Auditoría Interna y Auditoría Externa

La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento.

Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.

La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.

En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.

En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas.

Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser:

1. Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados.
2. Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa.
3. Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa.
4. Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa.

La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente.

Vulnerabilidades de un Sistema Informático

En un sistema informático lo que queremos proteger son sus activos, es decir, los recursos que forman parte del sistema y que podemos agrupar en:

• Hardware: elementos físicos del sistema informático, tales como procesadores, electrónica y cableado de red, medios de almacenamiento (cabinas, discos, cintas, DVDs,...).
• Software: elementos ló́gicos o programas que se ejecutan sobre el hardware, tanto si es el propio sistema operativo como las aplicaciones.
• Datos: comprenden la información lógica que procesa el software haciendo uso del hardware. En general serán informaciones estructuradas en bases de datos o paquetes de información que viajan por la red.
• Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan' como puede ser la tinta y papel en las impresoras, los soportes tipo DVD o incluso cintas si las copias se hacen en ese medio, etc.

De ellos los mas críticos son los datos, el hardware y el software. Es decir, los datos que están almacenados en el hardware y que son procesados por las aplicaciones software.

Incluso de todos ellos, el activo mas crítico son los datos. El resto se puede reponer con facilidad y los datos ... sabemos que dependen de que la empresa tenga una buena política de copias de seguridad y sea capaz de reponerlos en el estado mas próximo al momento en que se produjo la pérdida. Esto puede suponer para la empresa, por ejemplo, la dificultad o imposibilidad de reponer dichos datos con lo que conllevaría de pérdida de tiempo y dinero.

 

 

Vulnerabilidad: definición y clasificación

Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad del sistema informático.

Vulnerabilidad de desbordamiento de buffer.

Si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un momento en que se sobrepase la capacidad del buffer y los bytes que sobran se almacenan en zonas de memoria adyacentes. En esta situación se puede aprovechar para ejecutar código que nos de privilegios de administrador.

Vulnerabilidad de condición de carrera (race condition).

Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este tipo de vulnerabilidad. Es el caso típico de una variable, que cambia su estado y puede obtener de esta forma un valor no esperado.

Vulnerabilidad de Cross Site Scripting (XSS).

Es una vulnerabilidad de las aplicaciones web, que permite inyectar código VBSript o JavaScript en páginas web vistas por el usuario. El phishing es una aplicación de esta vulnerabilidad. En el phishing la víctima cree que está accediendo a una URL (la ve en la barra de direcciones), pero en realidad está accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en este sitio se las está enviando al atacante.

Vulnerabilidad de denegación del servicio.

La denegación de servicio hace que un servicio o recurso no esté disponible para los usuarios. Suele provocar la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos informáticos del sistema de la víctima.

Vulnerabilidad de ventanas engañosas (Window Spoofing).

Las ventanas engañosas son las que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo único que quieren es que el usuario de información. Hay otro tipo de ventanas que si las sigues obtienen datos del ordenador para luego realizar un ataque.

Síntomas de Necesidad de una Auditoría Informática

Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

 

Síntomas de descoordinacion y desorganización:

• No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
• Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.
• Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante.

Síntomas de mala imagen e insatisfacción de los usuarios:

• No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, resfrecamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc
• No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
• No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

Síntomas de debilidades económico-financiero:

• Incremento desmesurado de costes.
• Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).
• Desviaciones Presupuestarias significativas.
• Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

Síntomas de Inseguridad:

• Evaluación de nivel de riesgos
• Seguridad Lógica
• Seguridad Física
• Confidencialidad

Continuidad del Servicio.

Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia,Totales y Locales.

Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

 

Alcance de la Auditoría Informática

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo? ¿Se comprobará que los controles de validación de errores son adecuados y suficientes? La indefinición de los alcances de la auditoría compromete el éxito de la misma.

Para una mejor productividad empresarial, los responsables de los sistemas, que usan los distintos departamentos o áreas de negocio, deben conocer los riesgos derivados de una inadecuada gestión de sistemas y los beneficios generados por una gestión óptima.

• Casos reales de problemas solucionados por nosotros
• Clientes representativos de auditorias informáticas.
• Estándares TI con las mejores prácticas informáticas

Objetivos generales de la Auditoría de Sistemas de la Información

• Evaluar la fiabilidad
• Evaluar la dependencia de los Sistemas y las medidas tomadas para garantizar su disponibilidad y continuidad
• Revisar la seguridad de los entornos y sistemas.
• Analizar la garantía de calidad de los Sistemas de Información
• Analizar los controles y procedimientos tanto organizativos como operativos.
• Verificar el cumplimiento de la normativa y legislación vigentes
• Elaborar un informe externo independiente.
• Utilización de estándares ISACA, OSSTMM, ISO/IEC 17799 y CIS

Objetivos para una buena gestión de los Sistemas de la Información en una empresa

• Asegurar una mayor integridad, confidencialidad y confiabilidad de la información.
• Seguridad del personal, los datos, el hardware, el software y las instalaciones.
• Minimizar existencias de riesgos en el uso de Tecnología de información
• Conocer la situación actual del área informática para lograr los objetivos.
• Apoyo de función informática a las metas y objetivos de la organización.
• Seguridad, utilidad, confianza, privacidad y disponibilidad de los entornos.
• Incrementar la satisfacción de los usuarios de los sistemas informáticos.
• Capacitación y educación sobre controles en los Sistemas de Información.
• Buscar una mejor relación costo-beneficio de los sistemas automáticos.
• Decisiones de inversión y gastos innecesarios.

 

Características de la Auditoría Informática

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, con sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática.

Del mismo modo, los Sistemas Informáticos o tecnológicos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoria de Seguridad Informática en general, o a la auditoria de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoria de Organización Informática o tecnológica

Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una auditoria parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas. Por lo tanto las características más resaltantes son:

Ø  La multiplicidad de usuarios es un fenómeno natural, si se considera que son estos los que realmente gestionan el negocio de la empresa, y no la informática. Los constructores de hardware y de productos de software inciden en este entorno de usuarios facilitando su utilización.

Ø  Tras algunas pruebas de desagregación desafortunadas, las organizaciones muestran tendencias a mantener centralizadas los ordenadores y periféricos de alta carga de información y la administración de los datos.

Ø  En efecto, la proliferación de centros de procesos de datos dedicados a explotaciones determinadas genera costos casi siempre fuera de presupuesto y debilidades de coordinación de fácil detección.

Ø  La descentralización de los datos no ha pasado de ser una teoría impracticable. La redundancia e inconsistencia de datos no son un lujo, si no que puede comprometer el propio sistema de información de la empresa.

 

Delitos Informáticos

Fraude puede ser definido como engaño, acción contraria a la verdad o a la rectitud. La definición de Delito puede ser más compleja. Muchos estudiosos del Derecho Penal han intentado formular una noción de delito que sirviese para todos los tiempos y en todos los países. Esto no ha sido posible dada la íntima conexión que existe entre la vida social y la jurídica de cada pueblo y cada siglo, aquella condiciona a ésta. Según el ilustre penalista CUELLO CALON, los elementos integrantes del delito son:

• El delito es un acto humano, es una acción (acción u omisión)
• Dicho acto humano ha de ser antijurídico, debe lesionar o poner en peligro un interés jurídicamente protegido.
• Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto típico.
• El acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y una acción es imputable cuando puede ponerse a cargo de una determinada persona
• La ejecución u omisión del acto debe estar sancionada por una pena.

Por tanto, un delito es: una acción antijurídica realizada por un ser humano, tipificado, culpable y sancionado por una pena.

Se podría definir el delito informático como toda acción (acción u omisión) culpable realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa o indirecta a la víctima, tipificado por La Ley, que se realiza en el entorno informático y está sancionado con una pena.

De esta manera, el autor mexicano Julio Tellez Valdez señala que los delitos informáticos son «actitudes ilícitas en que se tienen a las computadoras como instrumento o fin (concepto atípico) o las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin (concepto típico)». Por su parte, el tratadista penal italiano Carlos Sarzana, sostiene que los delitos informáticos son «cualquier comportamiento criminal en que la computadora está involucrada como material, objeto o mero símbolo.

 

 

Objetivo De La Auditoría Informática

La operatividad es una función de mínimos consistente en que la organización y las maquinas funcionen, siquiera mínimamente. No es admisible detener la maquinaria informática para descubrir sus fallos y comenzar de nuevo. La auditoría debe iniciar su actividad cuando los Sistemas están operativos, es el principal objetivo el de mantener tal situación. Tal objetivo debe conseguirse tanto a nivel global como parcial.

 

La operatividad de los Sistemas ha de constituir entonces la principal preocupación del auditor informático. Para conseguirla hay que acudir a la realización de Controles Técnicos Generales de Operatividad y Controles Técnicos Específicos de Operatividad, previos a cualquier actividad de aquel.

• Los Controles Técnicos Generales son los que se realizan para verificar la compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software de base con todos los subsistemas existentes, así como la compatibilidad del Hardware y del Software instalados. Estos controles son importantes en las instalaciones que cuentan con varios competidores, debido a que la profusión de entornos de trabajo muy diferenciados obliga a la contratación de diversos productos de Software básico, con el consiguiente riesgo de abonar más de una vez el mismo producto o desaprovechar parte del Software abonado. Puede ocurrir también con los productos de Software básico desarrolla-dos por el personal de Sistemas Interno, sobre todo cuando los diversos equipos están ubicados en Centros de Proceso de Datos geográficamente alejados. Lo negativo de esta situación es que puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo trabajando independientemente, pero no será posible la interconexión e intercomunicación de todos los Centros de Proceso de Datos si no existen productos comunes y compatibles.
• Los Controles Técnicos Específicos, de modo menos acusado, son igualmente necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar mal son parámetros de asignación automática de espacio en disco que dificulten o impidan su utilización posterior por una Sección distinta de la que lo generó. También, los periodos de retención de ficheros comunes a varias Aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de modo que la pérdida de información es un hecho que podrá producirse con facilidad, quedando inoperativa la explotación de alguna de las Aplicaciones mencionadas.

Historia

 

Existe la evidencia de que alguna especie de auditoria se practicó en tiempos remotos. El hecho de que los soberanos exigieran el mantenimiento de las cuentas de su residencia por dos escribanos independientes, pone de manifiesto que fueron tomadas algunas medidas para evitar desfalcos en dichas cuentas. A medidas que se desarrollo el comercio, surgió la necesidad de las revisiones independientes para asegurarse de la adecuación y finalidad de los registros mantenidos en varias empresas comerciales. La auditoria como profesión fue reconocida por primera vez bajo la Ley Británica de Sociedades Anónimas de 1862 y el reconocimiento general tuvo lugar durante el período de mandato de la Ley "Un sistema metódico y normalizado de contabilidad era deseable para una adecuada información y para la prevención del fraude". También reconocía "Una aceptación general de la necesidad de efectuar una versión independiente de las cuentas de las pequeñas y grandes empresas". Desde 1862 hasta 1905, la profesión de la auditoria creció y floreció en Inglaterra, y se introdujo en los Estados Unidos hacia 1900. En Inglaterra se siguió haciendo hincapié en cuanto a la detección del fraude como objetivo primordial de la auditoria. En 1912 Montgomery dijo:

En los que podría llamarse los días en los que se formó la auditoria, a los estudiantes se les enseñaban que los objetivos primordiales de ésta eran:

• La detección y prevención de fraude.

La detección y prevención de errores; sin embargo, en los años siguientes hubo un cambio decisivo en la demanda y el servicio, y los propósitos actuales son:

• El cerciorarse de la condición financiera actual y de las ganancias de una empresa.
• La detección y prevención de fraude, siendo éste un objetivo menor.

Este cambio en el objetivo de la auditoria continuó desarrollándose, no sin oposición, hasta aproximadamente 1940. En este tiempo "Existía un cierto grado de acuerdo en que el auditor podía y debería no ocuparse primordialmente de la detección de fraude". El objetivo primordial de una auditoria independiente debe ser la revisión de la posición financiera y de los resultados de operación como se indica en los estados financieros del cliente, de manera que pueda ofrecerse una opinión sobre la adecuación de estas presentaciones a las partes interesadas.

Paralelamente al crecimiento de la auditoria independiente en lo Estados Unidos, se desarrollaba la auditoría interna y del Gobierno, lo que entró a formar parte del campo de la auditoría. A medida que los auditores independientes se apercibieron de la importancia de un buen sistema de control interno y su relación con el alcance de las pruebas a efectuar en una auditoría independiente, se mostraron partidarios del crecimiento de los departamentos de auditoría dentro de las organizaciones de los clientes, que se encargaría del desarrollo y mantenimiento de unos buenos procedimientos del control interno, independientemente del departamento de contabilidad general. Progresivamente, las compañías adoptaron la expansión de las actividades del departamento de auditoría interna hacia áreas que están más allá del alcance de los sistemas contables. En nuestros días, los departamentos de auditoría interna son revisiones de todas las fases de las corporaciones, de las que las operaciones financieras forman parte.

La auditoría gubernamental fue oficialmente reconocida en 1921 cuando el Congreso de los Estados Unidos estableció la Oficina General de contabilidad.       

 

 

Controles

Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.

Clasificación general de los controles

•          Controles Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.

Ejemplos:        Letrero “No fumar” para salvaguardar las instalaciones

                        Sistemas de claves de acceso

•          Controles detectivos

Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.

Ejemplo:         Archivos y procesos que sirvan como pistas de auditoría

                        Procedimientos de validación

•          Controles Correctivos

 

Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores.

Principales Controles físicos y lógicos

Controles particulares tanto en la parte física como en la lógica se detallan a continuación

Autenticidad

Permiten verificar la identidad

1.         Passwords

2.         Firmas digitales

Exactitud

Aseguran la coherencia de los datos

1.         Validación de campos

2.         Validación de excesos

Totalidad

Evitan la omisión de registros así como garantizan la conclusión de un proceso de envió

1.         Conteo de registros

2.         Cifras de control

Redundancia

Evitan la duplicidad de datos

1.         Cancelación de lotes

2.         Verificación de secuencias

Privacidad

Aseguran la protección de los datos

1.         Compactación

2.         Encriptación

Existencia

Aseguran la disponibilidad de los datos

1.         Bitácora de estados

2.         Mantenimiento de activos

Protección de Activos

Destrucción o corrupción de información o del hardware

1.         Extintores

2.         Passwords

Efectividad

Aseguran el logro de los objetivos

1.         Encuestas de satisfacción

2.         Medición de niveles de servicio

Eficiencia

Aseguran el uso óptimo   de los recursos

1.         Programas monitores

2.         Análisis costo-beneficio

Controles automáticos o lógicos

Periodicidad de cambio de claves de acceso

Los cambios de las claves de acceso a los programas se deben realizar periódicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente.

El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación.

Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.

Combinación de alfanuméricos en claves de acceso

No es conveniente que la clave este compuesta por códigos de empleados, ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave.

Para redefinir claves es necesario considerar los tipos de claves que existen:

Individuales               

Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio.

Confidenciales

De forma confidencial los usuarios deberán ser instruidos formalmente respecto al uso de las claves.

No significativas

Las claves no deben corresponder a números secuenciales ni a nombres o fechas.

Verificación de datos de entrada

Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.

Conteo de registros

Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados.

Totales de Control

Se realiza mediante la creación de totales de línea, columnas, cantidad de formularios, cifras de control, entre otros, y automáticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias.

Verificación de límites

Consiste en la verificación automática de tablas, códigos, límites mínimos y máximos o bajo determinadas condiciones dadas previamente.

Verificación de secuencias

En ciertos procesos los registros deben observar cierta secuencia numérica o alfabética, ascendente o descendente, esta verificación debe hacerse mediante rutinas independientes del programa en si.

Dígito autoerificador

Consiste en incluir un dígito adicional a una codificación, el mismo que es resultado de la aplicación de un algoritmo o formula, conocido como MODULOS, que detecta la corrección o no del código. Tal es el caso por ejemplo del decimo dígito de la cédula de identidad, calculado con el modulo 10 o el ultimo dígito del RUC calculado con el módulo 11.

Utilizar software de seguridad (Plataformas) en los microcomputadores

El software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo.

Adicionalmente, este software permite reforzar la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que están autorizados.

Programas de este tipo son: WACHDOG, LATTICE, SECRET DISK, entre otros.

Controles administrativos en un ambiente de Procesamiento de Datos

La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma:

1.- Controles de Preinstalación

2.- Controles de Organización y Planificación

3.- Controles de Sistemas en Desarrollo y Producción

4.- Controles de Procesamiento

5.- Controles de Operación

6.- Controles de uso de Microcomputadores

•          Controles de Preinstalación

Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes.

Objetivos:

            Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.

           

            Garantizar la selección adecuada de equipos y sistemas de computación

           

            Asegurar la elaboración de un plan de actividades previo a la instalación

Acciones a seguir:

            Elaboración de un informe técnico en el que se justifique la adquisición del equipo, software y servicios de computación, incluyendo un estudio costo-beneficio.

           

            Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación

           

            Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobación de los proveedores del equipo.

           

            Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales.

           

            Efectuar las acciones necesarias para una mayor participación de proveedores.

           

            Asegurar respaldo de mantenimiento y asistencia técnica.

•          Controles de organización y Planificación

Se refiere a la definición clara de funciones, linea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como:

1.         Diseñar un sistema

2.         Elaborar los programas

3.         Operar el sistema

4.         Control de calidad

Se debe evitar que una misma persona tenga el control de toda una operación.

Es importante la utilización óptima de recursos en el PAD mediante la preparación de planes a ser evaluados continuamente

Acciones a seguir

            La unidad informática debe estar al mas alto nivel de la pirámide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva.

           

            Las funciones de operación, programación y diseño de sistemas deben estar claramente delimitadas.

           

            Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas.

           

            Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento.

           

            El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito.

           

            Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluación y ajustes periódicos “Plan Maestro de Informática”

           

            Debe existir una participación efectiva de directivos, usuarios y personal del PAD en la planificación y evaluación del cumplimiento del plan.

           

            Las instrucciones deben impartirse por escrito.

•          Controles de Sistema en Desarrollo y Producción

Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados.

Acciones a seguir:

Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio

            El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir y solicitar la implantación de rutinas de control

           

            El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos, metodologías estándares, procedimientos y en general a normatividad escrita y aprobada.

           

            Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores.

           

            Los programas antes de pasar a Producción deben ser probados con datos que agoten todas las excepciones posibles.

           

            Todos los sistemas deben estar debidamente documentados y actualizados.  La documentación deberá contener:

Informe de factibilidad

Diagrama de bloque

Diagrama de lógica del programa

Objetivos del programa

Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobación de modificaciones

Formatos de salida

Resultados de pruebas realizadas

            Implantar procedimientos de solicitud, aprobación y ejecución de cambios a programas, formatos de los sistemas en desarrollo.

           

            El sistema concluido sera entregado al usuario previo entrenamiento y elaboración de los manuales de operación respectivos

•          Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para:

            Asegurar que todos los datos sean procesados

            Garantizar la exactitud de los datos procesados

            Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría

            Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.

Acciones a seguir:

            Validación de datos de entrada previo procesamiento debe ser realizada en forma automática: clave, dígito autoverificador, totales de lotes, entre otros.

           

            Preparación de datos de entrada debe ser responsabilidad de usuarios y consecuentemente su corrección.

           

            Recepción de datos de entrada y distribución de información de salida debe obedecer a un horario elaborado en coordinación con el usuario, realizando un debido control de calidad.

           

            Adoptar acciones necesaria para correcciones de errores.

           

            Analizar conveniencia costo-beneficio de estandarización de formularios, fuente para agilitar la captura de datos y minimizar errores.

           

            Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema.

           

            Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios.

•          Controles de Operación

Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento, la administración de la cintoteca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line.

Los controles tienen como fin:

            Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso

            Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD

            Garantizar la integridad de los recursos informáticos.

            Asegurar  la utilización adecuada de equipos acorde a planes y objetivos.

Recursos  

                                     

Informáticos

Acciones a seguir:

            El acceso al centro de cómputo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado

           

            Implantar claves o password para garantizar operación de consola y equipo central (mainframe), a personal autorizado.

           

            Formular políticas respecto a seguridad, privacidad y protección de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violación y como responder ante esos eventos.

           

            Mantener un registro permanente (bitácora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos.

           

            Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en caso de destrucción de archivos.

           

            Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados, preferentemente en bóvedas de bancos.

           

            Se deben implantar calendarios de operación a fin de establecer prioridades de proceso.

           

            Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, entre otros.

           

            El proveedor de hardware y software deberá proporcionar lo siguiente:

           

            Manual de operación de equipos

            Manual de lenguaje de programación

            Manual de utilitarios disponibles

            Manual de Sistemas operativos

           

            Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, asi como extintores de incendio, conexiones eléctricas seguras, entre otras.

           

            Instalar equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía.

           

            Contratar pólizas de seguros para proteger la información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación.

•          Controles en el uso del Microcomputador

Es la tarea más difícil pues son equipos mas vulnerables, de fácil acceso, de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información.

Acciones a seguir:

            Adquisición de equipos de protección como supresores de pico,  reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo

           

            Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo.

           

            Establecer procedimientos para obtención de backups de paquetes y de archivos de datos.

           

            Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa.

           

            Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos.

           

            Propender a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas.

Analizados los distintos tipos de controles que se aplican en la Auditoría de Sistemas efectuaremos a continuación el análisis de casos de situaciones hipotéticas planteadas como problemáticas en distintas empresas, con la finalidad de efectuar el análisis del caso e identificar las acciones que se deberían implementar.

 •         Análisis de Casos de Controles Administrativos

Controles sobre datos fijos

Lea cada situación atentamente y

1.- Enuncie un control que hubiera prevenido el problema o posibilitado su detección.

2.- Identifique uno o más controles alternativos que hubieran ayudado a prevenir o a detectar el problema.

Situación 1

Un empleado del grupo de control de datos obtuvo un formulario para modificaciones al archivo maestro de proveedores (en blanco) y lo completo con el código y nombre de un proveedor ficticio, asignándole como domicilio el número de una casilla de correo que previamente había abierto a su nombre.

Su objetivo era que el sistema emitiera cheques a la orden del referido proveedor, y fueran luego remitidos a la citada casilla de correo.

Cuando el listado de modificaciones al archivo maestro de proveedores (impreso por esta única modificación procesada en la oportunidad) le fue enviado para su verificación con los datos de entrada, procedió a destruirlo.

Alternativas de Solución

         Los formularios para modificarse a los archivos maestros deberían ser prenumerados; el departamento usuario respectivo debería  controlar su secuencia numérica.

         Los listados de modificaciones a los archivos maestros no sólo deberían listar  los cambios recientemente procesados, sino también contener totales  de control de los campos importantes,(número de registros, suma de campos importantes, fecha de la última modificación, entre otros.) que deberían ser reconciliados por los departamentos usuarios con los listados anteriores.

Situación 2

Al realizar una prueba de facturación los auditores observaron que los precios facturados en algunos casos no coincidían con los indicados en las listas de precios vigentes.  Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido procesados, razón por la cual el archivo maestro de precios estaba desactualizado.

Alternativas de Solución

         Uso de formularios prenumerados para modificaciones y controles programados  diseñado para detectar alteraciones en la secuencia numérica de los mismos.

         Creación de totales de  control por lotes de formularios de modificaciones y su posterior reconciliación con un listado de las modificaciones procesadas.

         Conciliación  de totales  de control de campos significativos con los acumulados por el computador.

         Generación y revisión  de los listados de modificaciones procesadas por un  delegado responsable.

         Revisión  de listados  periódicos del contenido del archivo maestro de precios.

Situación 3

El operador del turno de la noche, cuyos conocimientos de programación eran mayores de los que los demás suponían, modifico (por consola) al archivo maestro de remuneraciones a efectos de lograr que se abonara a una remuneración más elevada a un operario del área de producción con el cual estaba emparentado. El fraude fue descubierto accidentalmente varios meses después.

Alternativas de Solución

         Preparación  de totales de control del usuario y reconciliación con los acumulados  del campo remuneraciones, por el computador.

         Aplicación de control de límites de razonabilidad.

Situación 4

XX  Inc. Es un mayorista de equipos de radio que comercializa sus  equipos a través de una vasta red de representantes. Sus clientes son minoristas locales y del exterior; algunos son  considerados “clientes especiales”, debido al volumen de sus compras, y los mismos son atendidos directamente por los supervisores de ventas. Los clientes especiales no se incrementan por lo general, en la misma proporción que aquellas facturadas a los clientes especiales.

Al  incrementarse los precios, el archivo maestro de precios y condiciones de venta a clientes especiales no es automáticamente actualizado; los propios supervisores estipulan qué porción del incremento se aplica a cada uno de los clientes especiales.

El 2 de mayo de 1983 la compañía incrementó sus precios de venta en un  23%; el archivo maestro de precios y condiciones de venta a clientes comunes fue actualizado en dicho porcentaje.

En lo que  atañe a los clientes especiales, algunos supervisores  incrementaron los precios en el referido porcentaje, en tanto que otros  -por razones comerciales- recomendaron incrementos inferiores que oscilaron entre un 10% y un 20%. Estos nuevos  precios  de venta fueron  informados  a la oficina  central por medio  de formularios  de datos  de entrada,  diseñados al efecto, procediéndose a la actualización del archivo maestro.

En la oportunidad, uno de los supervisores acordó con uno de sus clientes especiales no incrementar los precios de venta (omitió remitir el citado formulario para su procesamiento) a cambio de una  “comisión’’ del  5% de las ventas.

Ningún funcionario en la oficina central detectó la no actualización de los precios facturados a referido cliente razón  por la cual la compañía  se vio  perjudicada  por  el equivalente a  US$ 50.000.  El fraude  fue  descubierto accidentalmente, despidiéndose al involucrado, pero no se  interrumpió la  relación  comercial.

Alternativas de Solución

         La empresa  debería actualizar el archivo  maestro  de precios  y condiciones  de venta aplicando la totalidad del  porcentaje de incremento.

         Los supervisores de venta deberían remitir  formularios de entrada  de datos  transcribiendo los descuentos propuestos  para clientes especiales.

         Los formularios deberían ser prenumerados, controlados y  aprobados, antes  de su  procesamiento, por funcionarios  competentes en la  oficina central.

         Debe realizarse una  revisión critica de listados de excepción  emitidos  con la nómina  de aquellos  clientes cuyos  precios  de venta  se hubiesen  incrementado en menos de un determinado porcentaje.

Situación 5

Un empleado del almacén de productos terminados ingresos al computador ordenes de despacho ficticio, como resultado de las cuales se despacharon mercaderías a clientes inexistentes.

Esta situación fue descubierta hasta que los auditores realizaron pruebas de cumplimientos y comprobaron que existían algunos despachos no autorizados.

Alternativas de Solución

         Un empleado independiente de la custodia de los inventarios debería reconciliar diariamente la información sobre despachos generada como resultado del procesamiento de las órdenes de despacho, con documentación procesada independientemente, por ejemplo, notas de pedido aprobadas por la gerencia de ventas.

De esta manera se detectarían los despachos ficticios.

Situación 6

Al realizar una prueba de facturación, los auditores observaron que los precios facturados en algunos casos no coincidían con los indicados en las listas de precios vigentes. Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido procesados, razón por la cual el archivo maestro de precios estaba desactualizado.

Alternativas de Solución

         Creación de totales de  control por lotes de formularios de modificaciones y su posterior reconciliación con un listado de las modificaciones procesadas.

         Conciliación  de totales  de control con los acumulados por el computador referentes al contenido de campos significativos.

         Generación  y revisión, por un  funcionario responsable, de los listados de modificaciones procesadas.

         Generación y revisión  de listados  periódicos del contenido del archivo maestro de precios.

Situación 7

Una cobranza en efectivo a un cliente registrada claramente en el correspondiente recibo como de $ 18,01, fue ingresada al computador por $ 1.801 según surge del listado diario de cobranzas en efectivo.

Alternativas de Solución

         Contraloría/Auditoría debería preparar y conservar totales de control de los lotes de recibos por cobranzas en efectivo. Estos totales deberían ser luego comparados con los totales según  el listado diario de cobranzas en efectivo.

         Un test de razonabilidad asumiendo que un pago de $361.300 está definido como no razonable.

         Comparación automática de  los pagos recibidos con las facturas pendientes por el número de factura y rechazar o imprimir aquellas discrepancias significativas o no razonables.

         Efectuar la Doble digitación de campos críticos tales como valor o importe.