Auditoria De Sistemas

1. Introducción

La naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

A continuación, la descripción de los dos principales objetivos de una auditoría de sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de cómputo, con controles, tipos y seguridad.

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

• Evaluación de los sistemas y procedimientos.

• Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

Consta de:

1.- Evaluación de los Sistemas

• Evaluación de los diferentes sistemas en operación (flujo de información, procedimientos, documentación, redundancia, organización de archivos, estándares de programación, controles, utilización de los sistemas).

• Evaluación del avance de los sistemas en desarrollo y congruencia con el diseño general

• Evaluación de prioridades y recursos asignados (humanos y equipos de cómputo)

• Seguridad física y lógica de los sistemas, su confidencialidad y respaldos

2.- Evaluación de los equipos

• Capacidades

• Utilización

• Nuevos Proyectos

• Seguridad física y lógica

• Evaluación física y lógica

Controles administrativos en un ambiente de Procesamiento de Datos

La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma:

1. Controles de Preinstalación

2. Controles de Organización y Planificación

3. Controles de Sistemas en Desarrollo y Producción

4. Controles de Procesamiento

5. Controles de Operación

6. Controles de Uso microcomputadores

1.-Controles de Preinstalación

Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes.

Objetivos:

• Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.

• Garantizar la selección adecuada de equipos y sistemas de computación

• Asegurar la elaboración de un plan de actividades previo a la instalación

Acciones a seguir:

• Elaboración de un informe técnico en el que se justifique la adquisición del equipo, software y servicios de computación, incluyendo un estudio costo-beneficio.

• Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación

• Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobación de los proveedores del equipo.

• Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales.

• Efectuar las acciones necesarias para una mayor participación de proveedores.

• Asegurar respaldo de mantenimiento y asistencia técnica.

2.- Controles de organización y Planificación

Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como:

• Diseñar un sistema

• Elaborar los programas

• Operar el sistema

• Control de calidad

Se debe evitar que una misma persona tenga el control de toda una operación.

Acciones a seguir

• La unidad informática debe estar al mas alto nivel de la pirámide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva.

• Las funciones de operación, programación y diseño de sistemas deben estar claramente delimitadas.

• Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas.

• Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento.

• El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito.

• Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluación y ajustes periódicos "Plan Maestro de Informática"

• Debe existir una participación efectiva de directivos, usuarios y personal del PAD en la planificación y evaluación del cumplimiento del plan.

• Las instrucciones deben impartirse por escrito.

3.- Controles de Sistema en Desarrollo y Producción

Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados.

Acciones a seguir:

Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio

• El personal de auditoría interna/control debe

...