Controles de Auditoria.

Controles: Conjunto de disposiciones Autenticidad Permiten verificar la identidad 1. 1. Exactitud Aseguran la coherencia de los datos 1. 1. Totalidad Evitan fumar" para envio. 1. 1. Conteo de registros Cifras de control la omisin de registros as como garantizan la conclusin de un proceso de Validacin de campos Validacin de excesos Passwords Firmas digitales

metdicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, rdenes impartidas y principios admitidos. Clasificacin general de los controles Controles Preventivos: Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Ejemplos: Letrero "No salvaguardar las instalaciones Sistemas de claves de acceso Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los ms importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditora Procedimientos de validacin Controles Correctivos: Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria detectivos la implantacin los de controles correctivos, sobre controles

Redundancia Evitan la duplicidad de datos 1. 1. Privacidad Aseguran la proteccin de los datos 1. 1. Existencia Aseguran la disponibilidad de los datos 1. 1. Bitcora de estados Mantenimiento de activos Compactacin Encriptacin Cancelacin de lotes Verificacin de secuencias

Proteccin de Activos Destruccin o corrupcin de informacin o del hardware 1. 1. Efectividad Aseguran el logro de los objetivos 1 Extintores Passwords

debido a que la correccin de errores es en si una actividad altamente propensa a errores. Principales Controles fsicos y lgicos Controles particulares tanto en la parte fsica como en la lgica se detallan a continuacin

Controles de Auditoria.
1. 1. Eficiencia Aseguran el uso ptimo de los recursos 1. 1. Programas monitores Anlisis costo-beneficio de cambio de claves de Encuestas de satisfaccin Medicin de niveles de servicio registrar cambio. Confidenciales De forma confidencial los usuarios debern ser instruidos formalmente respecto al uso de las claves. No significativas Las claves no deben corresponder a nmeros secuenciales ni a nombres o fechas. Verificacin de datos de entrada Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisin; tal es el caso de la validacin del tipo de datos que contienen los campos o verificar si se las claves peridicamente encuentran dentro de un rango. Conteo de registros Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados. Totales de Control Se realiza mediante la creacin de totales de linea, columnas, cantidad de formularios, cifras de control, etc. , y automticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias. Verificacin de limites Consiste en la verificacin automtica de tablas, cdigos, limites mnimos y mximos o bajo determinadas condiciones dadas previamente. Verificacin de secuencias En ciertos procesos cierta los registros deben o observar 2 secuencia numerica de empleados, autorizada a ya que travs a los responsables de cualquier

Controles automticos o lgicos Periodicidad acceso Los cambios de las claves de acceso a los programas se deben realizar peridicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. El no cambiar aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computacin. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente. Combinacin de alfanumricos en claves de acceso No es conveniente que la clave este compuesta por cdigos una persona no dar con dicha clave. Para redefinir claves es necesario considerar los tipos de claves que existen: Individuales Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones

de pruebas simples o de deducciones puede

Controles de Auditoria.
alfabetica, ascendente o descendente, esta verificacion debe hacerse mediante rutinas independientes del programa en si. Utilizar software de seguridad en los microcomputadores El software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo. Adicionalmente, este software permite reforzar la segregacin de funciones y la confidencialidad de la informacin mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que estn autorizados. Programas de este tipo son: WACHDOG, LATTICE,SECRET DISK, entre otros. Controles administrativos en un ambiente de Procesamiento de Datos La mxima autoridad del rea de Informtica de una empresa o institucin debe implantar los siguientes controles que se agruparan de la siguiente forma: 1.- Controles de Preinstalacin 2.- Controles de Organizacin y Planificacin 3.- Controles de Sistemas en Desarrollo y Produccin 4.- Controles de Procesamiento 5.- Controles de Operacin 6.- Controles de uso de Microcomputadores

Objetivos:

Garantizar que el hardware y software se de que los sistemas mayores de

adquieran siempre y cuando tengan la seguridad computarizados

proporcionaran

beneficios que cualquier otra alternativa. Garantizar la seleccin adecuada equipos y sistemas de computacin

Asegurar la elaboracin de un plan de

actividades previo a la instalacin Acciones a seguir:

Elaboracin de un informe tcnico en el y servicios de computacin,

que se justifique la adquisicin del equipo, software

incluyendo un estudio costo-beneficio. Formacin de un comit que coordine y se responsabilice de todo el proceso de adquisicin e instalacin

Elaborar y

un

plan

de

instalacin de actividades,

equipo

software

(fechas,

responsables) el mismo que debe contar con la aprobacin de los proveedores del equipo.

Elaborar de

un

instructivo programas Este

con y

procedimientos a seguir para la seleccin y adquisicin servicios legales.

equipos,

computacionales.

proceso

debe enmarcarse en normas y disposiciones Efectuar las acciones necesarias para

Controles de Preinstalacin

una mayor participacin de proveedores.

Hacen referencia a procesos y actividades previas a la adquisicin e instalacin de un equipo de computacin y obviamente a la automatizacin de los sistemas existentes. 3

Asegurar respaldo de mantenimiento y Controles de organizacin y Planificacin

asistencia tcnica.

Controles de Auditoria.
Se refiere a la definicin clara de funciones, linea de autoridad y responsabilidad de las diferentes unidades del rea PAD, en labores tales como: 1. 1. 1. 1. Disear un sistema Elaborar los programas Operar el sistema Control de calidad

El manejo y custodia de dispositivos y magnticos deben estar

archivos

expresamente definidos por escrito. Las actividades del PAD deben obedecer sujetos a evaluacin y ajustes a planificaciones a corto, mediano y largo plazo

peridicos "Plan Maestro de Informtica" Debe existir una participacin efectiva planificacin y evaluacin del de directivos, usuarios y personal del PAD en la

Se debe evitar que una misma persona tenga el control de toda una operacin. Es importante la utilizacin ptima de recursos en el PAD mediante la preparacin de planes a ser evaluados continuamente Acciones a seguir

cumplimiento del plan. Las instrucciones deben impartirse por Controles de Sistema en Desarrollo y escrito.

La unidad informtica debe estar al ms

Produccin Se debe justificar que los sistemas han sido la mejor relacin oportuna opcin y y para la empresa, que informacin, bajo que una los costo-beneficio efectiva se proporcionen

alto nivel de la pirmide administrativa de manera que cumpla con sus objetivos, cuente

con

el

apoyo funciones

necesario

y de

la direccin efectiva. Las deben operacin, programacin y diseo de sistemas delimitadas.

sistemas se han desarrollado bajo un proceso planificado encuentren debidamente documentados. Acciones a seguir: Los usuarios deben participar en el diseo e implantacin de los sistemas pues aportan conocimiento y experiencia de su rea y esta actividad facilita el proceso de cambio

estar

claramente

Deben existir mecanismos necesarios a

fin de asegurar que los programadores y analistas no tengan acceso a la operacin del computador y los operadores a su vez no conozcan la documentacin de programas y sistemas.

El personal de auditora interna/control

debe formar parte del grupo de diseo para sugerir y solicitar la implantacin de rutinas de control

Debe existir una unidad de control de

calidad, tanto de datos de entrada como de los resultado del procesamiento.

El desarrollo, diseo y mantenimiento de obedece a planes especficos,

sistemas

metodologas estndares, procedimientos y 4

Controles de Auditoria.
en

general

normatividad

escrita

conlleva al establecimiento de una serie de seguridades para:

aprobada. Cada fase concluida debe ser aprobada por los usuarios documentadamente

Asegurar que todos los datos sean Garantizar la exactitud de los datos Garantizar que se grabe un archivo para Asegurar que los resultados sean

procesados

mediante actas u otros mecanismos a fin de evitar reclamos posteriores.

procesados de pasar a

Los

programas

antes

Produccin deben ser probados con datos que agoten todas las excepciones posibles.

uso de la gerencia y con fines de auditora

Todos

los

sistemas

deben

estar

entregados a los usuarios en forma oportuna y en las mejores condiciones. Acciones a seguir:

debidamente documentados y actualizados. La documentacin deber contener: Informe de factibilidad Diagrama de bloque Diagrama de lgica del programa Objetivos del programa Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y modificaciones Formatos de salida Resultados de pruebas realizadas

Validacin de datos de entrada previo

procesamiento debe ser realizada en forma automtica: clave, dgito autoverificador, totales de lotes, etc.

Preparacin de datos de entrada debe responsabilidad Recepcin a de un de datos horario usuarios de y

ser

aprobacin de

consecuentemente su correccin. entrada elaborado y distribucin de informacin de salida debe obedecer en coordinacin con el usuario, realizando un debido control de calidad.

Implantar procedimientos de solicitud, y ejecucin de cambios a

aprobacin desarrollo.

programas, formatos de los sistemas en El sistema concluido sera entregado al

Adoptar

acciones

necesaria

para

correcciones de errores.

Analizar conveniencia costo-beneficio de

usuario previo entrenamiento y elaboracin de los manuales de operacin respectivos

estandarizacin de formularios, fuente para agilitar la captura de datos y minimizar errores.

Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la entrada hasta la salida de la informacin, lo que

Los

procesos

interactivos

deben

garantizar una adecuada interrelacin entre usuario y sistema.

Controles de Auditoria.

Planificar el mantenimiento del hardware garantizar la integridad de la

vandalismo, robo y uso indebido, intentos de violacin eventos.

y software, tomando todas las seguridades para

como un

responder registro de

ante

esos

informacin y el buen servicio a usuarios. Controles de Operacin equipo central de computacin y Abarcan todo el ambiente de la operacin del dispositivos terminales y equipos de almacenamiento, la de comunicacin por

Mantener

permanente o

(bitcora) de todos los procesos realizados, dejando

constancia

suspensiones

cancelaciones de procesos. Los operadores del equipo central deben estar entrenados para recuperar o restaurar informacin en caso de destruccin de archivos.

administracin de la cintoteca y la operacin de parte de los usuarios de sistemas on line. Los controles tienen como fin:

Los backups no deben ser menores de adecuados, calendarios de

Prevenir o detectar errores accidentales puedan ocurrir en el Centro de

dos (padres e hijos) y deben guardarse en lugares seguros y

que

Cmputo durante un proceso Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD

preferentemente en bvedas debancos. Se deben implantar operacin a fin de establecer prioridades de proceso.

Garantizar la integridad de los recursos Asegurar la utilizacin adecuada de

Todas las actividades del Centro de deben normarse mediante normas, instructivos,

informticos.

Computo manuales,

equipos acorde a planes y objetivos. Recursos Informticos Acciones a seguir:

reglamentos, etc.

El proveedor de hardware y software

deber proporcionar lo siguiente: Manual de operacin de equipos Manual de lenguaje de programacin Manual de utilitarios disponibles Manual de Sistemas operativos

El acceso al centro de computo debe

contar con las seguridades necesarias para reservar el ingreso al personal autorizado

Implantar

claves

password

para

Las

instalaciones

deben

contar

con

garantizar operacin de consola y equipo central (mainframe), a personal autorizado.

sistema de alarma por presencia de fuego, humo, asi como extintores de incendio, conexiones elctricas seguras, entre otras.

Formular polticas respecto a seguridad,

privacidad y proteccin de las facilidades de procesamiento ante eventos como: incendio, 6

Instalar

equipos

que

protejan

la

informacin y los dispositivos en caso de

Controles de Auditoria.
variacin de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energa.

como procesadores de electrnicas, y

palabras, de base

hojas de

manejadores

datos y mantener actualizadas las versiones plizas de seguros para la capacitacin sobre modificaciones incluidas. Analizados los distintos tipos de controles que se aplican en la Auditora de Sistemas efectuaremos a continuacin el anlisis de casos de situaciones hipotticas planteadas como problemticas en distintas empresas , con la finalidad de efectuar el anlisis del caso e identificar las acciones que se deberan implementar .

Contratar

proteger la informacin, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operacin.

Controles en el uso del Microcomputador de fcil acceso, la de fcil y

Es la tarea mas difcil pues son equipos mas vulnerables, ayudaran a explotacin pero los controles que se implanten garantizar integridad confidencialidad de la informacin. Acciones a seguir:

Anlisis

de

Casos

de

Controles

Adquisicion de equipos de proteccin

Administrativos Controles sobre datos fijos Lea cada situacin atentamente y 1.- Enuncie un control que hubiera prevenido el problema o posibilitado su deteccin. 2.- Identifique uno o ms controles alternativos que hubieran ayudado a prevenir o a detectar el problema. Situacin 1 Un empleado del grupo de control de datos obtuvo un formulario para modificaciones al archivo maestro de proveedores (en blanco) y lo completo con el cdigo y nombre de un proveedor ficticio, asignndole como domicilio el numero de una casilla de correo que previamente haba abierto a su nombre. Su objetivo era la que orden el del sistema referido emitiera cheques a

como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisicin del equipo

Vencida la garanta de mantenimiento proveedor Establecer se debe contratar para

del

mantenimiento preventivo y correctivo. procedimientos obtencin de backups de paquetes y de archivos de datos.

Revisin

peridica del disco

sorpresiva verificar

del la

contenido

para

instalacin de aplicaciones no relacionadas a la gestin de la empresa.

Mantener programas y procedimientos

de deteccin e inmunizacin de virus en copias no autorizadas o datos procesados en otros equipos.

Propender

la

estandarizacin software

del

proveedor, y fueran luego remitidos a la citada casilla de correo. 7

Sistema

Operativo,

utilizado

Controles de Auditoria.
Cuando el listado de modificaciones al archivo maestro de proveedores (impreso por esta nica modificacin procesada en la oportunidad) le fue enviado para su verificacin con los datos de entrada, procedi a destruirlo. Alternativas de Solucin

diseado para detectar alteraciones en la secuencia numrica de los mismos.

Creacin de totales de control por lotes formularios de modificaciones y su

de

posterior reconciliacin con un listado de las modificaciones procesadas.

Los formularios para modificarse a los maestros el deberan ser usuario departamento

Conciliacin de totales de control de

archivos

campos significativos con los acumulados por el computador.

prenumerados; numrica.

respectivo debera controlar su secuencia Los listados de modificaciones a los

Generacin y revisin de los listados de

modificaciones procesadas por un delegado responsable.

archivos maestros no slo deberan listar los cambios recientemente procesados, sino tambin contener totales de control de los campos importantes,(nmero de registros, suma de campos importantes, fecha de la ltima modificacin ,etc.) que deberan ser reconciliados Situacin 2 Al realizar una prueba de facturacin los auditores observaron que los precios facturados en algunos casos no coincidan con los indicados en las listas de precios vigente. Posteriormente se comprob que ciertos cambios en las listas de precios no haban sido procesados, razn por la cual el archivo maestro de precios estaba desactualizado. Alternativas de Solucin

Revisin

de

listados

peridicos

del

contenido del archivo maestro de precios. Situacin 3 El operador del turno de la noche, cuyos conocimientos de programacin eran mayores de los que los dems suponan, modifico (por consola) al archivo maestro de remuneraciones a efectos de lograr que se abonara a una remuneracin ms elevada a un operario del rea de produccin con el cual estaba emparentado. El fraude fue descubierto accidentalmente varios meses despus. Alternativas de Solucin

por

los

departamentos

usuarios con los listados anteriores.

Preparacin de totales de control del campo Aplicacin remuneraciones, de control por el

usuario y reconciliacin con los acumulados del

computador. de lmites de razonabilidad. Situacin 4 XX Inc. Es un mayorista de equipos de radio que comercializa sus equipos a travs 8

Uso de formularios prenumerados para y controles programados

modificaciones

Controles de Auditoria.
de una vasta red de minoristas debido representantes. locales y del cambio de una "comisin del 5% de las ventas. Ningn funcionario en la oficina central detect la no actualizacin de los precios facturados a referido cliente razn por la cual la compaa se vio perjudicada por el equivalente a US$ 50.000. El fraude fue descubierto accidentalmente, despidindose al involucrado, pero no se interrumpi la relacin comercial. Alternativas de Solucin

Sus clientes son especiales",

exterior; algunos son considerados " clientes al volumen de sus compras, y los mismos son atendidos directamente por los supervisores de ventas. Los clientes especiales no se incrementan por lo Al general, en la misma los proporcin el que aquellas facturadas a los clientes especiales. incrementarse precios, archivo maestro de precios y condiciones de venta a clientes especiales no es automticamente actualizado; los propios supervisores estipulan qu porcin del incremento se aplica a cada uno de los clientes especiales. El 2 de mayo de 1983 la compaa increment sus precios de venta en un 23%; el archivo maestro de precios y condiciones de venta a clientes comunes fue actualizado en dicho porcentaje. En lo que atae a los clientes especiales, algunos supervisores incrementaron los precios en el referido porcentaje, en tanto que otros -por razones comercialesrecomendaron incrementos inferiores que oscilaron entre un 10% y un 20%. Estos nuevos precios de venta fueron informados a la oficina central por medio de formularios de datos de entrada, diseados al efecto, procedindose a la actualizacin del archivo maestro. En la oportunidad, uno de los supervisores acord con uno de sus clientes especiales no incrementar los precios de venta (omiti remitir el citado formulario para su procesamiento) a 9

La empresa debera actualizar el archivo

maestro de precios y condiciones de venta aplicando la totalidad del porcentaje de incremento.

Los supervisores de venta deberan

remitir formularios de entrada de datos transcribiendo los descuentos propuestos para clientes especiales.

Los

formularios

deberan

ser

prenumerados, controlados y aprobados, antes de su procesamiento, por funcionarios competentes en la oficina central.

Debe realizarse una revisin crtica de de excepcin emitidos con

listados

la nmina de aquellos clientes cuyos precios de venta se hubiesen incrementado en menos de un determinado porcentaje. Situacin 5 Un empleado del almacn de productos terminados ingresos al computador ordenes de despacho ficticias, como resultado de las cuales se despacharon mercaderas a clientes inexistentes.

Controles de Auditoria.
Esta situacin fue descubierta hasta que los auditores realizaron pruebas de cumplimientos y comprobaron que existan algunos despachos no autorizados. Alternativas de Solucin

Generacin

revisin,

por

un

funcionario responsable, de los listados de modificaciones procesadas.

Generacin

revisin

de

listados

peridicos del contenido del archivo maestro de la de precios. Situacin 7 Una cobranza en efectivo a un cliente registrada claramente en el correspondiente recibo como de $ 18,01, fue ingresada al computador por $ 1.801 segn surge del listado diario de cobranzas en efectivo. Alternativas de Solucin

Un

empleado de

independiente

custodia

los inventarios debera

reconciliar diariamente la informacin sobre despachos generada como resultado del procesamiento de las rdenes de despacho, con documentacin procesada independientemente, por ejemplo, notas de pedido aprobadas por la gerencia de ventas. De esta manera se detectaran los despachos ficticios. Situacin 6 Al realizar una prueba de facturacin, los auditores observaron que los precios facturados en algunos casos no coincidan con los indicados en las listas de precios vigentes. Posteriormente se comprob que ciertos cambios en las listas de precios no haban sido procesados, razn por la cual el archivo maestro de precios estaba desactualizado. Alternativas de Solucin

Contralora/Auditora debera preparar y

conservar totales de control de los lotes de recibos por cobranzas en efectivo. Estos totales deberian ser luego comparados con los

totales

segn

el

listado

diario

de

cobranzas en efectivo. Un test de razonabilidad asumiendo que un pago de $361.300 est definido como no razonable.

Comparacin automtica de los pagos

recibidos con las facturas pendientes por el nmero de factura y rechazar o imprimir aquellas discrepancias significativas o no razonables.

Creacin de totales de control por lotes su

de formularios de modificaciones y modificaciones procesadas.

posterior reconciliacin con un listado de las Conciliacin de totales de control con los

Efectuar la Doble digitacin de campos

criticos tales como valor o importe. Metodologa de una Auditora de Sistemas Existen algunas metodologas de Auditoras de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como

acumulados por el computador referentes al contenido de campos significativos.

10

Controles de Auditoria.
estndar analizaremos las cuatro fases bsicas de un proceso de revisin:

trabajo problema

analizara

detalladamente con todo

cada lo

encontrado

Estudio preliminar Revisin y evaluacin de controles y Examen detallado de reas criticas Comunicacin de resultados

anteriormente analizado en este folleto. Comunicacin de resultados.- Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe cuadros destaque definitivo, el en cual forma y presentara de matriz, concisa , que los esquemticamente

seguridades

Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditora, efectuar visitas a la unidad informtica para conocer detalles de la la solicitud misma, elaborar de de un cuestionario para control interno, obtencin de de los de la plan

o redaccin simple

los problemas encontrados

efectos y las recomendaciones de la Auditora. El informe debe contener lo siguiente:

informacin para evaluar preliminarmente el actividades, Manuales polticas, principales y de las

Motivos de la Auditora Objetivos Alcance Estructura Orgnico-Funcional del rea Configuracin del Hardware y Software Control Interno Resultados de la Auditora

reglamentos, Entrevistas con funcionarios del PAD. Revisin y evaluacin

Informtica controles revisin de

seguridades.- Consiste de pruebas de

de

instalado

los diagramas de flujo de procesos, realizacin cumplimiento seguridades, revisin de aplicaciones de las reas criticas, Revisin de procesos histricos (backups), Revisin de documentacin y archivos, entre otras actividades. Examen detallado de reas criticas.-Con las fases anteriores el auditor descubre las reas criticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance Recursos que usara, definir la metodologa de trabajo, la duracin de la auditora, Presentar el plan de 11

ACTIVIDAD: Investigar Caso de estudio Auditoria de Informtica, presentar el caso en clases para el lunes 09/05/2012