seguridad?
SI ( ) NO ( )
3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad?
SI ( ) NO ( )
4. ¿Existe personal de vigilancia en la institución?
SI ( ) NO ( )
5. ¿La vigilancia se contrata?
a) Directamente ( )
b) Por medio de empresas que venden ese servicio ( )
6. ¿Existe una clara definición de funciones entre los puestos clave?
SI ( ) NO ( )
7. ¿Se investiga a los vigilantes cuando son contratados directamente?
SI ( ) NO ( )
8. ¿Se controla el trabajo fuera de horario?
SI ( ) NO ( )
9. ¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que
puedan dañar los sistemas?.
SI ( ) NO ( )
10. ¿Existe vigilancia en el departamento de cómputo las 24 horas?
SI ( ) NO ( )
11. ¿Existe vigilancia a la entrada del departamento de cómputo las 24 horas?
a) Vigilante ? ( )
b) Recepcionista? ( )
c) Tarjeta de control de acceso ? ( )
d) Nadie? ( )
12. ¿Se permite el acceso a los archivos y programas a los programadores, analistas y
operadores?
SI ( ) NO ( )
13. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien
pretenda entrar sin autorización?
SI ( ) NO ( )
14. El edificio donde se encuentra la computadora esta situado a salvo de:
a) Inundación? ( )
b) Terremoto? ( )
c) Fuego? ( )
d) Sabotaje? ( )
15. El centro de cómputo tiene salida al exterior al exterior?
SI ( ) NO ( )
16. Describa brevemente la construcción del centro de cómputo, de preferencia
proporcionando planos y material con que construido y equipo (muebles, sillas etc.) dentro
del centro.
17. ¿Existe control en el acceso a este cuarto?
a) Por identificación personal? ( )
b) Por tarjeta magnética? ( )

J Juan Hernández M 113


Notas para Auditoria de Sistemas

c) por claves verbales? ( )


d) Otras? ( )
18. ¿Son controladas las visitas y demostraciones en el centro de cómputo?
SI ( ) NO ( )
19. ¿Se registra el acceso al departamento de cómputo de personas ajenas a la dirección de
informática?
SI ( ) NO ( )
20. ¿Se vigilan la moral y comportamiento del personal de la dirección de informática con
el fin de mantener una buena imagen y evitar un posible fraude?
SI ( ) NO ( )
21. ¿Existe alarma para
a) Detectar fuego(calor o humo) en forma automática? ( )
b) Avisar en forma manual la presencia del fuego? ( )
c) Detectar una fuga de agua? ( )
d) Detectar magnéticos? ( )
e) No existe ( )
22. ¿Estas alarmas están
a) En el departamento de cómputo? ( )
b) En la cintoteca y discoteca? ( )
23. ¿Existe alarma para detectar condiciones anormales del ambiente?
a) En el departamento de cómputo? ( )
b) En la cíntoteca y discoteca? ( )
c) En otros lados ( )
24. ¿La alarma es perfectamente audible?
SI ( ) NO ( )
25.¿Esta alarma también está conectada
a) Al puesto de guardias? ( )
b) A la estación de Bomberos? ( )
c) A ningún otro lado? ( )
Otro_________________________________________
26. Existen extintores de fuego
a) Manuales? ( )
b) Automáticos? ( )
c) No existen ( )
27. ¿Se ha adiestrado el personal en el manejo de los extintores?
SI ( ) NO ( )
28. ¿Los extintores, manuales o automáticos a base de
TIPO SI NO
a) Agua, ( ) ( )
b) Gas? ( ) ( )
c) Otros ( ) ( )
29. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?
SI ( ) NO ( )
30. ¿Si es que existen extintores automáticos son activador por detectores automáticos de
fuego?
SI ( ) NO ( )

J Juan Hernández M 114


Notas para Auditoria de Sistemas

31. ¿Si los extintores automáticos son a base de agua ¿Se han tomado medidas para evitar
que el agua cause mas daño que el fuego?
SI ( ) NO ( )
32. ¿Si los extintores automáticos son a base de gas, ¿Se ha tomado medidas para evitar que
el gas cause mas daño que el fuego?
SI ( ) NO ( )
33. ¿Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automáticos
para que el personal
a) Corte la acción de los extintores por
tratarse de falsas alarmas? SI ( ) NO ( )
b) Pueda cortar la energía Eléctrica SI ( ) NO ( )
c) Pueda abandonar el local sin peligro
de intoxicación SI ( ) NO ( )
d) Es inmediata su acción? SI ( ) NO ( )
34. ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin
obstáculos para alcanzarlos?
SI ( ) NO ( )
35. ¿Saben que hacer los operadores del departamento de cómputo, en caso de que ocurra
una emergencia ocasionado por fuego?
SI ( ) NO ( )
36. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia (incendio)?
SI ( ) NO ( )
37. ¿Existe salida de emergencia?
SI ( ) NO ( )
38. ¿Esta puerta solo es posible abrirla:
a) Desde el interior ? ( )
b) Desde el exterior ? ( )
c) Ambos Lados ( )
39. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta
puerta y de las ventanas, si es que existen?
SI ( ) NO ( )
40. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las
instalaciones en caso de emergencia?
SI ( ) NO ( )
41. ¿Se ha tomado medidas para minimizar la posibilidad de fuego:
a) Evitando artículos inflamables
en el departamento de cómputo? ( )
b) Prohibiendo fumar a los operadores
en el interior? ( )
c) Vigilando y manteniendo el
sistema eléctrico? ( )
d) No se ha previsto ( )
42. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del
departamento de cómputo para evitar daños al equipo?
SI ( ) NO ( )
43. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe?
SI ( ) NO ( )

J Juan Hernández M 115


Notas para Auditoria de Sistemas

44. ¿Se controla el acceso y préstamo en la


a) Discoteca? ( )
b) Cintoteca? ( )
c) Programoteca? ( )
45. Explique la forma como se ha clasificado la información vital, esencial, no esencial etc.
46. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?
SI ( ) NO ( )
47. Explique la forma en que están protegidas físicamente estas copias (bóveda, cajas de
seguridad etc.) que garantice su integridad en caso de incendio, inundación, terremotos, etc.
48. ¿Se tienen establecidos procedimientos de actualización a estas copias?
SI ( ) NO ( )
49. Indique el número de copias que se mantienen, de acuerdo con la forma en que se
clasifique la información:
0123
50. ¿Existe departamento de auditoria interna en la institución?
SI ( ) NO ( )
51. ¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas?
SI ( ) NO ( )
52. ¿Que tipos de controles ha propuesto?
53. ¿Se cumplen?
SI ( ) NO ( )
54. ¿Se auditan los sistemas en operación?
SI ( ) NO ( )
55.¿Con que frecuencia?
a) Cada seis meses ( )
b) Cada año ( )
c) Otra (especifique) ( )
56.¿Cuándo se efectúan modificaciones a los programas, a iniciativa de quién es?
a) Usuario ( )
b) Director de informá tica ( )
c) Jefe de análisis y programación ( )
d) Programador ( )
e) Otras ( especifique) ________________________________________________
57.¿La solicitud de modificaciones a los programas se hacen en forma?
a) Oral? ( )
b) Escrita? ( )
En caso de ser escrita solicite formatos,
58.Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los interesados?
SI ( ) NO ( )
59.¿Existe control estricto en las modificaciones?
SI ( ) NO ( )
60.¿Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado?
SI ( ) NO ( )
61.¿Si se tienen terminales conectadas, ¿se ha establecido procedimientos de operación?
SI ( ) NO ( )
62.Se verifica identificación:
a) De la terminal ( )

J Juan Hernández M 116


Notas para Auditoria de Sistemas

b) Del Usuario ( )
c) No se pide identificación ( )
63.¿Se ha establecido que información puede ser acezada y por qué persona?
SI ( ) NO ( )
64.¿Se ha establecido un número máximo de violaciones en sucesión para que la
computadora cierre esa terminal y se de aviso al responsable de ella?
SI ( ) NO ( )
65.¿Se registra cada violación a los procedimientos con el fin de llevar estadísticas y frenar
las tendencias mayores?
SI ( ) NO ( )
66.¿Existen controles y medidas de seguridad sobre las siguientes operaciones?
¿Cuales son?
( )Recepción de documentos___________________________________________
( )Información Confidencial____________________________________________
( )Captación de documentos____________________________________________
( )Cómputo Electrónico_______________________________________________
( )Programas_______________________________________________________
( )Discotecas y Cintotecas_____________________________________________
( )Documentos de Salida______________________________________________
( )Archivos Magnéticos_______________________________________________
( )Operación del equipo de computación__________________________________
( )En cuanto al acceso de personal_______________________________________
( )Identificación del personal___________________________________________
( )Policia___________________________________________________________
( )Seguros contra robo e incendio_______________________________________
( )Cajas de seguridad_________________________________________________
( )Otras (especifique)_________________________________________________

SEGURIDAD EN LA UTILIZACIÓN DEL EQUIPO

En la actualidad los programas y los equipos son altamente sofisticados y sólo algunas
personas dentro del centro de cómputo conocen al detalle el diseño, lo que puede provocar
que puedan producir algún deterioro a los sistemas si no se toman las siguientes medidas:
1) Se debe restringir el acceso a los programas y a los archivos.
2) Los operadores deben trabajar con poca supervisión y sin la participación de los
programadores, y no deben modificar los programas ni los archivos.
3) Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados,
procurando no usar respaldos inadecuados.
4) No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales.
5) Se deben realizar periódicamente una verificación física del uso de terminales y de los
reportes obtenidos.
6) Se deben monitorear periódicamente el uso que se le está dando a las terminales.
7) Se deben hacer auditorías periódicas sobre el área de operación y la utilización de las
terminales.
8) El usuario es el responsable de los datos, por lo que debe asegurarse que los datos

J Juan Hernández M 117


Notas para Auditoria de Sistemas

recolectados sean procesados completamente. Esto sólo se logrará por medio de los
controles adecuados, los cuales deben ser definidos desde el momento del diseño general
del sistema.
9) Deben existir registros que reflejen la transformación entre las diferentes funciones de un
sistema.
10) Debe controlarse la distribución de las salidas (reportes, cintas, etc.).
11) Se debe guardar copias de los archivos y programas en lugares ajenos al centro de
cómputo y en las instalaciones de alta seguridad; por ejemplo: los bancos.
12) Se debe tener un estricto control sobre el acceso físico a los archivos.
13) En el caso de programas, se debe asignar a cada uno de ellos, una clave que identifique
el sistema, subsistema, programa y versión.
También evitará que el programador ponga nombres que nos signifiquen nada y que sean
difíciles de identificar, lo que evitará que el programador utilice la computadora para
trabajos personales. Otro de los puntos en los que hay que tener seguridad es en el manejo
de información. Para controlar este tipo de información se debe:
1) Cuidar que no se obtengan fotocopias de información confidencial sin la debida
autorización.
2) Sólo el personal autorizado debe tener acceso a la información confidencial.
3) Controlar los listados tanto de los procesos correctos como aquellos procesos con
terminación incorrecta.
4) Controlar el número de copias y la destrucción de la información y del papel carbón de
los reportes muy confidenciales.
El factor más importante de la eliminación de riesgos en la programación es que todos los
programas y archivos estén debidamente documentados.
El siguiente factor en importancia es contar con los respaldos, y duplicados de los sistemas,
programas, archivos y documentación necesarios para que pueda funcionar el plan de
emergencia.
• Equipo, programas y archivos
• Control de aplicaciones por terminal
• Definir una estrategia de seguridad de la red y de respaldos
• Requerimientos físicos.
• Estándar de archivos.
• Auditoría interna en el momento del diseño del sistema, su implantación y puntos
de verificación y control.

J Juan Hernández M 118


Notas para Auditoria de Sistemas

SEGURIDAD AL RESTAURAR EL EQUIPO

En un mundo que depende cada día mas de los servicios proporcionados por las
computadoras, es vital definir procedimientos en caso de una posible falta o siniestro.
Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la
originó y el daño causado, lo que permitirá recuperar en el menor tiempo posible el proceso
perdido. También se debe analizar el impacto futuro en el funcionamiento de la
organización y prevenir cualquier implicación negativa.
En todas las actividades relacionadas con las ciencias de la computación, existe un riesgo
aceptable, y es necesario analizar y entender estos factores para establecer los
procedimientos que permitan analizarlos al máximo y en caso que ocurran, poder reparar el
daño y reanudar la operación lo mas rápidamente posible.
En una situación ideal, se deberían elaborar planes para manejar cualquier contingencia que
se presente.
Analizando cada aplicación se deben definir planes de recuperación y reanudación, para
asegurarse que los usuarios se vean afectados lo menos posible en caso de falla o siniestro.
Las acciones de recuperación disponibles a nivel operativo pueden ser algunas de las
siguientes:
• En algunos casos es conveniente no realizar ninguna acción y reanudar el proceso.
• Mediante copias periódicas de los archivos se puede reanudar un proceso a partir de
una fecha determinada.
• El procesamiento anterior complementado con un registro de las transacciones que
afectaron a los archivos permitirá retroceder en los movimientos realizados a un
archivo al punto de tener la seguridad del contenido del mismo a partir de él
reanudar el proceso.
• Analizar el flujo de datos y procedimientos y cambiar el proceso normal por un
proceso alterno de emergencia.
• Reconfigurar los recursos disponibles, tanto de equipo y sistemas como de
comunicaciones.
Cualquier procedimiento que se determine que es el adecuado para un caso de emergencia
deberá ser planeado y probado previamente.
Este grupo de emergencia deberá tener un conocimiento de los posibles procedimientos que
puede utilizar, además de un conocimiento de las características de las aplicaciones, tanto
desde el punto técnico como de su prioridad, el nivel de servicio planeado y su influjo en la
operación de la organización.
Además de los procedimientos de recuperación y reinicio de la información, se deben
contemplar los procedimientos operativos de los recursos físicos como hardware y
comunicaciones, planeando la utilización de equipos que permitan seguir operando en caso
de falta de la corriente eléctrica, caminos alternos de comunicación y utilización de
instalaciones de cómputo similares. Estas y otras medidas de recuperación y reinicio
deberán ser planeadas y probadas previamente como en el caso de la información.
El objetivo del siguiente cuestionario es evaluar los procedimientos de restauración y
repetición de procesos en el sistema de cómputo.

J Juan Hernández M 119


Notas para Auditoria de Sistemas

1) ¿Existen procedimientos relativos a la restauración y repetición de procesos en el sistema


de cómputo?
SI ( ) NO ( )
2) ¿ Enuncie los procedimientos mencionados en el inciso anterior?
3) ¿Cuentan los operadores con alguna documentación en donde se guarden las
instrucciones actualizadas para el manejo de restauraciones?
SI ( ) NO ( )
En el momento que se hacen cambios o correcciones a los programas y/o archivos se deben
tener las siguientes precauciones:
1) Las correcciones de programas deben ser debidamente autorizadas y probadas. Con esto
se busca evitar que se cambien por nueva versión que antes no ha sido perfectamente
probada y actualizada.
2) Los nuevos sistemas deben estar adecuadamente documentos y probados.
3) Los errores corregidos deben estar adecuadamente documentados y las correcciones
autorizadas y verificadas.
Los archivos de nuevos registros o correcciones ya existentes deben estar documentados y
verificados antes de obtener reportes.

PROCEDIMIENTOS DE RESPALDO EN CASO DE DESASTRE

Se debe establecer en cada dirección de informática un plan de emergencia el cual ha de ser


aprobado por la dirección de informática y contener tanto procedimiento como información
para ayudar a la recuperación de interrupciones en la operación del sistema de cómputo.
El sistema debe ser probado y utilizado en condiciones anormales, para que en casó de
usarse en situaciones de emergencia, se tenga la seguridad que funcionará.
La prueba del plan de emergencia debe hacerse sobre la base de que la emergencia existe y
se ha de utilizar respaldos.
Se deben evitar suposiciones que, en un momento de emergencia, hagan inoperante el
respaldo, en efecto, aunque el equipo de cómputo sea aparentemente el mismo, puede haber
diferencias en la configuración, el sistema operativo, en disco etc.
El plan de emergencia una vez aprobado, se distribuye entre personal responsable de su
operación, por precaución es conveniente tener una copia fuera de la dirección de
informática.
En virtud de la información que contiene el plan de emergencia, se considerará como
confidencial o de acceso restringido.
La elaboración del plan y de los componentes puede hacerse en forma independiente de
acuerdo con los requerimientos de emergencia, La estructura del plan debe ser tal que
facilite su actualización.
Para la preparación del plan se seleccionará el personal que realice las actividades claves
del plan. El grupo de recuperación en caso de emergencia debe estar integrado por personal
de administración de la dirección de informática, debe tener tareas específicas como la
operación del equipo de respaldo, la interfaz administrativa.
Los desastres que pueden suceder podemos clasificar así:
a) Completa destrucción del centro de cómputo,
b) Destrucción parcial del centro de cómputo,
c) Destrucción o mal funcionamiento de los equipos auxiliares del centro de cómputo

J Juan Hernández M 120


Notas para Auditoria de Sistemas

(electricidad, aire, acondicionado, etc.)


d) Destrucción parcial o total de los equipos descentralizados
e) Pérdida total o parcial de información, manuales o documentación
f) Pérdida del personal clave
g) Huelga o problemas laborales.
El plan en caso de desastre debe incluir:
• La documentación de programación y de operación.
• Los equipos:
• El equipo completo
• El ambiente de los equipos
• Datos y archivos
• Papelería y equipo accesorio
• Sistemas (sistemas operativos, bases de datos, programas).
El plan en caso de desastre debe considerar todos los puntos por separado y en forma
integral como sistema. La documentación estará en todo momento tan actualizada como sea
posible, ya que en muchas ocasiones no se tienen actualizadas las últimas modificaciones y
eso provoca que el plan de emergencia no pueda ser utilizado.
Cuando el plan sea requerido debido a una emergencia, el grupo deberá:
• Asegurarse de que todos los miembros sean notificados,
• informar al director de informática,
• Cuantificar el daño o pérdida del equipo, archivos y documentos para definir que
parte del plan debe ser activada.
• Determinar el estado de todos los sistemas en proceso,
• Notificar a los proveedores del equipo cual fue el daño,
• Establecer la estrategia para llevar a cabo las operaciones de emergencias tomando
en cuenta:
• Elaboración de una lista con los métodos disponibles para realizar la
recuperación
• Señalamiento de la posibilidad de alternar los procedimientos de operación
(por ejemplo, cambios en los dispositivos, sustituciones de procesos en línea
por procesos en lote).
• Señalamiento de las necesidades para armar y transportar al lugar de
respaldo todos los archivos, programas, etc., que se requieren.
• Estimación de las necesidades de tiempo de las computadoras para un
periodo largo.

Cuando ocurra la emergencia, se deberá reducir la carga de procesos, analizando


alternativas como:
• Posponer las aplicaciones de prioridad más baja,
• Cambiar la frecuencia del proceso de trabajos.
• Suspender las aplicaciones en desarrollo.
Por otro lado, se debe establecer una coordinación estrecha con el personal de seguridad a
fin de proteger la información.
Respecto a la configuración del equipo hay que tener toda la información correspondiente
al hardware y software del equipo propio y del respaldo.

J Juan Hernández M 121


Notas para Auditoria de Sistemas

Deberán tenerse todas las especificaciones de los servicios auxiliares tales como energía
eléctrica, aire acondicionado, etc. a fin de contar con servicios de respaldo adecuados y
reducir al mínimo las restricciones de procesos, se deberán tomar en cuenta las siguientes
consideraciones:
• Mínimo de memoria principal requerida y el equipo periférico que permita procesar
las aplicaciones esenciales.
• Se debe tener documentados los cambios de software.
• En caso de respaldo en otras instituciones, previamente se deberá conocer el tiempo
de computadora disponible.
Es conveniente incluir en el acuerdo de soporte recíproco los siguientes puntos:
• Configuración de equipos.
• Configuración de equipos de captación de datos.
• Sistemas operativos.
• Configuración de equipos periféricos.

J Juan Hernández M 122


Notas para Auditoria de Sistemas

ANEXO 1

PROGRAMA DE AUDITORIA EN SISTEMAS

INSTITUCION________________________ HOJA No.__________________


DE_____________
FECHA DE FORMULACION____________

NUMERO DE DIAS DIAS


DESCRIPCIO ACTIVIDA PERIODO ESTIMADO
FASE PERSONAL HAB HOM.
N D
PARTICIPANTE INICIO TERMINO EST. EST.

ANEXO 2

AVANCE DEL CUMPLIMIENTO DEL PROGRAMA


DE AUDITORIA EN SISTEMAS

INSTITUCION_______________________ NUMERO___________ HOJA No._______


DE_______
PERIODO QUE REPORTA____________________________

J Juan Hernández M 123


Notas para Auditoria de Sistemas

PERIODO REAL EXPLICACIO


SITUACION DE LA
DE LA N DE LAS
AUDITORIA DIAS
AUDITORIA GRAD
DIAS VARIACION
REALES O DE ES EN
FASE HOM.
NO EN TERM UTILIZAD AVAN RELACION
INICIA TERMIN EST.
INICI PROC INAD OS CE CON LO
DA ADA PROGRAMA
ADA ESO A
DO

ANEXO 3

Ejemplo de Propuesta de Servicios de Auditoria en Informática

I. ANTECEDENTES
(Anotar los antecedentes específicos del proyecto de Auditoria)
II. OBJETIVOS
(Anotar el objetivo de la Auditoria)
III. ALCANCES DEL PROYECTO
El alcance del proyecto comprende:
1. Evaluación de la Dirección de Informática en lo que corresponde a:
n Capacitación
n Planes de trabajo
n Controles
n Estándares
2. Evaluación de los Sistemas
a. Evaluación de los diferentes sistemas en operación (flujo de
información, procedimientos, documentación, redundancia,
organización de archivos, estándares de programación, controles,
utilización de los sistemas)
b. Evaluación del avance de los sistemas en desarrollo y congruencia
con el diseño general
c. Evaluación de prioridades y recursos asignados (humanos y equipos
de cómputo)
d. Seguridad física y lógica de los sistemas, su confidencialidad y
respaldos
3. Evaluación de los equipos
n Capacidades
n Utilización
n Nuevos Proyectos
n Seguridad física y lógica

J Juan Hernández M 124


Notas para Auditoria de Sistemas

n Evaluación física y lógica


IV. METODOLOGIA
La metodología de investigación a utilizar en el proyecto se presenta a continuación:
1. Para la evaluación de la Dirección de Informática se llevarán a cabo las
siguientes actividades:
n Solicitud de los estándares utilizados y programa de trabajo
n Aplicación del cuestionario al personal
n Análisis y evaluación del a información
n Elaboración del informe
2. Para la evaluación de los sistemas tanto en operación como en desarrollo se
llevarán a cabo las siguientes actividades:
n Solicitud del análisis y diseño del os sistemas en desarrollo y en operación
n Solicitud de la documentación de los sistemas en operación (manuales
técnicos, de operación del usuario, diseño de archivos y programas)
n Recopilación y análisis de los procedimientos administrativos de cada
sistema (flujo de información, formatos, reportes y consultas)
n Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos
n Análisis del avance de los proyectos en desarrollo, prioridades y personal
asignado
n Entrevista con los usuarios de los sistemas
n Evaluación directa de la información obtenida contra las necesidades y
requerimientos del usuario
n Análisis objetivo de la estructuración y flujo de los programas
n Análisis y evaluación de la información recopilada
n Elaboración del informe
3. Para la evaluación de los equipos se levarán a cabo las siguientes
actividades:
n Solicitud de los estudios de viabilidad y características de los equipos
actuales, proyectos sobre ampliación de equipo, su actualización
n Solicitud de contratos de compra y mantenimientos de equipo y sistemas
n Solicitud de contratos y convenios de respaldo
n Solicitud de contratos de Seguros
n Elaboración de un cuestionario sobre la utilización de equipos, memoria,
archivos, unidades de entrada/salida, equipos periféricos y su seguridad
n Visita técnica de comprobación de seguridad física y lógica de la
instalaciones de la Dirección de Informática
n Evaluación técnica del sistema electrónico y ambiental de los equipos y del
local utilizado
n Evaluación de la información recopilada, obtención de gráficas, porcentaje
de utilización de los equipos y su justificación
4. Elaboración y presentación del informe final ( conclusiones y
recomendaciones)
V. TIEMPO Y COSTO
(Poner el tiempo en que se llevará a cabo el proyecto , de preferencia indicando el
tiempo de cada una de las etapas, costo del proyecto

J Juan Hernández M 125


Notas para Auditoria de Sistemas

Auditoria aplicada a la seguridad en


redes de computadores

Introducción
La organización en la parte de las redes de comunicaciones de computadores es un
punto de viraje bastante importante; es por ello, que uno de los modelos de red más
conocidos, es el modelo OSI.
A grandes rasgos, el modelo OSI, dado por capas, está dividido en:

Capa física:
Se encarga de garantizar la integridad de la información transmitida por la red; por ejemplo,
si se envía un 0, que llegue un 0 .

Capa de enlace:
Garantiza que la línea o canal de transmisión, esté libre de errores.

Capa de red:
Determina como se encaminan los paquetes, de la fuente al destino.
Igualmente, debe velar por el tráfico de la red, evitando al máximo las congestiones. Para
ello, debe llevar un registro contable de los paquetes que transitan.

Capa de transporte:
Divide los datos en unidades más pequeñas y garantiza que tal información transmitida,
llegue correctamente a su destino.
De igual forma, crea una conexión de red distinta para cada conexión de transporte
requerida, regulando así el flujo de información.
Analiza también, el tipo de servicio que proporcionará la capa de sesión y finalmente a los
usuarios de red.

Capa de sesión:
Maneja el sentido de transmisión de los datos y la sincronización de operaciones; es decir,
si uno transmite, el otro se prepare para recibir y viceversa o
Situaciones Commit, donde tras algún problema, se sigue tras ultimo punto de verificación.

Capa de presentación:
Se encarga de analizar si el mensaje es semántica y sintácticamente correcto.

Capa de aplicación:
Implementación de protocolos y transferencia de archivos.

Lo anterior, nos permite describir 3 tipos de fallos en la seguridad de la red:

J Juan Hernández M 126


Notas para Auditoria de Sistemas

1) Alteración de bits: Se corrige por código de redundancia cíclico.


2) Ausencia de tramas: Las tramas se desaparecen por el ambiente o una
sobrecarga del sistema; para ello, se debe tener un número de secuencia de
tramas.
3) Alteración de la secuencia en la cual el receptor reconstruye mensaje.

Otro de los tipos de modelos de referencia más conocidos, es el TCP/IP, hoy día, con
algunas variaciones, como el de encapsular varios protocolos, como el Netbios; el TCP/IP
da replicación de los canales para posibles caídas del sistema.
Bajo ésta política, entonces se ha definido como clases de redes:
? Intranet = Red interna de la empresa.
? Extranet = Red externa pero directamente relacionada a la empresa.
? Internet = La red de redes.

El problema de tales implementaciones, es que por los puertos de estandarización pública


de TCP/IP, se puede entrar cualquier tercero para afectar la red de la compañía o su flujo de
información
Tal cuestión, es recurrente sobretodo en el acceso de la red interna de la compañía a la
Internet, para lo cual, y como medida de protección, se usan Firewall ( cortafuegos ) que
analizan todo tipo de información que entra por Internet a la compañía, activando una
alarma, en caso de haber algún intruso o peligro por esa vía a la red.
La compañía puede definir 2 tipos extremos de políticas de seguridad:
? Políticas paranoicas: Toda acción o proceso está prohibido en la red.
? Políticas promiscuas: No existe la más mínima protección o control a las acciones
de los usuarios en la red.

No importa lo que haga la empresa, siempre va a haber un punto de fallo, para adelantarse a
intrusos, entonces se han ideado algunas herramientas para probar la eficacia de las
políticas de seguridad en red de la empresa, algunas de tales herramientas, son: SAFEsuite
y COPS. Estas empiezan probando la fiabilidad de las contraseñas de usuario usando
algunas técnicas de indagación como es el leer el tráfico de la red buscando en tal
información sobre nombres de usuarios y contraseñas respectivas, probar la buena fé de los
usuarios mandándoles mensajes de la administración solicitando su contraseña a una
especificada por la herramienta o probando contraseñas comunes o por defecto en muchos
sistemas.

2. Auditoria de comunicaciones:
Ha de verse:
? La gestión de red = los equipos y su conectividad.
? La monitorización de las comunicaciones.
? La revisión de costes y la asignación formal de proveedores.
? Creación y aplicabilidad de estándares.

Cumpliendo como objetivos de control:


? Tener una gerencia de comunicaciones con plena autoridad de voto y acción.

J Juan Hernández M 127


Notas para Auditoria de Sistemas

? Llevar un registro actualizado de módems, controladores, terminales, líneas y todo


equipo relacionado con las comunicaciones.
? Mantener una vigilancia constante sobre cualquier acción en la red.
? Registrar un coste de comunicaciones y reparto a encargados.
? Mejorar el rendimiento y la resolución de problemas presentados en la red.

Para lo cual se debe comprobar:


? El nivel de acceso a diferentes funciones dentro de la red.
? Coordinación de la organización de comunicación de datos y voz.
? Han de existir normas de comunicación en:
- Tipos de equipamiento como adaptadores LAN.
- Autorización de nuevo equipamiento, tanto dentro, como fuera de las
horas laborales.
- Uso de conexión digital con el exterior como Internet.
- Instalación de equipos de escucha como Sniffers (exploradores
físicos) o Traceadores (exploradores lógicos).
? La responsabilidad en los contratos de proveedores.
? La creación de estrategias de comunicación a largo plazo.
? Los planes de comunicación a alta velocidad como fibra óptica y ATM ( técnica de
conmutación de paquetes usada en redes MAN e ISDN).
? Planificación de cableado.
? Planificación de la recuperación de las comunicaciones en caso de desastre.
? Ha de tenerse documentación sobre el diagramado de la red.
? Se deben hacer pruebas sobre los nuevos equipos.
? Se han de establecer las tasas de rendimiento en tiempo de respuesta de las
terminales y la tasa de errores.
? Vigilancia sobre toda actividad on-line.
? La facturación de los transportistas y vendedores ha de revisarse regularmente.

3. Auditoria De La Red Física


Se debe garantizar que exista:
? Áreas de equipo de comunicación con control de acceso.
? Protección y tendido adecuado de cables y líneas de comunicación para evitar
accesos físicos.
? Control de utilización de equipos de prueba de comunicaciones para monitorizar la
red y el trafico en ella.
? Prioridad de recuperación del sistema.
? Control de las líneas telefónicas.

Comprobando que:
? El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.
? La seguridad física del equipo de comunicaciones sea adecuada.
? Se tomen medidas para separar las actividades de los electricistas y de cableado de
líneas telefónicas.
? Las líneas de comunicación estén fuera de la vista.
? Se dé un código a cada línea, en vez de una descripción física de la misma.

J Juan Hernández M 128


Notas para Auditoria de Sistemas

? Haya procedimientos de protección de los cables y las bocas de conexión para evitar
pinchazos a la red.
? Existan revisiones periódicas de la red buscando pinchazos a la misma.
? El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones
específicas.
? Existan alternativas de respaldo de las comunicaciones.
? Con respecto a las líneas telefónicas: No debe darse el número como público y
tenerlas configuradas con retrollamada, código de conexión o interruptores.

4. Auditoria De La Red Lógica


En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a
enviar mensajes hasta que satura por completo la red.

Para éste tipo de situaciones:


? Se deben dar contraseñas de acceso.
? Controlar los errores.
? Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para
esto, regularmente se cambia la ruta de acceso de la información a la red.
? Registrar las actividades de los usuarios en la red.
? Encriptar la información pertinente.
? Evitar la importación y exportación de datos.

Que se comprueban si:


El sistema pidió el nombre de usuario y la contraseña para cada sesión:
En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin autorización,
ha de inhabilitarse al usuario que tras un número establecido de veces erra en dar
correctamente su propia contraseña, se debe obligar a los usuarios a cambiar su contraseña
regularmente, las contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada
usuario, se debe dar información sobre su última conexión a fin de evitar suplantaciones.

? Inhabilitar el software o hardware con acceso libre.


? Generar estadísticas de las tasas de errores y transmisión.
? Crear protocolos con detección de errores.
? Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
? El software de comunicación, ha de tener procedimientos correctivos y de control
ante mensajes duplicados, fuera de orden, perdidos o retrasados.
? Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser
vistos desde una terminal debidamente autorizada.
? Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
? Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión
entre diferentes organizaciones.
? Asegurar que los datos que viajan por Internet vayan cifrados.
? Si en la LAN hay equipos con modem entonces se debe revisar el control de
seguridad asociado para impedir el acceso de equipos foráneos a la red.
? Deben existir políticas que prohíban la instalación de programas o equipos
personales en la red.

J Juan Hernández M 129


Notas para Auditoria de Sistemas

? Los accesos a servidores remotos han de estar inhabilitados.


? La propia empresa generará propios ataques para probar solidez de la red y
encontrar posibles fallos en cada una de las siguientes facetas:
- Servidores = Desde dentro del servidor y de la red interna.
- Servidores web.
- Intranet = Desde dentro.
- Firewall = Desde dentro.
- Accesos del exterior y/o Internet.

5. Criptografia
La criptografía se define como “ las técnicas de escrituras tales que la información esté
oculta de intrusos no autorizados”. Esto, no incluye el criptoanálisis que trata de reventar
tales técnicas para descubrir el mensaje oculto.
Existen 2 tipos de criptoanálisis:
Diferencial:
Con variaciones de un bit en cada intento, trata de averiguar la clave de descifrado del
mensaje oculto.

Lineal :
Se apoya en variaciones XOR entre cada par de bits, hasta que se logre obtener un único
bit, parte de la clave.
Relacionado con esto, se ha desarrollado también la esteganografía, que bajo un camuflaje
totalmente ajeno al mensaje a transmitir, se envía la información oculta.
Aunque el cifrado de información es una excelente técnica para proteger los datos, no
debería convertirse en el desvelo de la compañía, pues existen otros tipos de debilidades
más importantes para tratar por la compañía, ello, además porque ya existen diferentes
programas, hasta gratuitos, como algunas versiones de PGP, tales que toda la potencia
informática del mundo, podría romperlos.

Algunos tipos de métodos de criptografía, son:


Transposición :
Invierte el orden de los caracteres en el mensaje. Por ejemplo, si se quiere cifrar “El perro
de san Roque no tiene rabo ” , colocándolo en un arreglo de columnas de tamaño n, con
clave de descifrado k = n en secuencia con 5 columnas {3,2,5,1,4}, el mensaje cifrado
quedaría = “osonea lr r ir ednu eo ere et p aqonb”
Tal mecanismo, se criptoanaliza con estudios de factibilidad de cierto tipo de tuplas.

DES:
Utiliza una clave de 56 bits para codificar bloques de 64 bits, por su escasa longitud de
clave de acceso, es fácil de romper.

IDEA:
Surgió del DES, IDEA genera bloques de ciframiento de 64 bits con una clave de 128 bits,
además usa diversas técnicas de confusión, como es el XOR, suma modulo 2^16 y producto
(2^16)+1 .
El problema de la criptografía de llave privada, es que en una red muy grande, en caso de
que se decida cambiar la clave de desciframiento, hay que notificar a cada uno de los

J Juan Hernández M 130


Notas para Auditoria de Sistemas

participantes en los procesos de transmisión de datos, corriéndose el peligro de que caiga la


nueva clave en manos no autorizadas..
Es por ello, que se ha desarrollado la criptografía de llave pública, que consta de 2 tipos de
llaves:
? Una que es pública y conocida por todos los miembros autorizados de la red.
? Una segunda, que es privada y solo la conoce su dueño y el paquete cifrado.

De esa forma, si es necesario cambiar las claves, se notifica por un mensaje cifrado a todos
los participantes de la transmisión usando la llave pública.
RSA es un tipo común de transmisión encriptada por llave privada, opera por
factorizaciones de los mensajes clave o registro por números primos de orden.

Consideraciones para Elaborar un Sistema de Seguridad Integral


Como hablamos de realizar la evaluación de la seguridad es importante también conocer
como desarrollar y ejecutar el implantar un sistema de seguridad.
Desarrollar un sistema de seguridad significa: “planear, organizar coordinar dirigir y
controlar las actividades relacionadas a mantener y garantizar la integridad física de los
recursos implicados en la función informática, así como el resguardo de los activos de la
empresa.”
Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad.

• Sistema Integral de Seguridad
Un sistema integral debe contemplar:
? Definir elementos administrativos
? Definir políticas de seguridad
? A nivel departamental
? A nivel institucional
? Organizar y dividir las responsabilidades
? Definir prácticas de seguridad para el personal:
- Plan de emergencia (plan de evacuación, uso de recursos de
emergencia como extinguidores.
- Números telefónicos de emergencia
? Definir el tipo de pólizas de seguros
? Definir elementos técnicos de procedimientos
? Definir las necesidades de sistemas de seguridad para:
- Hardware y software
- Flujo de energía
- Cableados locales y externos.
? Aplicación de los sistemas de seguridad incluyendo datos y archivos.
? Planificación de los papeles de los auditores internos y externos
? Planificación de programas de desastre y sus pruebas (simulación)
? Planificació n de equipos de contingencia con carácter periódico.
? Control de desechos de los nodos importantes del sistema:
? Política de destrucción de basura copias, fotocopias, etc.
? Consideración de las normas ISO 1400

J Juan Hernández M 131


Notas para Auditoria de Sistemas

Etapas para Implementar un Sistema de Seguridad


Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar
los siguientes puntos:
Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad.
Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la
organización a nivel software, hardware, recursos humanos, y ambientales.
Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando:

• Plan de Seguridad Ideal (o Normativo)
Un plan de seguridad para un sistema de seguridad integral debe contemplar:
- El plan de seguridad debe asegurar la integridad y exactitud de los datos
- Debe permitir identificar la información que es confidencial
- Debe contemplar áreas de uso exclusivo
- Debe proteger y conservar los activos de desastres provocados por la mano del
hombre y los actos abiertamente hostiles
- Debe asegurar la capacidad de la organización para sobrevivir accidentes
- Debe proteger a los empleados contra tentaciones o sospechas innecesarias
Donde:
Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc)
Medidas pre.. (políticas, sistemas de seguridad, planes de emergencia, plan de resguardo,
seguridad de personal, etc)

• Consideraciones para con el Personal
Es de gran importancia la elaboración del plan considerando el personal, pues se debe
llevar a una conciencia para obtener una autoevaluación de su comportamiento con respecto
al sistema, que lleve a la persona a:
Asumir riesgos
Cumplir promesas
Innovar
Para apoyar estos objetivos se debe cumplir los siguientes pasos:
Motivar
1) Se debe desarrollar métodos de participación reflexionando sobre lo que
significa la seguridad y el riesgo, así como su impacto a nivel empresarial, de
cargo y individual.
2) Capacitaciónón General
3) En un principio a los ejecutivos con el fin de que conozcan y entiendan la
relación entre seguridad, riesgo y la información, y su impacto en la empresa. El
objetivo de este punto es que se podrán detectar las debilidades y
potencialidades de la organización frente al riesgo.
4) Este proceso incluye como práctica necesaria la implantación la ejecución de
planes de contingencia y la simulación de posibles delitos.
5) Capacitación de Técnicos

J Juan Hernández M 132


Notas para Auditoria de Sistemas

6) Se debe formar técnicos encargados de mantener la seguridad como parte de su


trabajo y que esté capacitado para capacitar a otras personas en lo que es la
ejecución de medidas preventivas y correctivas.
7) Practica y Cultura
8) Se debe establecer un método de educación estimulando el cultivo de elevados
principios morales, que tengan repercusión a nivel personal e institucional.
9) De ser posible realizar conferencias periódicas sobre: doctrina, familia,
educación sexual, relaciones humanas, etc.

10) Etapas para Implantar un Sistema de Seguridad en Marcha


11) Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se
observen y acepten las nuevas instituciones, leyes y costumbres del nuevo
sistema de seguridad se deben seguir los siguiente 8 pasos:
1. Introducir el tema de seguridad en la visión de la
empresa.
2. Definir los procesos de flujo de información y sus
riesgos en cuanto a todos los recursos participantes.
3. Capacitar a los gerentes y directivos, contemplando el
enfoque global.
4. Designar y capacitar supervisores de área.
5. Definir y trabajar sobre todo las áreas donde se pueden
lograr mejoras relativamente rápidas.
6. Mejorar las comunicaciones internas.
7. Identificar claramente las áreas de mayor riesgo
corporativo y trabajar con ellas planteando soluciones
de alto nivel.
8. Capacitar a todos los trabajadores en los elementos
básicos de seguridad y riesgo para el manejo del
software, hardware y con respecto a la seguridad
física.

12) Beneficios de un Sistema de Seguridad


13) Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya
que el la organización trabajará sobre una plataforma confiable, que se refleja en
los siguientes puntos:
14) Aumento de la productividad.
15) Aumento de la motivación del personal.
16) Compromiso con la misión de la compañía.
17) Mejora de las relaciones laborales.
18) Ayuda a formar equipos competentes.
19) Mejora de los climas laborales para los RR.HH.

J Juan Hernández M 133


Notas para Auditoria de Sistemas

El informe del auditor


1. Introducción
Importantes innovaciones han venido a alterar el concepto, ámbito y aplicación de las
operaciones de auditoría de una empresa moderna. Tales cambios han producido un
instrumento crítico de administración cuyo propósito es controlar y analizar las funciones
importantes de su firma. Dicho instrumento es la Auditoría.
El propósito de este Módulo es el de dar a conocer en forma resumida la función e
interpretación de Normas que se deben cumplir con el objeto de comunicar a la
administración e interesados los resultados de una labor realizada para la toma de
decisiones en un momento dado.

2. Función del informe del auditor


Función del Auditor
23. La administración empieza por decidir que la compañía tiene necesidad
inmediata de una función de auditoría. Luego, establece el marco
organizacional dentro de la empresa y también dentro de la propia función de
auditoría.
El ingrediente primario del éxito de la función de auditoría consiste en el grado de apoyo
que le dé la administración. A fin de asegurar su eficacia, la administración debe prestarle
todo su apoyo.
Las obligaciones y responsabilidades de la función de auditoría consiste en el análisis de
cada departamento operativo y en el ulterior informe a la administración sobre los
resultados de sus verificaciones. La función de auditoría le cabe la responsabilidad de
formular recomendaciones objetivas para corregir las situaciones denunciadas.
La opinión de un auditor respecto de los estados financieros de un cliente se expresa en lo
que se acostumbra denominar “Dictamen” (1).

Normas Relativas a la Información y al Dictamen


Primera Norma Relativa al Informe.
El dictamen deberá señalar si los estados financieros están presentados de conformidad con
los principios de contabilidad generalmente aceptados.
El término (2) “principios de contabilidad generalmente aceptados”
Tal como se usa en las normas relativas al informe, debe interpretarse en el sentido de que
no sólo incluye los principios y prácticas contables, sino también los métodos para
aplicarlos. La primera norma sobre el informe requiere del auditor, no una declaración de
hechos sino una opinión con respecto a si los estados financieros se presentan de
conformidad con tales principios. Si las limitaciones en el alcance del examen del auditor lo
imposibilitan para formarse una opinión con respecto a ese cumplimiento se requiere la
salvedad apropiada en su dictamen.
La determinación de si los estados financieros se presentan de acuerdo con principios de
contabilidad generalmente aceptados requiere usar el criterio para definir si los principios
empleados en los estados, han tenido aceptación general.

J Juan Hernández M 134


Notas para Auditoria de Sistemas

Los principios de contabilidad generalmente aceptados evolucionan y cambian. Las


declaraciones publicadas por los órganos facultados del Instituto Americano de Contadores
reconocen esos cambios. La primera norma relativa al informe y al dictamen, supone que
el auditor independiente estará al pendiente de esas declaraciones.
Segunda Norma Sobre Uniformidad.
El dictamen deberá indicar si tales principios se han aplicado consistentemente con el
período anterior.
El objetivo de la norma sobre uniformidades:
a). asegura que la comparabilidad de los estados financieros entre distintos períodos no
haya sido afectada en grado importante por cambios en principios de contabilidad, los
cuales incluyen no sólo los principios y prácticas sino también los métodos de su
aplicación,
b). si la comparabilidad ha sido afectada en grado importante por tales cambios, requerir del
auditor independiente la manera apropiada de informar sobre dichos cambios. Está
implícito en este objetivo que tales principios hayan sido uniformemente observados dentro
de cada período.
La aplicación apropiada de la norma sobre uniformidad por el auditor independiente
requiere del entendimiento de la relación que existe entre uniformidad y comparabilidad.
Aunque la falta de uniformidad puede causar falta de comparabilidad, otros factores ajenos
a la uniformidad también originan falta de comparabilidad.
La comparación de los estados financieros de una entidad entre distintos años puede verse
afectada por:
a) cambios contables
b) un error en estados financieros expedidos anteriormente,
c) cambios en clasificaciones y,
d). Eventos o transacciones sustancialmente diferentes de aquella incluidas en los estados
financieros anteriormente expedidos.

Un cambio en principio resulta de la adopción de un principio de contabilidad generalmente


aceptado distinto de otro que se uso anteriormente para fines de información. El término
principios de contabilidad incluye no solo los principios y prácticas contables sino también
los métodos para su aplicación. Un cambio en principio de contabilidad incluye por
ejemplo, un cambio de método de depreciación de línea recta al de saldos decrecientes para
todos los activos de determinado tipo o para todas las nuevas adquisiciones de determinado
tipo de activo, y un cambio al considerar como gastos los costos de investigación y
desarrollo y amortizar dichos costos durante el período estimado de beneficio. La norma
sobre uniformidad es aplicable sobre este tipo de cambio y requiere reconocimiento del
cambio en la opinión del auditor con respecto a la uniformidad.

Tercera Norma Revelaciones Informativas Adecuadas.


Salvo que se señale lo contrario en el informe, se juzgará que las notas aclaratorias a los
estados financieros son adecuadas.
La razonabilidad de la presentación de los estados financieros de conformidad con
principios de contabilidad generalmente aceptados, incluye las revelaciones adecuadas
referentes a cuestiones importantes. Estas cuestiones se refieren a la forma, disposición y
contenido de los estados financieros con sus notas anexas; la terminología empleada; la
cantidad de detalles suministrados; la clasificación de las partidas en los estados; las bases

J Juan Hernández M 135


Notas para Auditoria de Sistemas

de las cantidades presentadas, por ejemplo con respecto a activos tales como los inventarios
y las plantas industriales; gravámenes sobre activos; dividendos atrasados; restricciones
sobre el pago de dividendos; pasivos contingentes; y la existencia de intereses de
subsidiarias y afiliadas y la naturaleza y volumen de las transacciones con tales intereses.
Esta enumeración no pretende ser limitativa sino simplemente enunciativa de la naturaleza
y tipo de las revelaciones necesarias para que los estados financieros sean suficientemente
informativos.
No debe confundirse el exceso de palabras con una revelación adecuada. El auditor
independiente debe emplear su juicio a la luz de las circunstancias y hechos de los que se
dé cuenta en esa ocasión para decidir qué es lo que constituye un asunto que requiera ser
revelado. El hecho de que los acontecimientos posteriores puedan dar mayor importancia a
cuestiones que en otro tiempo parecía que no la tenía, no invalidan por si mismos la solidez
de su juicio. No puede aceptarse que la previsión de un hecho y la percepción a posteriori
del mismo tengan el mismo peso en el proceso de llegar a conclusiones en un principio. La
percepción tardía debe eliminarse de los factores por los cuales se juzga la solidez de las
conclusiones anteriores.
Si se omiten en los estados financieros cuestiones que el auditor independiente considera
que requieren ser reveladas, estas cuestiones deberán ser incluidas en su informe, y el
auditor deberá expresar en su opinión la excepción apropiada.
No debe considerarse que la revelación requiere la publicación de cierto tipo de
información que pueda ser perjudicial para la compañía o para sus accionistas. Por ejemplo,
la amenaza de acción legal por la violación de tina patente podría inducir a una gerencia
escrupulosa a crear una reserva amplia para una posible pérdida, aun cuando haya
decidido pelear vigorosamente esa partida. Pero la publicidad que se diera a dicha reserva
podría redundar en un daño para la compañía o para sus accionistas, porque los tribunales
han sostenido que una reserva creada en relación con una violación de patente, constituye
una distribución de utilidades sujeta a disputa, no obstante, la negativa de parte de la
compañía o de su gerencia a admitir que tal reserva pudiera ser una proporción equitativa
de las utilidades en disputa.
La cuestión de las revelaciones que deben hacerse en los estados financieros está en cierta
forma relacionada con la información que el auditor recibe sobre bases confidenciales que
tiene una calidad semejante a las comunicaciones privilegiadas. Sin esta base de
confidencialidad, el auditor puede tener dificultad a veces para obtener la información
necesaria para formular su opinión. Si la información recibida, en su opinión, no requiere
ser revelada para que los estados financieros no induzcan a conclusiones erróneas, esta
norma no requiere que tal información sea revelada.

Cuarta Norma La Expresión de Opinión.


El objetivo de la cuarta norma relativa a la información y al dictamen es evitar una mala
interpretación del grado de responsabilidad que el auditor independiente está asumiendo
siempre que su nombre esté relacionado con estados financieros. Al pensar en el grado de
responsabilidad que está asumiendo, el auditor no debe olvidar que la justificación para
expresar su opinión, ya sea con salvedad o sin ella se basa en el grado en que el alcance de
su examen se haya ajustado a las normas de auditoria generalmente aceptadas.
Un auditor podrá emitir un Informe: sin salvedades, con salvedades, negación de opinión o
adverso.

J Juan Hernández M 136


Notas para Auditoria de Sistemas

Dictamen sin salvedades. Si como resultado de su examen, un auditor no tiene oposición


alguna respecto al contenido y presentación de estados fina ncieros, respecto a la aplicación
de los principios contables, respecto a la consistencia en la aplicación de dichos principios
en relación con el año anterior habrá de rendir un dictamen (favorable) sin salvedades.
Generalmente, la forma corta de dictamen del auditor se emplea en relación con los estados
financieros básicos. La forma corta usual de dictamen consiste en una exposición del
trabajo ejecutado, expresado en un párrafo inicial o en alcance, y en una exposición de las
conclusiones del auditor independiente, en un párrafo final a la opinión.
Debido a la importancia que tiene la opinión del auditor independiente para el público
inversionista y el que otorga crédito, y de la responsabilidad que contrae al expresarla, es
importante una uniformidad razonable en la forma de expresar su opinión, tanto para el
auditor como para aquéllos que confían en sus conclusiones.

Se recomienda el siguiente modelo de dictamen corto del auditor independiente:


Hemos examinado el balance general de la compañía X al 31de diciembre de 19.., y los
estados de resultados de operación y utilidades acumuladas y de cambios en la situación
financiera que le son relativos por el año que terminó en esa fecha. Nuestro examen se
efectuó de acuerdo con las normas de auditoría generalmente aceptadas y en consecuencia,
incluyó las pruebas de los registros de contabilidad y los demás procedimientos de auditoría
que consideramos necesarios en las circunstancias.
En nuestra opinión, los estados financieros antes mencionados presentan razonablemente la
situación financiera de compañía x al 31 de diciembre de 19.. y el resultado de sus
operaciones y los cambios en su situación financiera por el año que terminó en esa fecha,
de conformidad con principios de contabilidad generalmente aceptados que fueron
aplicados uniformemente en relación al año anterior.

El dictamen debe dirigirse al cliente, o al Consejo de Administración o a los accionistas del


cliente, si son ellos quienes hicieron la contratación o si se prefiere destinarlo a ellos.
Cuando la designación del auditor es hecha por los consejeros y es aprobada por los
accionistas el dictamen puede dirigirse a ambos.
Dictamen con Salvedades. Si un cliente no ha aplicado correctamente los principios de
contabilidad, o si un auditor no puede adherirse a normas de auditorias reconocidas debido
a que se ha visto restringido en la aplicación de procedimientos reconocidos de auditoría en
el curso de esta, o si el auditor tiene incertidumbre respecto a una situación específica, el
informe de auditoría contendrá un dictamen con salvedades. Este dictamen se rinde con
salvedades pues existe un asunto pendiente de solución. (ver anexo #1)
Dictamen en el Sentido de no Poder Rendir una Opinión. Si un auditor se ve muy
restringido por la administración para llevar a cabo su labor de investigación, o bien si las
excepciones a las prácticas seguidas por el cliente son de tal magnitud, o si el párrafo de
alcance o de procedimiento contiene tantas salvedades que provocaría que se rindiera una
opinión negativa, el auditor deberá indicar que no se encuentra capacitado para rendir una
opinión señalando las razones para ello. (ver anexo #2)
Dictamen Negativo (o Adverso). Una opinión negativa (o adversa) debe externarse cuando
un auditor está en total desacuerdo con un cliente y no puede convencerlo de que cambie de
procedimiento (o procedimientos), o cuando el cliente viola el reconocimiento de la
aplicación de principios contables reconocidos y se niega a cambiar su criterio. (ver anexo
# 3)

J Juan Hernández M 137


Notas para Auditoria de Sistemas

Opiniones Parciales con Ciertas Partidas de los Estados Financieros. En una opinión
parcial, un auditor habrá de abstenerse a rendir una opinión o bien podrá rendir una adversa
con respecto a los estados financieros tomados en conjunto; sin embargo, él considera que
puede dar una opinión buena con respecto a ciertas partidas de los estados financieros. Una
opinión parcial debe redactarse de forma tal que no se contradiga a la abstención de opinión
o bien a una adversa y deberá presentarse a continuación de la abstención de opinión u
opinión adversa de los estados financieros tomados en conjunto.
El dictamen deberá contener la opinión del Auditor con respecto a los estados financieros,
tomados en conjunto, o bien habrá de indicar que se abstiene de rendir una opinión acerca
de ellos. Cuando no se puede rendir una opinión general acerca de éstos, se deberán indicar
las razones para ello. En todos los casos en que aparezca el nombre de un auditor en
relación con estados financieros, el informe deberá contener una aclaración del carácter del
examen del auditor, y el grado de responsabilidad que está asumiendo.

3. Definición de presentan razonablemente


Significado de “Presentan Razonablemente” de conformidad con P.C.G.A., en el dictamen
del auditor independiente.
La opinión limpia de un auditor independiente normalmente se redacta como sigue:
En nuestra opinión, los estados financieros antes mencionados presentan razonablemente la
situación financiera de Compañía X al 31 de diciembre de 19xx, y el resultado de sus
operaciones y los cambios en su situación financiera por el año que terminó en esa fecha,
de conformidad con principios de contabilidad generalmente aceptados que fueron
aplicados uniformemente en relación al año anterior.
El propósito de esta declaración es el de explicar el significado de la frase “presentan
razonablemente de conformidad con principios de contabilidad generalmente aceptados” en
el dictamen del auditor independiente. (3)
La primera norma relativa al informe requiere que un auditor que ha examinado los estados
financieros de acuerdo con las normas de auditoría generalmente aceptadas exprese en su
dictamen si los estados financieros se presentan de conformidad con los principios de
contabilidad generalmente aceptados. La frase Principios de Contabilidad Generalmente
Aceptados, es un termino técnico contable que comprende los convencionalismos, reglas y
procedimientos necesarios para definir la práctica contable aceptada a una fecha en
particular. Incluye no solamente guías de aplicación general, sino también prácticas y
procedimientos detallados, estos convencionalismos, reglas y procedimientos proporcionan
una base para medir la presentación financiera.
El juicio del auditor independiente relativo a la Razonabilidad de la presentación de los
estados financ ieros tomados en conjunto debe aplicarse dentro del marco de los principios
de contabilidad generalmente aceptados. Sin ese marco el auditor no tendría una base
uniforme para juzgar la presentación de la situación financiera, los resultados de la
operació n y los cambios en la situación financiera en los estados financieros.
La opinión del auditor en lo que se refiere a que los estados financieros presentan
razonablemente la situación financiera de una entidad y el resultado de sus operaciones y
los cambios en sus situación financiera de conformidad con principios de contabilidad
generalmente aceptados debe basarse en su juicio respecto si.
a). Los principios de contabilidad seleccionados y aplicados tienen aceptación general.
b). Los principios de contabilidad son los apropiados en las circunstancias.

J Juan Hernández M 138


Notas para Auditoria de Sistemas

c). Los estados financieros, incluyendo sus notas relativas proporcionan información sobre
aspectos que pudieran afectar su uso, su entendimiento y su interpretación.
d). La información presentada en los estados financieros está clasificada y resumida en
forma razonable, esto es ni muy detallada ni muy condensada.
e). Los estados financieros reflejan los eventos y transacciones fundamentales de tal forma
que presentan la situación financiera dentro de un rango de límites que son razonables y
prácticos de lograr en los estados financieros.

Los principios de contabilidad generalmente aceptados son relativamente objetivos; esto es,
están suficientemente establecidos al punto que los auditores independientes usua lmente
están de acuerdo que existen. Sin embargo, la identificación de un principio de
contabilidad como generalmente aceptado en circunstancias particulares requiere de juicio.
No existe una fuente única de referencia para todos los principios de contabilidad
establecidos.
Los principios de contabilidad generalmente aceptados reconocen la importancia de
registrar las transacciones de acuerdo con su naturaleza.(4)
El auditor debe considerar si la naturaleza de las transacciones difiere materialmente de su
forma, El auditor debe familiarizarse con los principios de contabilidad alternativos que
pudieran ser aplicados a las transacciones o hechos a considerar y percatarse de que un
principio de contabilidad puede tener solamente un uso limitado pero que no obstante tiene
aceptación general.
El auditor debe reconocer sin embargo que puede haber circunstancias poco usuales en que
la selección y aplicación de principios de contabilidad específicos, en lugar de principios
alternativos, pudieran hacer que los estados financieros tomados en conjunto fueran
engañosos.

4. Interpretación adecuada en los estados financieros


Revelación adecuada en los estados financieros.
El SAS No.32 Define que lo practicable significa que: la información puede obtenerse en
forma razonable de las cuentas y registros de la gerencia y que el proporcionar la
información en su dictamen, no requiere que el auditor asuma la función del que prepara la
información financiera.
Al llevar a cabo una auditoría y en la elaboración de los estados financieros, los conceptos
de revelación suficiente, consistencia, importancia relativa y conservatismo,
constantemente deberán tenerse en mente.

24. Revelación Suficiente


25. Una revelación adecuada es la base para una información financiera adecuada.
Una revelación adecuada implica que todos los datos y toda la información
pertinente deberá presentarse en los estados financieros y en las notas
aclaratorias y relaciones que acompañan a dichos estados financieros.
26.
27. Característica de una revelación:
28. Toda muestra debe ser adecuada, representativa y deberá reflejar estabilidad.

J Juan Hernández M 139


Notas para Auditoria de Sistemas

29. Una muestra adecuada es aquella que contiene un número suficiente de


partidas que conduzca a los mismos resultados que se obtendrían si otra
muestra u otras muestras del mismo tamaño se seleccionarán del mismo
universo.
30. Una muestra representativa posee características similares a las poseídas por el
resto de los elementos del universo. De conformidad con la teoría de
probabilidades, una muestra seleccionada al azar supuestamente deberá ser lo
suficiente representativa del universo.
31. Una muestra revelará estabilidad cuando los resultados de su estadio hayan de
ser los mismos aun cuando se aumente el tamaño de la muestra.
32. La revelación sería incorrecta, por ejemplo, en el caso de que las inversiones a
largo plazo se clasificaran como activos circulantes con el afán de presentar
una mejor situación financiera a corto plazo; igualmente sería incorrecta si los
activos fijos se presentaran a un valor distinto a su costo de adquisición, sin dar
explicación alguna al respecto; o bien que los sueldos de los ejecutivos se
combinaran con los demás sueldos de oficina o en el caso de que no se
separaran las utilidades por acción común primarias de las utilidades por
acción común plenamente diluidas. Existen muchos otros ejemplos en que no
existiría una revelación adecuada.

Consistencia
La consistencia en cuanto a la elaboración de los estados financieros, significa que los
principios contables han sido aplicados de la misma manera en el período actual en
relación con el anterior. Por ejemplo, no existiría consistencia si los inventarios se
valuaran al costo en un año y en el siguiente se valuaran conforme a alguna otra base.
La consistencia no prohibe que exista un cambio en la aplicación de un principio
contable, pero sí requiere que cuando haya un cambio en la aplicación de un principio
se divulgue, bien sea en los estados financieros o en las notas aclaratorias que los
acompañan, indicando el efecto monetario de tal cambio. Si la consistencia no existe
por dos años consecutivos, ese hecho deberá mencionarse en el informe de auditoría,
conjuntamente con la indicación si se aprueba o no el cambio o cambios en la
aplicación de los principios involucrados.

Importancia Relativa.
Se dice que existe importancia relativa cuando el saldo de una partida constituye un
porcentaje elevado del total para el grupo de partidas a la cual pertenece. La importancia
relativa también es un concepto práctico involucrado en muchos problemas que requieren
de una reve lación adecuada.
Aún cuando una partida de gastos o de ingresos se considere no recurrente y sea ésta de
importancia relativa, deberá presentarse en el Estado de Resultados, pues la realidad es que
dicha partida ocurrió en tal año y por lo tanto debe revelarse como tal. Otro punto que es
motivo de discusión es el que se refiere a lo que se deba considerar como partida
importante o no importante en cuanto a su monto. Esto está sujeto a opinión; sin embargo,
una partida será importante si de acuerdo con el criterio del lector del estado financiero

J Juan Hernández M 140


Notas para Auditoria de Sistemas

considera que así lo sea. Por lo tanto, hasta el momento la profesión contable no puede
establecer algo concreto a la “importancia relativa”.
Conservatismo.
El conservatismo significa moderación o adhesión a principios correctos. Por
conservatismo no se debe implicar que haya una sub-estimación como antes se creía, por
ejemplo, depreciando aceleradamente los activos fijos con el solo fin de presentar utilidades
menores o bien siguiendo la política de contabilizar las pérdidas desde que se conocía,
antes que se realizaran, pero registrando las ganancias hasta que se realizan y por ningún
motivo en una fecha anterior; en otros casos se aplicaba el conservatismo cargando a
gastos algunas partidas que debían capitalizarse mediante incrementos a los activos. El
conservatismo sí implica que los activos y los ingresos no se subestimen a un valor inferior
al valor neto realizable y que los pasivos y gastos no deban ser sobrestimados. La doctrina
del conservatismo se refiere a lo siguiente: Cuando existan dos o más conclusiones
razonables, la elección de aquella que produzca los resultados inmediatos menos favorables
obedece a la aplicación del principio o doctrina del conservatismo. El conservatismo sólo
difiere en un resultado favorable porque la sub-estimación en un periodo conduce a una
sobreestimación en un periodo subsecuente.

Identificación de Informes
El dictamen consta de dos párrafos: el párrafo de procedimiento y el de opinión; en el
primero se indica el alcance de la auditoría y en el segundo aparece la opinión del auditor
respecto a la correcta presentación de los estados financieros.
Los informes de auditoría se clasifican en dos clases:
1. Informe corto denominado dictamen,
2. Informe largo.

Los informes cortos o dictámenes se extienden a favor de los accionistas, quienes no


administran la empresa y también a favor de los acreedores. Los informes de auditoría
Largos, se extienden a favor de la administración y podrán o no dirigirse a los accionistas,
acreedores, analistas de crédito o de inversiones y otras personas interesadas.
En muchas compañías resulta probable que el personal de contabilidad de ellas mismas
pueda elaborar estados financieros adecuados, comparaciones, análisis, presentar
información estadística, calcular razones y hacer comentarios que puedan ser necesarios
para la administración y para fines de control. Por lo tanto, en tales casos el informe de
auditoría será de tipo corto, conjuntamente con notas adecuadas a los estados financieros.
En varias grandes compañías rep7resentantes de los despachos de auditores se encuentran a
diario en dichas compañías. En otras compañías el personal del departamento de
contabilidad puede no estar muy capacitado; en estos casos la administración dependerá de
su auditor no tan sólo para que rinda su opinión con respecto a lo razonable de la
presentación de los estados financieros, sino que también se le pedirá que presente análisis,
razones, comparaciones, etc. En tales casos se elaborará un informe largo de auditoría.
Se ha señalado que el informe extenso de auditoría es de mayor valor que el dictamen,
porque dicho informe Largo es más útil para negociar el crédito y obtención de capital y
también porque el dictamen no detalla el alcance de la revisión para algunas partidas
importantes de los estados financieros. Actualmente la Comisión de Valores está
insistiendo en mejores informes financieros, exigiendo que haya una mejor revelación; el

J Juan Hernández M 141


Notas para Auditoria de Sistemas

lector deberá estar atento a estos avances y a su efecto sobre los informes de auditoría, tanto
aquellos que se publican como los que no se publican.
En los últimos años se ha incrementado el empleo de un dictamen de auditoría modificado.
Este dictamen modificado normalmente contiene todos los elementos de un dic tamen
normal, sólo que presenta en primer término la sección de opinión.
Todos los informes de auditoría deberán contener (1) fecha, (2) dirigidos al cliente y (3)
firmados por el auditor. Todos los informes de auditoría deberán dar cumplimiento con las
Normas de Auditoría Referentes a la Información.
Identificar los Cambios al Dictamen del Auditor Independiente
Informes sobre Estados Financieros Auditados
El Informe Estándar Del Auditor
El informe estándar del auditor declara que los estados financieros presentan
razonablemente, en todos los aspectos, la situación financiera de la entidad, los resultados
de operación flujos de efectivo de conformidad con los principios de contabilidad
generalmente aceptados. Esta conclusión se puede expresar sólo cuando el auditor se ha
formado una opinión, declara que los estados financieros presentan razonablemente, en
sobre las bases de una auditoria realizada de conformidad con las normas de auditoría
generalmente aceptadas.
El informe estándar del auditor, identifica los estados financieros auditados en un párrafo
introductorio (introducción) describiendo la naturaleza de la auditoría en un párrafo con
esta intención y expresa la opinión del auditor en un párrafo de opinión por separado. Los
elementos básicos del info rme, son los siguientes.
a. Un título que incluya la palabra independiente.
b. La declaración de que los estados financieros identificados en el informe, fueron
auditados.
c. La declaración de que los estados financieros son responsabilidad de la gerencia de la
compañía y que la responsabilidad del auditor, es expresar una opinión sobre los
estados financieros basándose en su auditoría.
d. La declaración de que la auditoría se condujo de conformidad con las normas de
auditoría generalmente aceptadas.
e. La declaración de que las normas de auditoría generalmente aceptadas requieren que el
auditor planee y ejecute la auditoría para obtener una seguridad razonable de que los
estados financieros están libres de errores importantes.
f. Puntos incluidos en la auditoría
g. La declaración de que el auditor cree en que su auditoría proporciona una base
razonable para su opinión.
h. Una opinión acerca de si los estados financieros presentan razonablemente en todos los
aspectos importantes, la situación financiera de la compañía, a la fecha del balance
general y los resultados de operación, los flujos de efectivo por el período terminado en
la misma, de conformidad con principios de contabilidad generalmente aceptados.
i. La firma manual o impresa del auditor.
j. La fecha del informe de la auditoría. (5)

Responsabilidad frente a usuarios del informe


El público usuario de la información financiera es ajeno a la relación contractual entre el
cliente y el Auditor. Este tercero utiliza la información producida por el cliente y auditada,

J Juan Hernández M 142


Notas para Auditoria de Sistemas

dependiendo de la opinión que haya emitido este último, tomará decisiones de naturaleza
económica que puedan afectar su patrimonio, de manera positiva o negativa.
El usuario confía en la información dotada con fe pública, debe presumirla como
razonablemente correcta, por ello deviene en el sujeto pasivo.
La opinión vertida por el auditor en atención a los estados financieros, le da a estos
credibilidad absoluta, pues cuentan con fe pública. Por ende, el público usuario podrá
confiar en su veracidad y razonabilidad. Igualmente, podrá asumir que la información es
apta para servir de instrumento básico de análisis dentro del proceso de toma de decisiones
económicas.
Si esta opinión es errada o falsa, por completo o en parte, surgirá la posibilidad de que el
público usuario tome decisiones equivocadas, con el consiguiente perjuicio económico que
ella le pueda ocasionar.
Como elemento de la Responsabilidad Civil Extracontractual de los Contadores Públicos
Autorizados, el hecho se conforma, pues, con la emisión de la opinión, fa lsa o equivocada,
por parte del CPA sobre los estados financieros del cliente

Elementos de Responsabilidad Civil Profesional


Antijuridicidad.
Consiste en el obrar contrario a derecho, en la conducta que contraviene deberes impuestos
por el ordenamiento jurídico, considerando éste en su integridad. Igualmente, puede
consistir en la infracción de obligaciones contractuales, las que constituye para las partes
contratantes una regla a la que deben someterse como a la ley misma.

Relación Causal.
La existencia de un nexo causal entre la conducta del profesional y el perjuicio sufrido.
Este tema cobra vital importancia en los supuestos de asesoramientos por parte del
profesional de las ciencias económicas, por tratarse de meros consejos que puedan o no ser
seguidos por el cliente, resulta imprescindible la acreditación de que la no-obtención de los
fines perseguidos y sus derivaciones dañosas, se debió real y exclusivamente a lo
aconsejado y no a la ineficiente o defectuosa ejecución del cliente.
33. Daño.
34. La responsabilidad profesional del CPA, en particular, es una responsabilidad
por hecho propio o personal; razón por la cual el factor atributivo ha de ser, en
principio, subjetivo, es decir, la imputabilidad por culpa o dolo del agente del
daño.
En el caso de los profesionales, la culpa aparece como impericia o desconocimiento de las
reglas y métodos propios de la profesión; ya que todo el que ejerce una profesión debe
poseer los conocimiento técnicos y prácticos propios de la misma, y obrar con previsión y
diligencia.
Para el público usuario de la información financiera, que ostenta la opinión normal o
descalificada de un CPA, el daño se conforma al momento que sufre un trastorno,
menoscabo o lesión en su patrimonio económico.
En todos los casos el daño deberá ser económicamente cuantificable. Tratándose de
información financiera, dotada de fe pública, base sobre la cual el público usuario toma
decisiones de carácter económico, es natural que los daños ocasionados sean de naturaleza
económica.

J Juan Hernández M 143


Notas para Auditoria de Sistemas

El auditor es responsable de su propia negligencia, como de la falta en el ejercicio del


cuidado profesional al efectuar sus trabajos. Siendo sujeto de demandas por formular
aseveramientos incorrectas, o por errores u omisiones o de cualquier acto ilegal cometido
por este.
Adicionalmente, en algunos países se le imputa responsabilidad al auditor si éste no detecta
fraude o acto ilegal, aún y cuando el cliente deliberadamente haya proporcionado al auditor
información incorrecta o no haya actuado adecuadamente en relación con sus
observaciones. Resultando, en consecuencia, que los responsables de tales pérdidas son
demandados en forma directa y en forma subsidiaria, pueden resultar demandados los
auditores por no haber detectado o revelado tales pérdidas, situación que se considera
temeraria, toda vez que debe establecerse el nexo causal entre el hecho y el resultado. (6)

J Juan Hernández M 144


Notas para Auditoria de Sistemas

Bibliografía
http://www.ucpr.edu.co/auditores/

http://www.monografias.com/trabajos12/audin/audin.shtml

http://www.ilustrados.com/publicaciones/EpyppkpFZucuvFKGVq.php

http://www.geocities.com/lsialer/NotasInteresantes1.htm

http://personal.telefonica.terra.es/web/juancmira/material.htm

http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml

http://www.monografias.com/trabajos12/artc ali/artcali.shtml

F. Zubizarreta, Armando,
La Aventura del Trabajo Intelectual
Addison-Wesley Iberoamericana, 1986.

Fairley, Richard,
Ingeniería de Software
Mc Graw Hill, Inc., U.S.A. , 1985

Kendall, E., Kenneth


Kendall, E., Julie
Análisis y Diseño de Sistemas
Prentice-Hall, Hispanoamericana, S.A. 1991

Ceballos, Fco., Javier


Visual Basic Aplicaciones para Windows
Addison-Wesley, Iberoamericana., 1993.

Cornell, Gary.
Visual BASIC 5 para Windows
Osborne, Mc Graw-Hill, 1994.

J Juan Hernández M 145


Notas para Auditoria de Sistemas

Halvorson, Mike
El libro de Visual BASIC para Windows
Microsoft press, 1994.

Programer´s Journal
Visual BASIC, Magazine
A Fawcette Technical Publication, March 1995, Vol. 5.

S., Pressman, Roger


Ingeniería del Software, un enfoque práctico
Mc Graw hill, Tercera Edición, 1992.

A., Senn, James


Análisis y Diseño de Sistemas de Información
Mc Graw-hill, Segunda Edición, 1992.

HOLMES, Arthur W., Principios Básicos de Auditoría, México, D.F., 1976, pág.11 –
39, 512.

Instituto Mexicano de Contadores Publico, A.C., SAS No.1, SAS No.5, SAS No. 32,

SAS No.39, SAS No.58, Declaraciones Sobre Normas de Auditoría, Tomo 1,Secciones
410.01 ª 410.04, 420.01 ª 420.21, 430.01 ª 430.06, 510-1 ª 542-06,Tomo 4, México
D.F.,

Alexander Hamilton Institute, La Auditoría Interna: Clave del Mejoramiento Financiero


y 7Operativo, 1984, E.U.A., Pág.117-128

Lic. Nergio Prieto Urdaneta, Seminario Regional Interamericano de Contabilidad y


Auditoria, de Mayo 15 al 17 de 1997.

J Juan Hernández M 146

You might also like