Escolar Documentos
Profissional Documentos
Cultura Documentos
A
S
D
E
I
N
F
O
R
M
A
C
I
N
PROCESO DE LA
AUDITORIA SEGN MAGU.
INTERVENCIN AUD. SIST.
REGISTRO Y CONTROL
PLAN DE AUDITORIA CON
MICROSOFT PROJEC.
CARACTERSTICAS DE LA
AUDITORA DE SISTEMAS.
EVOLUCIN DE LA
AUDITORA
AUDITORIA CON
INFORMATICA. TAACs.
45
EL PROCESO DE LA AUDITORIA DE SISTEMAS
CARACTERISTICAS DE LA AUDITORIA DE SISTEMAS.
1. DEFINICION
Es un examen objetivo, sistemtico y profesional de evidencias, realizado
con el fin de proporcionar una evaluacin independiente sobre el
desempeo de los sistemas utilizados en una entidad, programa o
actividad.
2. Objetivos
Determinar el grado en que se estn logrando los resultados previstos.
Establecer si se adquiere y protege los recursos en forma econmica y
eficiente
Determinar si se ha cumplido con las leyes en materia de eficiencia y
economa.
Establecer si los controles gerenciales son efectivos.
3. Metodologa
Planeamiento: Comprende dos etapas
1. Revisin General
* Conocimiento inicial de la entidad por examinar.
* Anlisis preliminar en la entidad
* Formulacin del plan de revisin estratgica
2. Revisin Estratgica
*Ejecucin del plan
*Aplicacin de pruebas preliminares
* Identificacin de los criterios de auditoria.
* Formulacin del reporte de revisin estratgica
3. Elaboracin del Plan De AUDITORIA.
Ejecucin:
1. Elaboracin de los programas de auditoria, la recopilacin de
documentos, realizacin de pruebas y anlisis de evidencias para
asegurar su suficiencia y competencia, para acumular bases
suficientes para la formulacin de observaciones, conclusiones y
recomendaciones debidamente sustentadas.
2. Se aplica procedimientos y tcnicas de auditoria, pruebas de
evaluacin de controles, identificacin de hallazgo (condicin y
criterio).
Informe:
1. Formaliza sus observaciones en el informe de auditoria.
2. Producto final; deber detallar los elementos de la observacin
(condicin, criterio, causa y efecto), comentarios de la entidad,
evaluacin final de tales comentarios, conclusiones y
recomendaciones.
3. Debe tener requisitos de calidad y confiabilidad.
46
4. Aprobado y remitido a la entidad auditada. (forma y modo
establecido por la Contralora
ANALISIS DE COSTO BENEFICIO
ANALISIS DE SISTEMAS
Conocimiento Inicial de las Actividades y Operaciones de la Entidad o
Programa a Examinar
Anlisis Preliminar de la Entidad Y plan de Revisin Estratgica
Formulacin del Reporte de Revisin Estratgica y Plan de Auditoria
Preparacin de Programa de Auditoria
Aplicacin de Pruebas y Obtencin de Evidencias de Auditoria
Elaboracin de Hallazgos de Auditoria, Observaciones, Conclusiones y
Recomendaciones
Aprobacin del Informe de auditoria y Remisin a la Entidad Auditada
Seguimiento de Medidas
Correctivas Adoptadas por
Entidad Auditada
Fase de
Planeamiento
Fase de
Ejecucin
Fase de Informe
Es una tcnica utilizada en el anlisis de Sistemas: que tiene como objetivo fundamental proporcionar una
medida de los costos en que se incurren en la realizacin de un proyecto informtico y a su vez, comparar
dichos costos previstos con los beneficios esperados en la realizacin de dicho proyecto.
Formula.
B/c = Ingreso total (FAS % aos) + Valor Residual (FAS % Aos)
Costo inicial + Costo Operativo (FAS % Aos)
Es el proceso mediante el cual se estudian e interpretan los hechos del Sistema actual, con el fin de
especificar los requerimientos y especificaciones funcionales del nuevo Sistema a desarrollar
- Entrevistas.
- Diagrama de Flujo de Datos (D.F.D.).
- Modelizacin de Datos.
- Diagrama de Estructura de Datos (D.E.D.).
- Historia de Vida de la Entidad (H.E.V.).
- Anlisis de Costo-Beneficio (A.C.B.).
47
CONFIABILIDAD DEL SISTEMA
DISEO ESTRUCTURADO
DIAGRAMA DE ESTRUCTURA DE CUADROS
DIAGRAMA DE ESTRUCTURA DE DATOS (DED)
DIAGRAMA DE FLUJO DE DATOS (DFD)
DIAGRAMAS DE GANTT
DISEO DE PRUEBAS
DISEO DE SISTEMAS
Se define que un sistema es confiable cuando posee los controles y las seguridades del caso,
permitiendo que sus resultados sean exactos y que su operacin sea estable y segura.
Deteccin de errores.
Prevencin de acceso no autorizado y mal uso de la informacin y del equipo.
Controles ambientales y seguridad
Es una tcnica utilizada en el diseo de Sistemas, para obtener la estructura modular y los detalles de proceso del sistema, partiendo solamente
de la informacin obtenida en la fase de anlisis de sistemas. En esta se define como debe estructurarse el sistema utilizando herramientas
graficas
Es una tcnica utilizada en el diseo de sistemas para modelar el sistema computarizado, visualizando modularmente el sistema, la conexin y
comunicacin entre los mismos; dando una visin integral de la arquitectura del sistema.
Es una tcnica utilizada en el anlisis de sistemas para la modelizacion de datos, la cual representa un conjunto de datos relacionados entre si
y describen en forma colectiva un componente del sistema
Proporciona una representacin del sistema a nivel lgico y conceptual, describiendo el movimiento de los datos en el sistema, ya sea manual
o automtico, incluyendo procesos y lugares para almacenar datos.
Son herramientas que se utilizan en la planificacin de un proyecto o etapas del mismo y que consiste en el registro
de lo planificado y de lo ejecutado a travs de barras de diferente diseo en dos ejes, una de actividades y otra de
variable tiempo.
Es una tcnica utilizada en el diseo de Sistemas, que consiste en definir un programa de pruebas, para asegurar la confiabil idad del diseo y
que no existen errores en los programas que se especifiquen.
Prueba de carga mxima.
Prueba de almacenamiento.
Prueba de tiempo de ejecucin.
Prueba de recuperacin.
Prueba de procedimientos.
Prueba de recursos humanos
Es el proceso de definicin de la arquitectura de software, componentes, modulos, interfases, procedimientos de pruebas y datos de un sistema
que se crean para satisfacer unos requerimientos especficos.
48
ENTREVISTAS
HISTORIA DE VIDA DE LA ENTIDAD
IMPLANTACION DE SISTEMAS
INTEGRACION DE SISTEMAS
.
INTEGRIDAD DE LA INFORMACION
INTEGRIDAD DEL SISTEMA
MODELIZACION DE DATOS
OPTIMIZACION DEL DISEO FISICO
PERT-CPM
Es una tcnica que se utiliza en el anlisis de sistemas para recabar la informacin verbal, a travs de una serie de
preguntas que propone el analista. Esta a su vez es imprescindible para obtener informacin cualitativa, relacionarse
con los usuarios y recoger un conjunto de hechos y/o requerimientos de informacin necesaria para el estudio.
Es una tcnica utilizada en el anlisis de Sistemas que permite describir la evolucin de las entidades de datos del sistema. Esta tcnica utiliza las
entidades de datos identificados y descritas en los Diagramas de Estructura de Datos (DED) y las transacciones o eventos del sistema identificado
en el Diagrama de Flujo de Datos (DFD). Tambin constituye un poderoso instrumento para verificar la exactitud de los dos modelos antes
mencionados y garantizar la coherencia.
Es el proceso por el cual se instala un sistema, se crean archivos maestros, se capacita al personal involucrado, se
procesa un periodo de informacin, se efectan ajustes al sistema y se inicia la produccin del sistema.
Es el proceso por el cual se analiza, disea y programa las interfases entre diferentes aplicaciones, sub.-sistemas y sistemas; de tal forma que no
se desarrollen sistemas aislados; sino mas bien interconectados que compartan archivo y base de datos comunes y se transfieran informacin
entre ellos.
Consiste en que los valores de los datos se mantengan tal como fueron puestos intencionalmente en el Sistema. Las
tcnicas de integridad sirven para prevenir que existan valores errados en los datos provocados por el Software de la
Base de Datos o por fallas de programas o del sistema.
El concepto de integridad abarca la precisin y la fiabilidad de los datos: as como la discrecin que sed debe tener con
ellos.
Es una caracterstica que deben poseer los sistemas computarizados. Consiste en que deben tener las seguridades de que el software no puede ser
alterado ni la informacin producida puede ser accesada por personas no autorizadas, para lo cual deben existir los controles y seguridades del
caso.
Es una tcnica utilizada en el anlisis de Sistemas para conseguir estructura de Datos no redundantes, sin inconsistencias, seguras e integras,
utilizando representaciones graficas.
Es una tcnica utilizada en el diseo de Sistemas para optimizar el modelo de Datos elaborado en la fase de Anlisis de Sistemas Permitiendo
obtener la estructura fsica del sistema,; as como la representacin optima de la informacin.
Es una tcnica que se utiliza en la planificacin de proyectos o etapas del mismo y que consiste en el registro de las
actividades, recursos y costos planificados; as como los ejecutados realmente, mediante representacin grafica de
modos y fechas de dependencia de actividades.
49
PLATAFORMA DE HARDWARE
PLATAFORMA DE SOFTWARE
PROCESO EN PARALELO
PROGRAMACION ESTRUCTURADA
PROGRAMACION DE SISTEMAS
PROTOTIPEO
PRUEBAS DE INTEGRACION
PRUEBAS DEL SISTEMA
PRUEBAS UNITARIAS
Es el conjunto de equipos que se utilizan para desarrollar y operar un sistema o todos los sistemas de una organizacin, comprendiendo el
computador central, las instalaciones de trabajo; tales como terminales, equipos de micro computacin, impresoras; as como equipos de
comunicacin local en Red o Remotas.
Es el conjunto de Software de base y aplicativos de uso general, que se utiliza para un sistema determinado o para toda la organizacin; consistente
de los sistemas operativos, sistemas de base de datos, sistema de redes, sistemas de comunicaciones y sistemas generales de automati zacin de
oficinas.
Es una tcnica utilizada en la implantacin de sistemas, que consiste en permitir que se siga utilizando el sistema anterior,
mientras se procesa paralelamente el nuevo sistema, de tal forma de comparar resultados y efectuar el reemplazo
necesario con la seguridad de la correcta operatividad y confiabilidad del nuevo sistema.
Es una tcnica utilizada en la programacin de sistemas y que consiste en llevar a cabo la programacin en forma modular y utilizar sub.funciones
para ser utilizadas en forma comn.
Es el proceso por el cual el diseo de un sistema se transcribe a un lenguaje de programacin, que pueda ser interpretado por el computador, para
que este ejecute instrucciones que realicen las funciones, especificados para el nuevo sistema.
Es una tcnica utilizada en el Anlisis de sistemas y Diseo de sistemas, que permite desarrollar con rapidez un sistema de trabajo computarizado,
para posibilitar probar el diseo ante el usuario en un Software provisional que permite analizar en forma fsica el ingreso de los datos, el
procesamiento y la emisin de resultados; y poder efectuar los ajustes necesarios para el diseo definitivo.
Son las que deben realizarse para probar la integracin entre los componentes del sistema y asegurarse que encajen correctamente.
Son las que deben realizarse para probar el sistema globalmente.
Son las que deben realizarse para probar todos los componentes del sistema que se desarrollan individualmente.
50
RESPALDO DE LA INFORMACION
NORMAS DE AUDITORIA
Es la informacin que se archiva en un medio alternativo al del almacenamiento de un computador, con fines de disponer de una copia de seguridad
por si ocurriese perdidas del sistema o la informacin
1.10 Entrenamiento tcnico y
Capacidad profesional
1.20 Independencia
1.30 Cuidado y esmero profesional
1.40 Confidencialidad
1.50 Participacin de especialistas
1.60 Control De Calidad
NORMAS GENERALES
2.10 Planificacin General
2.20 Planificacin Especifica
2.30 Programa de Auditoria
2.40 Archivo Permanente
Normas para la planificacin
3.10 Estudio y evaluacin del
Control interno
3.20 Evaluacin y cumplimiento de
Normas legales y reglamentos
3.30 Supervisin del trabajo
3.40 Evidencia suficiente y
competente
3.50 Papeles de Trabajo
Normas para la Ejecucin
3.60 Comunicacin de Hallazgos
3.70 Carta de representacin
4.20 Oportunidad del Informe
4.10 Forma Escrita
51
TALLER 01
ACTIVIDAD APLICATIVA
APLICABILIDAD DE LAS NORMAS EN LA AUDITORIA DE SISTEMAS.
Objetivo
Identificar y reconocer las Normas que se aplican en la auditoria de Sistemas
Orientaciones
En grupos, durante 40 minutos, los alumnos discuten analizan las normas que se
adecuan a la auditoria de sistemas y elaboran conclusiones.
AUTOEVALUACIN
1. Explique la importancia de las normas aplicables en una auditoria de sistemas.
2. Establezca diferencias entre las que se usan para las dems auditorias.
3. Diga qu funcin tienen las normas discutidas en la auditoria de sistemas?
TEMA N 02
EL SISTEMA INFORMATICO.
REQUISITOS DEL AUDITOR INFORMATICO
Debe tener conocimiento
suficiente de Sistemas.
Anlisis - FODA por Cliente.
Seguridad y Profesionalismo.
No es conocedor de todas las
especialidades.
No opinar con facilidad.
Conocimiento de hardware
Software Relativos
NAGU 1.50 PARTICIPACION DE PROFESIONALES Y/O ESPECIALISTAS
Integran el equipo de auditoria, en calidad de apoyo, los profesionales y/o especialistas que ejercen sus
actividades en campos diferentes a la auditoria gubernamental, cuando sus servicios se consideren
necesarios para el desarrollo del examen. De ser pertinente, los resultados de sus labores se incluirn en
el informe o como anexos al mismo.
Normas para el Informe
4.30 Presentacin del Informe
4.40 Contenido del Informe
4.50 Informe Especial
52
PAPEL DEL AUDITOR DE SISTEMAS
Estudiar el sistema de
Informacin y analizar sus controles
organizativos y operativos. (PED).
Investigar y analizar las aplicaciones
informticas en produccin o desarrollo.
Evaluar la eficiencia y eficacia de los
sistemas de informacin.
Deben conocer los puntos fuertes y
dbiles del sistema.
Debe establecer un adecuado nivel de
comunicacin con el personal de PED.
En relacin a los
temas tcnicos, debe
requerir del Ingeniero
de sistemas.
Revisar los papeles de trabajo.
Analizar con el
abogado los Hallazgos
y respuestas.
Discutir con el equipo
el informe en borrador.
Elaborar y firmar el Informe en limpio.
ENFOQUES EN LA AUDITORIA DE SISTEMAS
Auditoria alrededor
del computador.
Anlisis de
procedimientos ,
mtodos y otros
usados en los
diferentes sistemas
Auditoria en el
Computador.
Examen de
aplicaciones.
Eficiencia / eficacia
de los sistemas
asistidos CIS.
Auditoria a travs del Computador.
Controles entrada / salida
Eficiencia / Eficacia en la operacin de los sistemas.
Otros
53
Conceptos de Seguridad de la Informacin
Seguridad: Asociado a Certeza Falta de riesgo o contingencia.
Niveles de Seguridad: Esto depende del conjunto de tcnicas
usadas por la empresa; encaminadas a obtener un menor riesgo.
ntimamente ligada a la Organizacin.
ALTO
MODERADO
BAJO.
Sistema de Seguridad =
Tecnologa + Organizacin
Sistemas de Respaldo y Redundantes
Tcnicas de Proteccin:
Backup.
Copias de Seguridad.
Unidades de Espejo.
Niveles de Respaldo y Redundancia.
Tolerancia a fallos.
Capacidad de respuesta a un suceso inesperado.
Hardware Software Electricidad Borrado accidental
operacin Negligente -
UPS Grupos electrogenos.
Proteccin contra Virus.
54
UNIDAD III
TECNICAS DE AUDITORIA ASISTIDAS POR
COMPUTADOR- TAACs
CONTENIDOS PROCEDIMENTALES
Presenta soffware especialmente creado para uso del auditor,
denominado Tcnicas de Auditora Asistidas por Computador - TAACs
Caractersticas de las Tcnicas de Auditora Asistidas por Computador -
TAACs
Aplicacin de las Tcnicas de Auditora Asistidas por Computador
TAACs.
CONTENIDOS CONCEPTUALES
Sesin 17:
Conceptos generales de las Tcnicas de Auditora Asistidas por Computador - TAAC
Sesin 18:
ACL Servicios y soluciones tecnolgicas
Sesin 19:
55
Presentacin de caso prctico ACl
Sesin 20:
IDEA Software de Anlisis de Datos
Sesin 21:
Monitoreo continuo. Auditora en tiempo real.
Sesin 22:
Manual de Auditora Gubernamental MAGU: Aplicacin de Tcnicas de Auditoria
Asistidas por Computador . TAACs
Sesin 23:
Federacin Internacional de Contadores IFAC: NIA 1009: Tcnicas de Auditoria con
Ayuda de la Computadora TCAs - ( TAACs).
Sesin 24:
EVALUACIN SEGUNDA PRACTICA CALIFICADA
56
DIAGRAMA DE CONTENIDOS
T
E
C
N
I
C
A
S
D
E
A
U
D
I
T
O
R
I
A
A
S
I
S
T
I
D
A
S
P
O
R
C
O
M
P
U
T
A
D
O
R
-
T
A
A
C
s
CONCEPTOS GENERALES
TAACs
MONITOREO CONTNUO.
AUDITORA EN TIEMPO
REAL
MAGU APLICACIN TAACs.
NTP 17799.
ACL, IDEA. SERVICIOS Y
SOLUCIONES
TECNOLGICAS
57
Federacin Internacional de Contadores IFAC: NIA 1009: Tcnicas de
Auditoria con Ayuda de la Computadora TCAs - ( TAACs).
Control de Aplicacin de las TCAs
Los procedimientos especficos necesarios para controlar e! uso de
una TCA dependen de la aplicacin particular. Al establecer el control,
el auditor considera la necesidad de:
(a) Aprobar especificaciones y conducir una revisin del trabajo que
debe desempear la TCA.
(b) Revisar los controles generales de la organizacin que puedan
contribuir a la integridad de la TCA, por ejemplo, controles sobre
cambios a programas y acceso a archivos de computadora.
Cuando dichos controles no pueden ser confiables para
asegurar la integridad de la TCA, el auditor puede, considerar el
proceso de la aplicacin de la TCA en otra instalacin de
computacin adecuada.
(d) Asegurar la integracin apropiada de los resultados en el
proceso de auditora.
Los procedimientos llevados a cabo por el auditor
para controlar las aplicaciones de las TCAs pueden incluir:
(a) Participar en el diseo y pruebas de las TCAs.
(b) Verificar, si es aplicable, la codificacin del programa para
asegurar que este de acuerdo con las especificaciones
detalladas del programa.
(c) Solicitar al personal de computacin de la organizacin revisar
las instrucciones del sistema operativo para asegurar que el
58
software correr en la instalacin de computacin de la
organizacin.
(d) Ejecutar el software de auditora en pequeos archivos de
prueba antes de ejecutarlo en los archivos principales de datos.
(e) Verificar si se usaron los archivos correctos, por ejemplo,
verificando la evidencia externa, como totales de controles
mantenidos por el usuario y que dichos archivos estn
completos.
(f) Obtener evidencia de que el software de auditora funcion
segn lo planeado, por ejemplo, revisando los datos de salida y
la informacin de control.
(g) Establecer medidas apropiadas de seguridad para salvaguardar la
integridad y confidencialidad de los datos.
Cuando el auditor tiene la intencin de realizar procedimientos de
auditora en forma concurrente con el procesamiento en lnea, el
auditor revisa dichos procedimientos con el personal apropiado del
cliente y obtiene aprobacin antes de conducir las pruebas para
ayudar a evitar la alteracin inadvertida de los registros del cliente.
Para asegurar procedimientos de control apropiados, no se requiere
necesariamente la presencia del auditor en la instalacin de
computacin durante la ejecucin de una TCA. Sin embargo, esto
puede proporcionar ventajas prcticas, como controlar la distribucin
de los datos de salida y asegurar la correccin oportuna de errores.
Los procedimientos de auditora para controlar las aplicaciones
de datos de prueba pueden incluir:
Controlar la secuencia de presentacin de datos de prueba
cuando se realicen a varios ciclos de procesamiento.
59
Realizar corridas de prueba que contengan pequeas cantidades
de datos de prueba antes de presentar los datos de prueba
principales de la auditora.
Predecir los resultados de los datos de prueba y compararlos
con la salida real de datos de prueba, para las transacciones
individuales.
Confirmar que se us la versin actual de los programas para
procesar los datos de prueba.
Poner a prueba si los programas usados para procesar los
datos de prueba fueron utilizados por la organizacin durante el
periodo aplicable de auditora.
Cuando el auditor utilice una TCA, puede requerir la cooperacin de
personal de la organizacin con amplio conocimiento de la instalacin
de computacin En estas circunstancias, el auditor puede considerar
si el personal influy en forma inapropiada en los resultados de la
TCA.
Los procedimientos de auditora para controlar el uso de un
software de ayuda para la auditora pueden incluir:
Verificar la totalidad, exactitud y disponibilidad de datos relevante;
por ejemplo, pueden requerirse datos histricos para elaborar
un modelo financiero.
Revisar la razonabilidad de los supuestos usados en la aplicacin
del conjunto de herramientas.
Verificar la disponibilidad de recurso con habilidad en el uso y
control de las herramientas seleccionadas.
Confirmar lo adecuado del conjunto de herramientas para el
objetivo de auditora, por ejemplo, puede ser necesario el uso
60
de sistemas especficos para cada industria en el diseo de
programas de auditora para ciclos nicos de negocios.
Documentacin
El estndar de papeles de trabajo y los procedimientos de su
formulacin es consistente con el de la auditora como un todo .
Los papeles de trabajo necesitan contener suficiente documentacin
para describir la aplicacin de la TCA, tal como:
(a) Planeacin
Objetivos de la TCA.
Consideracin de la TCA especfica que se va a usar.
Controles que se van a ejecutar.
Personal, tiempo y costo.
(b) Ejecucin
Preparacin de la TCA y procedimientos de prueba v
controles.
Detalles de las pruebas realizadas por la TCA.
Detalles de datos de entrada, procesamiento y datos de
salida.
Informacin tcnica relevante sobre el sistema de
contabilidad de la organizacin, tal como la organizacin
de archivos.
(c) Evidencia de auditora
Datos de salida proporcionados;
61
Descripcin del trabajo de auditora desempeado sobre
los datos de salida.
Conclusiones de auditora
(d) Otros
Recomendaciones a la administracin de la organizacin;
Adems puede ser til documentar las sugerencias para usar
la TCA en aos futuros.
Utilizacin de TCA en TI de Entidades Pequeas
Aunque los principios generales explicados en la presente
Declaracin se aplican a ambientes de SIC, en entidades pequeas
los siguientes puntos necesitan consideracin especial:
(a) El nivel de controles generales puede ser tal que el auditor
deposite menos confiabilidad en el sistema de control interno.
Esto dar como resultado un mayor nfasis sobre pruebas de
detalles de transacciones y saldos y procedimientos analticos
de revisin, lo que puede incrementar la efectividad de ciertas
TCAs, particularmente software de auditora.
(b) Cuando se procesan volmenes menores de datos, los mtodos
manuales pueden ser ms eficientes.
(c) Una organizacin pequea quizs no pueda proporcionar al
auditor ayuda tcnica adecuada, haciendo poco factible el uso
de TCAs.
(d) Ciertos programas de auditora en paquete pueden no operar en
computadoras pequeas, restringiendo as la opcin del auditor
en cuanto a TCAs. Sin embargo, los archivos de datos de la
organizacin pueden copiarse y procesarse en otra
computadora.
62
NAGU 2.30 PROGRAMA DE AUDITORIA
Para cada auditoria gubernamental deben preparase programas especficos que incluyan
objetivos, alcance de la muestra, procedimientos detallados y oportunidad de su aplicacin, as
como el personal encargado de su desarrollo.
Programa
1. Objetivo del Examen
Informe de Auditoria Financiera: Emitir opinin sobre la razonabilidad de los
EEFF.
Informe Examen Especial de la Informacin Presupuestaria: Razonabilidad de la
informacin presupuestaria. Presupuestado versus ejecutado.
Informe Largo: Funcionamiento y efectividad del Sistema de Control Interno.
Evaluar la gestin Administrativa y operativa.(metas y Objetivos)
Adquisicin de bienes y servicios.
Normas de control de produccin
Proyectos de inversin u Obras publicas
Controles de donacin
Seguimiento a la implementacin de las recomendaciones.
2. Alcance: Aplicacin de las NAGU, vista de locales y otros
3. Descripcin de la Entidad: Constitucin, principales operaciones, sistema de
contabilidad
4. Normativa Aplicable: Bajo que leyes se encuentra
5. Informes a Emitir: Informe corto, largo, especial, con fechas de entrega.
6. Identificacin de reas criticas: Evaluacin de riesgos Alto, bajo o moderado
7. Puntos de Atencin: posibles problemas
8. Funcionarios de la entidad: Nombres, cargos y fechas de trabajo
9. Presupuesto de Tiempo: Personal que va intervenir en la auditoria con horas / hombre.
10. Participacin de Especialistas: Si es el caso.
63
NAGU 3.10 ESTUDIO Y EVALUACIN DEL CONTROL INTERNO
Se debe efectuar un estudio apropiado y evaluacin del control interno, para identificar las reas
criticas que requieren un examen profundo, determinar su grado de confiabilidad a fin de establecer la
naturaleza, alcance, oportunidad y selectividad en la aplicacin de procedimientos de auditoria..
Conjunto de planes, mtodos y procedimientos, incluyendo polticas de direccin, que ofrecen
seguridad razonable que se cumplen los objetivos de control (promover la eficiencia, la eficacia y la
economa) y proteger los recursos pblicos.
La estructura:
1. Ambiente de Control: Los rganos de direccin estimulan e influyen en su personal, para
crear conciencia sobre los beneficios de una adecuado-+ control.
2. Evaluacin del riesgo: Como la entidad identifica y analiza los riesgos que afectan el
cumplimiento de sus objetivos.
3. Actividades de Control Gerencial: Polticas y procedimientos que imparte la gerencia.
4. Sistema de Informacin y Comunicacin: Mtodos y procedimientos establecidos por la
gerencia para procesar adecuadamente la informacin y ayudar a la toma de decisiones.
5. Actividades de Monitoreo: Mantener el control interno evaluacin continua.
Evaluacin de la estructura: comprende 2 etapas
1. Obtencin de informacin relacionada con el diseo e implementacin de los controles sujetos
a evaluacin.
2. Comprobacin de que los controles identificados funcionan adecuadamente y logran sus
objetivos
Al termino de esta evaluacin: Memorandun de Control Interno - debilidades y las
recomendaciones
NAGU 3.40 EVIDENCIA SUFICIENTE, COMPETENTE Y RELEVANTE
El auditor debe obtener evidencia suficiente, competente y relevante, mediante la aplicacin de
pruebas de control y procedimientos sustantivos que le permitan fundamentar razonablemente los
juicios y conclusiones que formule respecto al organismo, programa, actividad o funcin que sea
objeto de la auditoria.
a. Suficiencia: evidencia objetiva y convincente, que basta para sustentar los hallazgos.
b. Competente: valida y confiable..
c. Relevancia: esta en relacin a su uso.
Evidencia fsica: observacin, inspeccin directa. Se presenta en memorando(fotos, mapas, etc)
Evidencia documental: cartas, contratos, registros, facturas, documentos de la administracin
Evidencia testimonial: declaraciones, entrevistas.
Evidencia analtica: clculos, comparaciones, razonamientos
64
El propsito de este estndar internacional de auditoria (ISA), es establecer estndares y
proporcionar la direccin en los requerimientos que se seguirn cuando una auditoria se conduce en
los sistemas de informacin computarizados (Ambiente CIS).
Para los propsitos de esta norma ISA, un ambiente CIS existe cuando una computadora de
cualquier tipo o tamao es implicada en el proceso de la informacin de la empresa, con suficiente
importancia para la auditoria; ya sea que esta computadora sea operada por la entidad o por terceros.
El auditor debe considerar Cmo un ambiente CIS afecta la auditoria ?.
El objetivo y el alcance totales de una auditoria no cambia en una ambiente CIS. Sin embargo, el uso
de una computadora cambia el proceso, almacenaje y la comunicacin de informacin y puede afectar
los sistemas de control interno empleados en la entidad. Por consiguiente, un ambiente CIS puede afectar:
* Los procedimientos que se seguirn por el auditor en la obtencin de una suficiente comprensin
de los sistemas utilizados.
* La consideracin del riesgo inherente y del riesgo del control con la cual el auditor llega a su evaluacin
del riesgo.
* Los diseos y funcionamiento de las pruebas del control y los procedimientos substantivos apropiados
que determinaron los auditores para resolver el objetivo de la auditoria.
INTERNACIONAL STANDARD ON AUDITING 401
AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT
Norma IFAC contenido en el Manual ISA 2003.
Comprende:
* Introduccin.
* Habilidades y Competencias.
* Planeamiento.
* Evaluacin de Riesgo.
* Procedimientos de Auditoria.
INTERNACIONAL STANDARD ON AUDITING 401
AUDITING IN A COMPUTER INFORMATION
SYSTEMS (CIS) ENVIRONMENT - INTRODUCCION
65
UNIDAD IV
APLICACIN DEL SOFTWARE DE AUDITORA.
COBIT OBJETIVOS DE CONTROL PARA TI Y
TECNOLOGAS RELACIONADAS. BASE DE DATOS
CAPACIDAD IV
Demostracin de la aplicacin de software de auditora. Reconoce los sistemas de
informacin, la base de datos materia de examen y la aplicacin de las pruebas de
datos
CONTENIDOS PROCEDIMENTALES
Formaliza y expresa con propiedad el enfoque del Sistema de
Informacin.
Presenta la forma de la elaboracin de la base de datos y su
administracin.
Explica la tcnicas y procedimientos de auditora aplicables para
examinar la base de datos.
Explica la aplicacin de los datos de prueba.
CONTENIDOS CONCEPTUALES
DECIMA TERCERA SEMANA
Sesin 25:
Sistemas de informacin y administracin de la base de datos.
Sesin 26:
Base de datos
DECIMA CUARTA SEMANA
Sesin 27:
Gestin de la base de datos
66
Sesin 28:
Datos de prueba
DECIMA QUINTA SEMANA
Sesin 29:
En Tecnologas de Informacin, tcnicas y procedimientos de auditora aplicables
Sesin 30:
Aplicacin tcnicas y procedimientos de auditora en base de datos.
DECIMA SEXTASEMANA
Sesin 31:
Datos de prueba.
Sesin 32:
Aplicacin datos de prueba
DECIMA SEPTIMA SEMANA
Sesin 33 y 34: EXAMEN FINAL
67
DIAGRAMA DE CONTENIDOS
A
P
L
I
C
A
C
I
N
D
E
L
S
O
F
T
W
A
R
E
D
E
A
U
D
I
T
O
R
A
.
C
O
B
I
T
.
APLIC.SOFTWAR DE AUDIT.
COBIT. PRINCIPIOS
GRADIENTES DE CONTROL
DOMINIOS.
SISTEMAS DE
INFORMACION Y BASE DE
DATOS
COBIT. ANTECEDENTES,
OBJETIVOS, FUENTES.
68
UNIDAD III
ATRIBUTOS DEL SISTEMA INFORMATICO
Concepto de sistema
La palabra sistema puede ser utilizada con varios sentidos diferentes. Por ejemplo, podemos decir
que el profesor Jos tiene un sistema de evaluacin muy riguroso o que don Juan tiene un sistema
estupendo para jugar el me late, o inclusive que el sistema solar tiende a alejarse de un hoyo
negro. Sin embargo, para nuestro propsito, diremos que sistema es un conjunto de partes
integradas que tienen la finalidad comn de alcanzar determinado objetivo u objetivos. De este
concepto podemos extraer tres caractersticas bsicas:
Un conjunto de partes: Todo sistema tiene ms de un elemento.
Partes integradas: Existe una relacin lgica entre las partes que constituyen un sistema.
Sistemas electrnicos o mecnicos, como una mquina de lavar ropa o de un videojuego, posen
componentes que trabajan en conjunto. Un sistema de administracin de personal consiste en
procedimientos integrados para reclutar, seleccionar, capacitar y evaluar empleados.
Propsito comn de alcanzar determinado objetivo: Todo sistema existe para alcanzar uno o
ms objetivos, y sus partes integrantes deben ajustarse entre s para lograr el objetivo global del
sistema.
En la medida en que las partes estn interrelacionadas y unidas, el sistema alcanza un estado
slido y firma. El resultado del sistema es mayor que la suma de sus partes, porque la
interrelacin de ellas produce un efecto multiplicador denominado Sinergia. Cada parte ayuda a
otra y el efecto sinegtico hace que el resultado del conjunto sea maximizado.
Sin embargo, si las partes no estn correctamente interrelacionadas el sistema entra en un estado
de descomposicin y desintegracin llamado Entropa. Cada parte se desliga de la otra y el efecto
entrpico produce perdidas y deterioro.
- Finalidad de los sistemas
Vimos que el sistema existe para lograr uno o ms objetivos. Un objetivo es una situacin
deseada, un resultado a alcanzar. Vimos tambin que un sistema, es eficaz cuando alcanza
adecuadamente los objetivos para los cuales fue creado. La eficacia esta ligada a los fines, a los
resultados, a los objetivos logrados.
3.- Componentes de los sistemas
Todo sistema est constituido por partes relacionadas entre s. Las partes son los subsistemas que
a su vez estn constituidos por otras partes relacionadas entre s, y as sucesivamente. Por otro
lado, todo sistema es parte de un sistema mayor, el SUPRA SISTEMA. Este es el atractivo que la
TEORIA DE SISTEMA ofrece. Se puede estudiar cada sistema con sus subsistemas integrantes,
como partes de un sistema ms grande.
LOS COMPONENTES DE TODO SISTEMA SON LOS SIGUIENTES. :
69
: es todo lo que ingresa al sistema para hacerlo funcionar. Ningn
sistema es autosuficiente o autnomo. El sistema necesita de insumos, en forma de recursos,
energa o informacin. En el organismo humano, los insumos son variados, el aire, los, el agua,
las imgenes, los sonidos, etc. que provienen del medio ambiente externo.
us
subsistemas. Cada subsistema se encarga de un tipo de insumo que le es peculiar. En el
organismo humano, el aire que respiramos es procesado por el aparato respiratorio, la comida
que comemos por el aparato digestivo, las imgenes por los sistemas visual y nervioso
resultados de sus operaciones. Las entradas debidamente procesadas y convertidas en resultados
se exportan de nuevo al ambiente, en forma de productos o servicios prestados, en el caso de las
empresas.
o resultados, que pasan a influir sobre su funciona miento. La retroaccin es generalmente una
informacin o energa de retorno que vuelve al sistema para realimentarlo o alterar su
funcionamiento como consecuencia de sus resultados o salidas.
A partir de esos Componentes, se puede evaluar el funcionamiento de un sistema. En lenguaje
sistmico, la eficiencia es el cuociente de salida sobre le entrada, es, es decir, la cantidad de
salida por unidad de entrada. Si dos sistema presentan los mismos resultados, pero uno de ellos
requiere menos recursos de entrada, entonces ste ser ms eficiente. O dos sistemas utilizan la
misma cantidad de insumos, pero uno de ellos produce mejor resultado, entonces ste ser el ms
eficiente. La eficacia, por otro lado, es la relacin entre la salida y el objetivo del sistema, esto es,
en cuanto ms contribuye el resultado al alcance del objetivo, ms eficaz ser el sistema.
4.- Clasificacin de los sistemas
Hay varias maneras de clasificar los sistemas: en cuanto a su constitucin y en cuanto a su
relacin con el medio ambiente.
En cuanto a su constitucin, los sistemas pueden clasificarse en:
palpables y concretos, como mquinas, equipos, instalaciones, edificios, materias primas, etc.
on los sistemas compuestos de aspectos
intangibles y abstractos, como filosofas, polticas, directivas, programas, procedimientos, reglas
y reglamentos, etc.
En realidad, las empresas son sistemas constituidos por subsistemas fsicos y conceptuales: ellas
necesitan de mquinas, equipos e instalaciones, pero requieren tambin de filosofas, directrices,
reglas y reglamentos para funcionar.
En cuanto a su relacin con el medio ambiente, los sistemas pueden clasificarse en:
70
stemas cuyas entradas y salidas hacia el medio ambiente
externo son pocas y sobre todo conocidas. Son los sistemas mecnicos o determinismo que con
determinada entrada producen determinada salida, como el motor, la mquina, etc. Son
previsibles y sujetos a certezas.
medio ambiente externo, no siempre bien conocidas. Mantienen intenso intercambio con el
ambiente. Son los sistemas vivos y orgnicos sujetos a la indeterminacin e incertidumbre.
En realidad, no existen sistemas absolutamente cerrados o absolutamente abiertos: los primeros
seran hermticos y los ltimos se confundiran con el ambiente externo. En las empresas existen
sistemas mecnicos (como las mquinas, equipos, instalaciones, etc.) y sistemas orgnicos (como
las personas, principalmente). La propia empresa es un sistema orgnico, vivo y abierto.
Sistemas de sugestin
Los sistemas de sugestin son importantes y pueden incluirse en una discusin del pensamiento
creativo.
Por medio de los sistemas de sugestin, se anima a los empleados a que sometan sus ideas para
mejorar las operaciones y las condiciones de trabajo. Las sugestiones adoptadas recompensan a
su autor, usualmente en la forma de premios en efectivo. Cuando se le da amplia atencin y
apoyo suficiente, el sistema de sugestiones no solo proporciona las ideas sino que contribuye
significativamente al logro de buenas relaciones humanas. Es imperativo que los gerentes den al
sistema de sugestiones de su empresa apoyo entusiasta y que lo expliquen minuciosamente a
todos los empleados.
El xito de los sistemas de sugestiones requiere una promocin y publicidad continuas. Es
demasiado frecuente que se inicie un sistema con brote de entusiasmo y que se desvanezca
prcticamente en nada al los pocos meses, debido a la falsa creencia de que el sistema debe ser
auto generador y debe continuar as. Hay que fomentar el que los empleados hagan sugestiones y
ayudarlos a redactarlas.
La siguiente figura incluye lo que el gerente puede hacer a este respecto
La experiencia muestra que unas cajas para sugestiones convenientemente ubicadas. en un sitio
al lado para escribir. Bastantes formas a la mano para sugestiones una buena recoleccin de las
sugestiones y un rpido acuse de recibo de las mismas. Son de bastante utilidad para mantener
despierto el inters en un sistema de sugestiones.
De igual manera la decisin sobre las sugestiones se determinar en un periodo razonable. Es
conveniente llevar un catalogo de sugestiones, de manera que las anteriores puedan servir de
referencia, con el destino que se les haya dado. Si una sugestin requiere mas del tiempo normal
para juzgarla, quien la haya hecho debe ser informado de esta situacin, ya que es perfectamente
normal que un empleado desee saber que pas con su idea o las condiciones en que se encuentra
su sugerencia. Las decisiones junto a los razonamientos y las cantidades de los premios deben
hacerse del conocimiento de todos los empleados. Esto puede efectuarse por medio de carteles,
en un tablero de boletines o mediante inserciones en las publicaciones de la compaa. En
muchos casos es conveniente no dar a conocer el nombre del colaborador, con objeto de eliminar
71
cualquier influencia personal al juzgar, para mejorar la precisin de los premios o por cualquiera
de varia circunstancias que ataen al individuo. Tambin es importante una rpida accin
despus de que se llegue a una decisin con respecto a una sugestin. Las recompensas deben ser
pagadas sin demora, la sugestin debe ser puesta en vigor tan rpido como sea posible, y lograr la
continuacin de las sugestiones aprobadas. La cantidad del premio puede variar pero desde un
mnimo de 5% hasta un mximo del 10 % de los ahorros del primer ao derivados de la adopcin
de la sugestin. La recompensa debe ser lo bastante para retener el inters de los empleados y su
participacin activa.
Es conveniente activar de inmediato una sugestin aprobada, ya que muchos empleados estn
mas interesados en ver sus sugestiones llevadas a la prctica que en recibir la recompensa. La
continuacin de las sugestiones demuestra un inters continuo de parte de los gerentes y revela el
grado hasta el cual se siguen las sugestiones y los benficos a largo plazo que se deriven.
Las ideas y su aplicacin pueden ser la ruta hacia el xito y la fama en la administracin. Se
necesitan nuevas y mejores ideas si es que la administracin va a continuar progresando. Existen
medios definidos y pueden ser adoptados para desarrollar la facultad de crear ideas, lo mismo
que para ponerlas en prctica. Debe contarse con un ambiente de trabajo que conduzca y fomente
la creacin de ideas y la innovacin. Pero esta atmsfera favorable no puede crearse de la noche
a la maana o por un mero ademn, no importa lo bien dispuesto que encuentren los gerentes.
Toma tiempo, esfuerzo de concentracin, fe en la importancia de las ideas y la conviccin de que
pueden crearse mejoras y mejores objetivos administrativos, as como los medios para utilizarlos.
TALLER 03
ACTIVIDAD APLICATIVA
SISTEMAS INFORMATICOS.
Objetivo
Conocer los atributos de los sistemas informticos y los modos de aplicar pruebas de
auditoria.
Orientaciones
En forma grupal identificar y analizar los modelos y sistemas informtico a mas usados en las
empresas.
AUTOEVALUACIN
1. Referencia los modelos de sistemas informticos usados en las empresas?
2. Conocer la manipulacin de los sistemas informticos en las reas principales de las
empresas?..
REFERENCIAS DOCUMENTALES
www.esinet.es.
72
www.infoplus.es.
TEMA N 04
CONCENTRACION DE LOS SISTEMAS INFORMATICOS
Lo Importante es Proteger la Informacin
Los Datos y la Informacin son los sujetos
principales de proteccin
Confidencialidad: Informacin conocida por individuos
autorizados.
Existen infinidad de posibles ataques contra la privacidad.
Escape de informacin.
Integridad: Seguridad de la informacin.
La Informacin no sufre alteracin, no es borrada,
reordenada, copiada, etc.
Disponibilidad: Seguridad que la informacin pueda ser
recuperada en el momento que se necesite.
TORTAS PERU
Cliente del
Exterior
VISA
Paga con
VISA
Se encarga
a preparar la
torta a
afiliada mas
cercana al
domicilio del
beneficiario
IGV: Venta se trata como
venta local
Honorarios: Locales
Renta: Fuente peruana
Se paga desde el exterior
73
TALLER 04
ACTIVIDAD APLICATIVA
SISTEMAS INFORMATICOS AUDITABLES.
Objetivo
Conocer los atributos de los sistemas informticos y los modos de aplicar pruebas de
auditoria.
Orientaciones
En forma grupal identificar y analizar los modelos y sistemas informtico a mas
usados en las empresas.
AUTOEVALUACIN
1. Referencia los modelos de sistemas informticos usados en las empresas?
2. Conocer la manipulacin de los sistemas informticos en las reas principales de
las empresas?..
INGENIERIA DE LA INFORMACION Y LA METODOLOGIA DE PRUEBAS.
El avance tecnolgico y la necesidad de las empresas de tener la identificacin
necesaria del buen uso de sus sistemas, la certificacin a travs de la opinin de un
profesional independiente Auditor Contador, hace necesario tener la aplicacin de
tcnicas y modelos de pruebas de auditoria.
Empresa
Virtual
EMPRESARIO
Per
Pone
una
empresa
Virtual
en
Internet
El Cliente
paga con
Visa
El cliente (
India) hace su
pedido va
Internet
Se compra en Cuba habanos para
ser enviados a India
Cuba
enva
al
cliente
en
India
Preguntas: IGV Renta de fuente Exportacion ????????
74
Tcnicas.
Se define a las tcnicas de auditora como los mtodos prcticos de investigacin y
prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente
sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, segn las
circunstancias.
Al aplicar su conocimiento y experiencia el auditor, podr conocer los datos de la
empresa u organizacin a ser auditada, que pudieran nesecitar una mayor atencin.
Las tcnicas procedimientos estn estrechamente relacionados, si las tcnicas no
son elegidas adecuadamente, la auditora no alcanzar las normas aceptadas de
ejecucin, por lo cual las tcnicas as como los procedimientos de auditora tienen
una gran importancia para el auditor.
Segn el IMCP en su libro Normas y procedimientos de auditora las tcnicas se
clasifican generalmente con base en la accin que se va a efectuar, estas acciones
pueden ser oculares, verbales, por escrito, por revisin del contenido de
documentos y por examen fsico.
Siguiendo esta clasificacin las tcnicas de auditora se agrupan especficamente de
la siguiente manera:
Estudio General
Anlisis
Inspeccin
Confirmacin
Investigacin
Declaracin
Certificacin
Observacin
Clculo
Procedimientos.
Al conjunto de tcnicas de investigacin aplicables a un grupo de hechos o
circunstancias que nos sirven para fundamentar la opinin del auditor dentro de una
auditora, se les dan el nombre de procedimientos de auditora en informtica.
La combinacin de dos o ms procedimientos, derivan en programas de auditora, y
al conjunto de programas de auditora se le denomina plan de auditora, el cual
servir al auditor para llevar una estrategia y organizacin de la propia auditora.
El auditor no puede obtener el conocimiento que necesita para sustentar su opinin
en una sola prueba, es necesario examinar los hechos, mediante varias tcnicas de
aplicacin simultnea.
En General los procedimientos de auditora permiten:
Obtener conocimientos del control interno.
75
Analizar loas caractersticas del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditora.
Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o
procedimiento de auditora sern los mas indicados par obtener su opinin.
Anlisis de datos.
Dentro de este trabajo, desarrollaremos diversos tipos de tcnicas y procedimientos
de auditora, de los cuales destacan el anlisis de datos, ya que para las
organizaciones el conjunto de datos o informacin son de tal importancia que es
necesario verificarlos y comprobarlos, as tambin tiene la misma importancia para
el auditar ya que debe de utilizar diversas tcnicas para el anlisis de datos,
basados en [bib-solis-2002], las cuales se describen a continuacin.
Comparacin de programas
esta tcnica se emplea para efectuar una comparacin de cdigo
(fuente, objeto o comandos de proceso) entre la versin de un programa
en ejecucin y la versin de un programa piloto que ha sido modificado
en forma indebida, para encontrar diferencias.
Mapeo y rastreo de programas
esta tcnica emplea un software especializado que permite analizar los
programas en ejecucin, indicando el nmero de veces que cada lnea
de cdigo es procesada y las de las variables de memoria que
estuvieron presentes.
Anlisis de cdigo de programas
Se emplea para analizar los programas de una aplicacin. El anlisis
puede efectuarse en forma manual (en cuyo caso slo se podra analizar
el cdigo ejecutable).
Datos de prueba
Se emplea para verificar que los procedimientos de control incluidos los
programas de una aplicacin funcionen correctamente. Los datos de
prueba consisten en la preparacin de una serie de transacciones que
contienen tanto datos correctos como datos errneos predeterminados.
Datos de prueba integrados
Tcnica muy similar a la anterior, con la diferencia de que en sta se
debe crear una entidad, falsa dentro de los sistemas de informacin.
Anlisis de bitcoras
Existen varios tipos de bitcoras que pueden ser analizadas por el
auditor, ya sea en forma manual o por medio de programas
especializados, tales como bitcoras de fallas del equipo, bitcoras de
accesos no autorizados, bitcoras de uso de recursos, bitcoras de
procesos ejecutados.
Simulacin paralela
Tcnica muy utilizada que consiste en desarrollar programas o mdulos
que simulen a los programas de un sistema en produccin. El objetivo es
76
procesar los dos programas o mdulos de forma paralela e identificar
diferencias entre los resultados de ambos.
BASE DE DATOS PARA AUDITORIA
Una Base de Datos describe organizaciones del mundo real, representa simblicamente
los objetos del mundo real como tablas.
Importancia del diseo de la BD.
Diseo lgico: proceso iterativo.
Partir grandes estructuras heterogneas en otras estructuras ms pequeas y homogneas.
A este proceso se le llama normalizacin. (Fco. Nava)
DISEO DE BASE DE DATOS:
Etapa previa a la introduccin (Grabacin) de datos.
Proceso iterativo (normalizacin): se buscan estructuras pequeas y homogneas.
Normalizacin: determinacin de las relaciones naturales entre los datos.
Mecanismos de normalizacin: divisin de tablas en otras con menos atributos.
Importante: que no se pierdan datos (recuperacin de las tablas originales mediante uniones
naturales).
OBJETIVOS
Objetivo de la normalizacin: determinar las relaciones naturales entre los datos.
Se parte una tabla en dos o ms con menos columnas.
No hay prdida de informacin.
Informacin de la tabla original: operacin de unin de las tablas.
Satisfacer los requisitos de los usuarios.
Asegurar la integridad y consistencia de los datos (respecto a las restricciones).
Proporcionar una estructura de la informacin natural (consultas fciles de entender,
actualizaciones sencillas).
Satisfacer los requisitos de rendimiento.
CONTROL DE SISTEMAS EN FUNCIONAMIENTO
PLAN DE TRABAJO
Para efectuar el Control, el Especialista deber establecer su plan de trabajo, el cual debe
basarse en pasos y etapas a ejecutar en un plazo determinado y deber contemplar las etapas
siguientes:
a) Planeamiento del Trabajo a Realizar.
b) Investigacin Preliminar.
c) Evaluacin del Sistema.
d) Planeamiento y Diseo de las Pruebas de Control.
e) Ejecucin y Evaluacin de los Resultados de las Pruebas.
f) Confeccin del Informe de Auditoria del Sistema.
g) Revisin y Opinin del Informe.
h) Seguimiento de las Recomendaciones de Auditoria.
a. Planeamiento del trabajo a realizar
77
Consiste en la estrategia que conduzca al logro de los objetivos concretos y a las
expectativas de la Alta Direccin en el menor tiempo posible, para lo cual se elaborar el
plan de trabajo que permita medir el avance del trabajo en puntos claves y administrar
Eficientemente los recursos de tiempo y personal que sean asignados.
En el documento de planeacin se debe considerar lo siguiente:
Objetivo general del trabajo a realizar. En forma concreta se plantea los objetivos del
trabajo.
Alcances del trabajo a realizar. Se marcan los escenarios de riesgos que se van
examinados en el trabajo, pudiendo ser todos o solamente algunos.
Puntos de inters para este trabajo. Se registran los aspectos que requieren especial
atencin, de acuerdo con los antecedentes que se conozcan de la aplicacin o de otras
similares y de la informacin que se procesa con ella.
Auditores asignados. Un grupo se encarga de verificar que se cumplan con los
estndares de calidad y las normas y directivas que ha emitido la Institucin y el ente
rector en Informtica. Otro grupo se encarga de verificar el funcionamiento
de los sistemas.
Duracin estimada. Comprende la suma de los tiempos estimados asignados a cada una
de las etapas desde la b) hasta la h).
Fechas de iniciacin / terminacin. Para el desarrollo completo de las actividades del
proyecto.
Diagrama de actividades. Se coloca el tiempo estimado que va a durar cada una de las
actividades.
Entrevista de iniciacin de auditoria. Se realiza una reunin con el personal directivo de
Sistemas en la cual se plantean los objetivos y el enfoque de trabajo a realizar y se
Establecen los mecanismos de comunicacin a emplear en el desarrollo del trabajo.
Puede utilizar el formato de Plan de Trabajo indicado en el diagrama No. 5.
b. Investigacin Preliminar
Se determinan las caractersticas tcnicas y operativas de la aplicacin objeto del trabajo
y su importancia para los objetivos y metas de la Institucin.
Se debe conseguir la documentacin del sistema, para que en el trabajo de gabinete pueda
investigarse en forma preliminar el Sistema, con la siguiente informacin:
. Dependencias involucradas en el manejo de la aplicacin.
. Inventario de documentos fuentes.
. Inventario de informe que produce.
. Normas legales e institucionales que rigen el funcionamiento de la aplicacin.
. Interfases de la aplicacin con otros sistemas.
. Procesos manuales y automatizados que realiza la aplicacin.
. Perfil tcnico de la aplicacin.
. Personal clave para el manejo de la aplicacin en cada dependencia involucrada.
. Inventario de manuales de documentacin existente.
. Informacin sobre fraudes que se hayan cometido.
(Diagrama 5)
c. Evaluacin del Sistema
Se debe efectuar la revisin de los 10 aspectos indicados en el punto 3.2.
Al evaluar el sistema tambin debe considerarse los riesgos determinndose cuales son las
situaciones de riesgo y cuales sus causas.
Para evaluar los controles existentes se deben utilizar una de las dos alternativas, o ambas:
78
- Anlisis de Riesgo.
- Cuestionarios de Control.
Riesgos:
. Riesgos Accidentales
Ingreso accidental ya en apertura.
Falla imprevista que anula seguridad.
Error en sistema de comunicacin.
. Riesgos Pasivos
Captacin electromagntica de transmisin de microondas.
Intercepcin por alambres o cables coaxiales.
Acceso va procedimientos tcnicos avanzados.
. Amenazas Activas
Otorgamiento de clave de seguridad a usuario realmente no autorizado.
Ingresar al sistema cuando el usuario autorizado ha dejado su terminal abierto, sin
salir del sistema.
Ingreso por personas expertas.
d. Planeamiento y diseo de las pruebas de control
Se deben disear los juegos de datos de pruebas, los cuales deben asegurar que se investigue
totalmente la confiabilidad del sistema y los controles que poseen.
En esta se debe considerar :
Naturaleza y extensin de las pruebas de auditoria.
Plan de las pruebas a ejecutar.
Diseo de las pruebas de auditoria.
e. Ejecucin y Evaluacin de los resultados de las pruebas
Una vez, ejecutadas las pruebas se deben evaluar los resultados de las mismas y determinar
en que mdulos, el Sistema no es confiable y controles que no posee, que deban ser
imprescindibles.
f. Confeccin del Informe de Auditoria del Sistema
Producto de la revisin del Sistema se deber preparar el Informe de Auditoria y Control del
Sistema.
El informe preliminar debe ser opinado y recibirse los comentarios del caso para posterior
emitir el informe final
g. Revisin y Opinin del Informe
Tanto el usuario, como el de Informtica que desarroll administra la operacin del
Sistema, deben tener la oportunidad de revisar y opinar sobre el informe preliminar, de tal
forma de asegurar que se estn aceptando las observaciones indicadas.
h. Seguimiento de las Recomendaciones de Auditoria
79
Siendo el objetivo de este trabajo que se mejore el sistema y se superen sus deficiencias para
beneficio de la Institucin, se debe a travs de un Registro de Seguimiento, efectuar el
control de las acciones tomadas y las observaciones superadas.
ASPECTOS A REVISAR
Los aspectos que deben ser revisados son :
1- La documentacin del sistema.
2- El procedimiento del sistema.
3- La operatividad del sistema.
4- Controles del sistema.
5- Integridad de los datos.
6- Validez de los resultados.
7- Seguridad del sistema.
8- Sistema de Respaldo.
9- Auditabilidad del sistema.
10- Efectividad del sistema.
1 Documentacin del Sistema : Como paso inicial del proceso de control de una
aplicacin en funcionamiento, debe ser revisada la documentacin existente, la cual
permite adems de tomar conocimiento escrito del mismo, revisar si se ha
cumplido con la metodologa y estndares establecidos para el desarrollo de
sistemas, anotando las falencias para su evaluacin en los pasos siguientes, ya que
podran ser causa de problemas del sistema en operacin.
2 Procedimiento del Sistema: Todo sistema es un conjunto de procesos manuales y
automatizados, cuya operativizacin debe estar definida en un Procedimiento del
Sistema. Es imprescindible la existencia del procedimiento formal para efectos de
poder operativizar eficientemente y con eficacia el sistema.
3. Operatividad del Sistema: Una vez revisada la documentacin del Sistema, se debe
proceder a revisar su operatividad.
Se revisa todo el ciclo del sistema:
. Generacin del Dato.
. Ingreso del Dato al sistema.
. Transmisin del Dato.
. Procesamiento del Dato.
. Actualizacin de Archivos.
. Emisin de Reportes y Consultas.
Se debe verificar que el sistema efecte en cada etapa de su ciclo las
Especificaciones establecidas en el Anlisis y Diseo y se cumpla con el
Procedimiento aprobado para el sistema.
Debe analizarse y observar si realmente tiene los requisitos de operatividad que
Hagan al sistema eficiente y eficaz.
4 Controles del Sistema:
a.- Generacin del Dato
Debe verificarse las condiciones en que se genera el dato, ya sea este, externo o
interno a la Institucin, revisando que sea veraz, consistente y que refleje exactamente la
80
operacin realizada. Se podr tomar una muestra de datos para efectos de verificar
su exactitud.
El sistema debe contemplar como uno de sus controles efecta muestreos de calidad
de los datos con una frecuencia PRE-establecida.
b.- Ingreso del Dato
Debe revisarse que el ingreso o transcripcin de los datos se efecte cumpliendo con
controles bsicos, tal como se indica:
Si el sistema es descentralizado, que el dato sea ingresado por el mismo que lo
genera, para tener un mayor control sobre la calidad del ingreso del dato, ya que
dicha persona es la que mas conoce la informacin y es la responsable de la misma.
En el caso de que sean varias personas las que tengan que ingresar datos por que
la organizacin establece responsabilidades diferenciadas, debe constatarse que el
sistema registre de alguna forma el cdigo del ingresador del dato, para los
controles del caso.
Si el Sistema es centralizado en un centro de computo del usuario o de la
Direccin de Servicios Informticos, los datos deben ser recepcionados por lotes y
con hojas de control que indiquen el total de datos lotizado y totales de
control, que permitan validar la completitud de los datos al ingresar la informacin
por personas transcriptoras de datos.
Que los programas de ingreso de datos tengan consistencia fsica y lgica de datos.
La consistencia fsica debe ser sobre el registro de datos en si, donde debe existir
datos obligatorios y opcionales y rangos de valores de los datos.
La consistencia lgica debe ser contra los archivos maestros del sistema y contra
reglas de validacin cruzadas que deba cumplir la informacin.
Que los datos ingresados deban imprimirse como validacin del ingreso de datos,
de la forma ms conveniente dependiendo de la naturaleza del sistema.
Si el ingreso de datos es desde terminales y en ventanillas de atencin al pblico,
debe efectuarse una revisin visual previa y debe imprimirse el comprobante
producto del ingreso del conjunto de datos y al final del turno o da de trabajo,
debe emitirse un parte diario de comprobacin y cuadre.
Si el ingreso de datos es desde terminales, pero en forma de proceso en lotes, al
final de cada lote debe imprimirse un listado de revisin visual y de cuadre para
poder ser revisado con todos los documentos fuentes, si el volumen de
registros es manejable, o por tcnica de muestreo, cuando existe una cantidad
considerable de registros. Al final del da debe adicionalmente imprimirse un parte
diario de los lotes ingresados.
c.- La Transmisin del Dato
En un sistema en lnea la transmisin del dato desde el terminal a la Base de Datos
Central es manejada por el Software de Comunicaciones, Software de Red y Software de
Base de Datos, debiendo en este caso:
El Sistema aplicativo debe tener rutinas programadas que controlen la optima
transaccin procesada en caso de cadas del sistema y un programa alternativo de
captura descentralizada del dato en el terminal, si su configuracin de equipo lo
permite y posterior transmisin y registro en la base de datos central.
En un sistema de proceso en lotes, la transmisin del dato puede ser va disquetes
o mdems. En este caso debe verificarse:
81
1.- Que los disquetes sean probados previamente antes de su remisin y que
Quede un medio de respaldo en el centro de ingreso de datos.
Asimismo se les coloque en modo protegido contra escritura y este
Claramente identificado en su etiqueta el nmero o nmeros de lote y la
Cantidad de registros que contiene.
2.- Que Para el caso de transmisin de datos va MODEM, el archivo a
Transmitir debe poseer un registro de encabezado de control que
Indique el nmero o nmeros de lote y la cantidad de registros que
Contiene, debiendo el aplicativo que leer dicha informacin efectuar la
Verificacin de la informacin del registro encabezado con los registros
Ledos.
d.- El Procesamiento del Dato
Comprende los procesos manuales y automatizados que se realizan para producir los
resultados previstos en las diferentes funciones que satisface el sistema.
Se da especial nfasis a los controles incluidos en el software de las aplicaciones
para lograr exactitud y confiabilidad del proceso y de los resultados que produce.
Debe verificarse que el sistema tenga registros y rutinas de control que permitan
que ante una cada del sistema pueda reiniciarse el procesamiento desde la ltima
transaccin procesada, ya sea el sistema en lnea o en lotes.
Para asegurar la integridad del procesamiento de los datos, en los sistemas en
lnea debe contarse con las seguridades fsicas tales como UPS y equipos de
respaldo de energa elctrica de tal forma que evite el truncamiento del
procesamiento y desincronizacin de su operacin.
En los casos de los sistemas de procesamiento en lotes debe existir
procedimientos computarizados para que los programas se ejecuten en la
secuencia prevista y de acuerdo a las bifurcaciones establecidas.
Deben establecerse condiciones de error que no puedan ser consistenciados fsica
o lgicamente en la etapa de ingreso de datos, que no deben paralizar el
procesamiento, sino mas bien reportar las ocurrencias para hacan inmediata en los
sistemas en lineal o acciones posteriores en los sistemas de procesos de lotes.
e.- Actualizacin de Archivos
Debe verificarse que existan registros y rutinas de control que con cierta frecuencia de
tiempo o de periodo, determine si existe coherencia entre la cantidad de registros y
valores de los totales de los archivos. Por ejemplo, si se ha producido una cantidad de
nuevas entidades debe reflejarse esto en un incremento del nmero de registros del
archivo principal. Al final del da debera producirse un reporte de integridad de archivos.
f.- Emisin de Reportes y Consultas.
Deben existir rutinas de control y procedimientos que permitan al final de un periodo
cuadrar cifras entre reportes y consultas, que aseguren la integridad de los resultados
emitidos. Cada sistema, segn su naturaleza, tiene una lgica de cuadre entre reportes, la
cual debe estar claramente definida en el procedimiento.
82
5.- Integridad De Datos
Adicionalmente a los controles anteriormente mencionados, para fines de asegurar la
integridad de los datos en cuanto a su completitud y confiabilidad, el sistema debe poseer
programas que rastreen los archivos y determinen incongruencias y falta de cuadre de la
informacin.
Debe asimismo, en forma externa, establecerse procedimientos de comparacin de la
informacin producida por el sistema contra otras informaciones disponibles, para efectos
de determinar la confiabilidad de la informacin. Dentro de este aspecto estan las
circularizaciones de comprobacin de la informacin del computador con las reas o
personas involucradas.
6.- Validez de los Resultados
El aspecto mas importante de todo el sistema son los resultados, por lo que al revisar el
sistema debe verificarse que los resultados cumplan con las especificaciones del diseo
del sistema, lo cual debe comprobarse mediante juegos de datos de pruebas
especialmente preparados, y que prueben todas las posibilidades de las entidades, datos
y situaciones.
7 Seguridad del Sistema
Debe comprobarse que el Sistema cuente con los siguientes tipos de seguridad:
- Seguridad en el acceso a la informacin.
- Seguridad del sistema.
- Seguridades Fsicas.
a. Seguridad de acceso a la informacin: Debe existir a nivel Institucin, un esquema
global de seguridad de acceso a la informacin, donde deben existir para cada rea y
para cada funcionario Perfiles de Acceso a los Sistemas, a las funciones dentro de cada
sistema y a la Base de Datos, constituyendo una matriz de accesos usuario versus
sistemas, funciones donde el nivel de usuario es el cdigo de cada funcionario.
El sistema debe tener claves de seguridad discriminadas donde cada usuario tiene
un acceso basado en las siguientes opciones:
. Ingreso de datos.
. Procesamiento de los datos.
. Consultas por niveles.
. Emisin de Reportes.
Asimismo el sistema debe mantener un log de uso del sistema por sesin de
trabajo.
Los niveles de acceso a la informacin pueden ser :
. Nivel de consulta de informacin no restringida.
. Nivel de mantenimiento de la informacin no restringida.
. Nivel de consulta incluyendo la informacin restringida.
. Nivel de mantenimiento de la informacin restringida.
b. Seguridad del sistema:
Acceso y Seguridad a los Programas
83
El rea de Servicio informatico debe ser la nica que debe tener acceso sobre los
programas fuentes, que deben estar archivados en bibliotecas especiales, bajo
control de un Administrador de Sistemas.
Asimismo, los programas objetos tambin deben tener nombres solo conocidos por
el administrador del sistema, quien le coloca los nombres claves una vez recibidos
los programas fuentes y estos son compilados.
En la medida de lo posible, dependiendo de la envergadura del Servicio
Informatico y de la naturaleza de los sistemas, se deberla tratar de utilizar un
Software de Resguardo Automtico de Redes.
Cambios a los Programas de Aplicacin :
Debe existir una solicitud con la autorizacin respectiva para proceder a realizar
los cambios a los programas.
El control sobre los programas objetos debe tenerlo el Administrador de Sistemas,
y cualquier cambio a los programas deben ser probados y solo reemplazados,
despus de demostrarse la confiabilidad del mismo.
Cuando se cambien los programas fuentes deben documentarse en el programa con
comentarios y registrar las modificaciones en el Registro de Control de Cambios.
Asimismo el sistema debe contar con los elementos necesarios para poder darle
mantenimiento, por lo que debe disponer de :
. Manuales de Anlisis y Diseo.
. Manual de Programacin.
. Programas Fuentes.
. Originales de Software de Base.
. Personal de programacin que conozca el sistema.
c. Seguridades Fsicas
Los ambientes donde se procesan los sistemas deben contar con un suministro de
energa elctrica de calidad, con pozo de lnea a tierra, estabilizadores, UPS,
equipos de reemplazo de energa elctrica, y extintores contra incendio.
Debe tambin, en la medida de lo posible, disponer el acceso restringido donde se
procesa la informacin, sea al ambiente de los terminalista o al centro de computo.
Seguridad ante contaminacin de Virus
Ante la creciente proliferacin de virus, debe existir instalado en el equipo central y
equipos descentralizados sistemas antivirus, para prevenir la contaminacin y
afeccin de virus.
Deben, establecerse disposiciones especificas que prohban al personal de sistemas o
usuarios, utilicen diskettes externos a la institucin, para evitar la introduccin de
virus. En caso de recibir diskettes externos de trabajo oficial, estos de todas
maneras, deben ser desinfectados antes de ser ledos por los equipos de computo.
Cuando sea factible, tal es el caso de sistemas que requieren solo terminales, es
preferible que estos no tengan unidad de diskette para evitar la contaminacin o
infeccin.
84
En lo posible tambin deber tratarse de utilizar Sistemas Operativos, que eviten la
contaminacin por virus.
8 Sistema de Respaldo
Previendo posibles problemas con el hardware o el software es necesario que el equipo
central cuente con caractersticas tcnicas de respaldo tales como :
- Sistema tolerante a fallas.
- tape-backup.
- Equipo de capacidad similar de respaldo.
Asimismo, debe contarse con elementos para ser cargados en el otro equipo de respaldo:
- Instalador del Sistema o Backup del Sistema.
- Backup de la Base de Datos por lo menos del turno anterior.
En muchas oportunidades es conveniente, para reas criticas de atencin al publico,
disponer de listados diarios de informacin resumen para poder seguir operando por lo
menos manualmente en casos extremos.
Los backups de la Base de Datos deben efectuarse por cada cambio de turno de trabajo o
como mnimo al final del da, debiendo inclusive el sistema haber sido programado
para que exija efectuar el backup respectivo.
Una copia de respaldo de los programas fuentes y objetos de las aplicaciones, de la
plataforma de software y de las bases de datos completas de la Institucin (hasta de
tres periodos anteriores) y debe guardarse una copia en el local ad-hoc de la
Institucin e inclusive una copia adicional en otro local para afrontar siniestros o
desastres que pudieran ocurrir.
9 Auditibilidad del Sistema
Todo Sistema debe tener la capacidad de poder ser auditado, para lo cual debe reunir una
serie de caractersticas que lo permitan :
. Contar con la documentacin completa.
. Disponer de una biblioteca de pruebas.
. Disponer de Log del Sistema.
. Contar con reportes de auditoria del sistema.
. Contar con reporteadores de base de datos para producir reportes de cruce de
informacin.
Por lo tanto debe verificarse que el sistema disponga de los elementos antes indicados
para poder facilitar su auditoria y en caso de no contar con ellos exigir se disponga de
ellos.
10 Efectividad del Sistema
Uno de los aspectos mas importante del sistema, por ser su razn de ser, es que sea
efectivo en conseguir los objetivos y beneficios esperados, por lo que se debe :
Efectuar visitas a los usuarios e indagar sobre su opinin respecto a :
- su satisfaccin de los resultados del sistema.
- el grado de confiabilidad que le dan al sistema.
Evaluar en forma independiente en que magnitud los beneficios han sido
conseguidos y cuales son las razones o limitaciones que impiden que estos se logren.
Determinar si los costos de operacin del sistema se encuentran dentro de lo planificado
y si son actualmente razonables para los beneficios tangible e intangibles obtenidos.
Se deben evaluar aspectos tales como :
. Que mejoras se han obtenido en la reduccin de costos de operacin.
. Que mejoras se han obtenido en las operaciones de la Institucin.
85
. Cuanto ha mejorado la precisin de la informacin obtenida.
. Que mejoras se han obtenido en disponer de la informacin completa requerida.
. Que mejoras se han obtenido respecto a incluir controles en las operaciones de la
Institucin.
. Que incremento se han obtenido en el nmero de operaciones atendidas,
mejorando el tiempo de atencin a los usuarios.
ACTIVIDAD APLICATIVA
BASE DE DATOS.
Objetivo
Conocer las base de datos usadas para auditoria y su importancia en la planeacion.
Orientaciones
En grupos se elabora y practica los usos de las base de datos.
AUTOEVALUACIN
1. Manipular y practicar los tipos de bases de datos que se pueden utilizar en la
auditoria.(Laboratorio).
REFERENCIAS DOCUMENTALES
www.lawebdelprogrmador.com
TEMA
ASPECTOS A CONTROLAR DE LOS SISTEMAS
EVALUACIONES Y CONTROLES
A.- AUDITORIA DE SISTEMAS
La Auditoria de Sistemas es el conjunto de tcnicas que permiten detectar deficiencias en las
organizaciones de informtica y en los sistemas que se desarrollan u operan en ellas,
incluyendo los servicios externos de computacin, que permitan efectuar acciones
preventivas y correctivas para eliminar las fallas y carencias que se detecten.
Se verifica la existencia y aplicacin de todas las normas y procedimientos requeridos para
minimizar las posibles causas de riesgos tanto en las instalaciones y equipos, como en los
programas computacionales y los datos, en todo el mbito del Sistema: usuarios,
instalaciones, equipos.
Las Instituciones efectan Auditorias de Sistemas, con la finalidad de asegurar la
eficiencia de las organizaciones de informtica, as como la confiabilidad y seguridad de
sus sistemas.
B.- ASPECTOS A CONTROLAR
Para lograr desarrollar e implantar un Sistema con Calidad, dentro de los plazos y costos
previstos, cuyos beneficios sean los planificados, es necesario controlar que:
86
El Proyecto de Desarrollo de Sistemas este enmarcado dentro del Plan General de
Sistemas.
El Cronograma del Proyecto sea realista y el Sistema este operativo en forma oportuna,
de acuerdo a las necesidades de la Institucin.
Se aplique la Metodologa de Desarrollo de Sistemas.
Exista un control permanente de la consistencia y confiabilidad de los Sistemas
Informticos.
La Calidad del Sistema producido, permita una ptima operatividad del mismo.
La tecnologa utilizada sea la ms adecuada a los fines del sistema y permita una vida til
satisfactoria para la inversin realizada.
Los Costos, tanto del desarrollo como de su operacin y mantenimiento, sean los
planificados y exista un retorno de la inversin.
Se hayan logrado los beneficios esperados.
1.1 El Proyecto de Desarrollo de Sistemas este enmarcado dentro del Plan General de
Sistemas.
Para asegurar que el Sistema a desarrollar o desarrollado logre estar integrado y
tenga todas las interfases con los dems sistemas, es necesario se compruebe que es
uno de los componentes del Sistema Global de Informacin de la Institucin y este
interrelacionado con otros sistemas, a travs del intercambio de informacin o acceso a
informacin comn.
1.2 El Cronograma del Proyecto permita o haya permitido que el Sistema este
Operativo oportunamente.
Debe verificarse que exista un Cronograma del Desarrollo del Sistema, usando el mtodo
de Gantt como mnimo, siendo ideal utilizar adicionalmente el PERT-CPM.
Se debe evaluar, de acuerdo a la estacionalidad del ciclo operativo del sistema, si el inicio de
la implantacin y puesta en marcha es acorde con las necesidades de la Institucin,
debiendo empezar, de ser factible, simultneamente al comenzar el ciclo administrativo, de
tal forma que se evite la puesta al da de informacin
1.3 Se aplique la Metodologa de Desarrollo de Sistemas.
La forma mas adecuada para asegurar que el Sistema se desarrolle de acuerdo a
una metodologa, consiste en verificar dos aspectos:
Que cuente con toda la documentacin del Anlisis, Diseo e Implantacin del Sistema.
Que se hayan aplicado correctamente las tcnicas de anlisis y diseo de Sistemas.
a.- Documentacin de Sistemas:
Si el control es realizado preventivamente, la documentacin deber ser revisada al
finalizar cada sub.-etapa, siendo recomendable que se revise internamente en la
Direccin de Informtica, previa a la entrega del mismo al Comit del Sistema.
Deber llevarse un Registro de la Documentacin generada, para efectos de seguimiento
permanente y control posterior.
Debe contarse con la firma de conformidad del usuario de la documentacin que este deba
aprobar.
Si el control es realizado posteriormente, deber verificarse la existencia de toda la
documentacin y la aprobacin del usuario.
87
Con la documentacin de sistemas generada, se debe verificar que todas las etapas y sub.-
etapas de la Metodologa de Anlisis. Diseo, Programacin e Implantacin de Sistemas
se hayan ejecutado, con resultados satisfactorios.
b.- Aplicacin de Tcnicas:
Se debe verificar que se hayan utilizado las tcnicas adecuadas para cada etapa y sub.-
etapas del desarrollo e implantacin del Sistema.
Para cada etapa se aplican las siguientes tcnicas:
1) Anlisis de Sistemas :
- Entrevistas.
- Diagrama de Flujo de Datos (D.F.D.).
- Modelizacin de Datos.
- Diagrama de Estructura de Datos (D.E.D.).
- Historia de Vida de la Entidad (H.E.V.).
- Anlisis de Costo-Beneficio (A.C.B.).
- Prototipo.
2) Diseo de Sistemas :
- Diseo Estructurado.
- Diagrama de Estructura de Cuadros.
- Optimizacin del Diseo Fsico.
- Diseo de Pruebas.
- Prototipo.
3) Programacin :
- Programacin Estructurada.
- Pruebas Unitarias.
- Pruebas de Integracin.
- Prueba del Sistema.
4) Implantacin de Sistemas :
- Capacitacin.
- Creacin de archivos iniciales.
- Proceso en paralelo.
1.4 Exista un control permanente de la consistencia y confiabilidad de
Los Sistemas Informticos.
Deben existir los controles especficos de:
- Deteccin de errores.
- Prevencin de acceso no autorizado y mal uso de la informacin y del equipo.
- Controles ambientales y seguridad.
1.5 La Calidad del Sistema producido sea tal que permita una ptima
Operatividad del mismo.
Este aspecto, adems de ser evaluado por un especialista en Sistemas, debe
tambin ser verificado con el usuario, ya que el puede dar su apreciacin del sistema, en
88
forma real y responsable, porque se encarga de operarlo y administrarlo. La informacin
garantizara que:
- Cumpla con los requerimientos del usuario, establecido en la fase de Anlisis y
Diseo del Sistema.
- La secuencia de trabajo u operacin del sistema, sea el mismo que el de proceso real.
- El sistema sea totalmente operado con:
. Gula al usuario.
. Ayudas permanentes en lnea.
- El tiempo de respuesta sea adecuado para el volumen real de datos.
- El consumo de recursos de computo sea razonable y este dentro de lo previsto.
- Responda a todas las bifurcaciones posibles en la operacin del sistema.
- La interfase-usuario sea adecuada y de fcil manejo y comprensin
- Se disponga de todas las facilidades utilitarias de reorganizacin de archivos y
copias de respaldo.
- Se disponga de procedimientos de respaldo ante cadas del sistema.
1.6 La tecnologa utilizada sea la mas adecuada a los fines del sistema, y permita
Una vida til satisfactoria para la inversin realizada.
Se debe verificar que los siguientes elementos sean los mas adecuados:
- Equipos.
- Sistema de Red.
- Sistema de Base de Datos.
- Sistema de Comunicaciones.
- Lenguaje de Programacin.
Es conveniente indicar que en algunas organizaciones se define en forma global toda la
plataforma de Hardware y Software a utilizar como Standard para la Institucin, quedando
en este caso tratar de aprovecharla al mximo.
Sin embargo, existen organizaciones en la que se dan soluciones departamentalizadas con
interfases entre ellas, manteniendo cierta independencia entre si. A continuacin
mencionamos algunas consideraciones que se deben tener en cuenta para evaluar si el
equipamiento y software es adecuado para el sistema.
a.- Equipos:
Se debe utilizar los equipos adecuados, de acuerdo al tipo de sistema desarrollado. Si la
aplicacin es monousuaria, se requerir un equipo que tenga independencia de operacin,
debiendo contar individualmente con la potencia del caso para soportar todo el
procesamiento.
En caso de que el sistema sea multiusuario, deben utilizarse equipos terminales
conectados a un servidor, debiendo estar balanceados adecuadamente los recursos entre
ambos, de tal forma de contar con el tiempo de respuesta requerido.
b.- Sistema de Red:
Dependiendo del tipo de Sistema, se deber utilizar el tipo de plataforma de Red que
mas convenga. Si el sistema es cerrado y netamente operativo con un criterio de
89
procesamiento centralizado, pueden utilizarse los Sistemas orientados a la centralizacin y si
el sistema es de filosofa abierta y descentralizada, se deben utilizar redes de este tipo.
c.- Sistema de Base de Datos:
En funcin a las necesidades del sistema se debe utilizar la plataforma necesaria de
Base de Datos. Para aplicaciones sencillas e independientes, se utiliza el manejador de
base de datos del lenguaje. Sin embargo, para aplicaciones corporativas, se utilizan
manejadores de base de datos relacionales de nivel, as como para aplicaciones de tipo
cliente-servidor.
d.- Sistema de Comunicaciones:
Este es un factor importante a evaluar en funcin a la naturaleza del sistema. Muchas
veces el sistema debe instalarse en una tipologa de comunicaciones PRE-establecida y hay
que tratar de aprovecharla al mximo. Sin embargo, si el diseo de las comunicaciones
pudiera estar correlacionado con el sistema, permitirla un mejor desempeo de las
mismas.
Se debe evaluar si el lenguaje a utilizar o ya utilizado es el mas conveniente, dependiendo
de las necesidades de eficiencia y facilidad de desarrollo y explotacin, por lo que deben
evaluarse los siguientes factores :
- Tiempos de procesamiento y respuesta.
- Facilidades en tiempos de programacin y mantenimiento de sistemas.
- Rapidez en el desarrollo de sistemas a travs de generadores de programas.
- Ambientes grficos.
1.7 Que los Costos, tanto del desarrollo as como de su operacin y
Mantenimiento, sean los planificados y que exista un retorno de la inversin.
El proyecto para ser aprobado debe contar con un presupuesto general, el cual debe
ser detallado en la fase de Anlisis de Sistemas. Los componentes de costos deben ser:
. Costos de Personal de Sistemas y del Usuario.
. Costo de Supervisin.
. Costos de Equipamiento.
. Costos de Originales de Software de Base.
. Costos de Instalaciones y Servicios.
. Costo de Relevamiento de Datos.
. Costo de Capacitacin.
. Costo de Creacin de Archivos Maestros.
. Costo de Procesamiento en Paralelo.
. Costo de Produccin.
. Costo de Mantenimiento.
El control de costos debe efectuarse por etapas:
. Anlisis y Diseo del sistema.
. Programacin del sistema.
. Implantacin del sistema.
. Operacin del sistema.
1.8 Se hayan logrado los beneficios esperados.
90
Una vez puesto en operacin el sistema, se debe esperar que transcurran por lo menos
dos periodos de procesamiento para evaluar si los beneficios del sistema se han logrado,
tanto en las ventajas esperadas por su implantacin, como los beneficios econmicos
que estaban planificados.
2. INSTRUMENTOS DE CONTROL
Los Elementos e Instrumentos de Control a utilizar en forma individual o en forma
conjunta son:
- Documentacin de las sub.-etapas del Desarrollo e Implantacin de Sistemas.
- Reuniones de Revisin Tcnica.
- Benchmark o pruebas del sistema.
- Formularios de Control.
2.1 Documentacin de las sub.-etapas del Desarrollo e Implantacin
De Sistemas
La primera informacin que debe servir de base para efectuar un anlisis para el control del
sistema lo constituye la documentacin generada en las diferentes fases de desarrollo e
implantacin del sistema.
La documentacin debe leerse detenidamente con la finalidad de:
. Comprender la concepcin del sistema.
. Planificar el contenido de las reuniones de revisin tcnica.
. Determinar los vacos o carencias de informacin.
. Elaborar los cuestionarios de consultas.
. Efectuar el control del Sistema, con un conocimiento slido del mismo.
El ttcnico que efecte el control del sistema debe tomar conocimiento completo de la
documentacin escrita existente, de tal forma de reducir el tiempo del proceso de auditoria
del sistema y brindar resultados en corto plazo.
2.2 Reuniones de Revisin Tcnica
Un aspecto fundamental para efectuar un buen control del sistema son las Entrevistas
de Revisin Tcnica, ya que la documentacin en la mayora de los casos es muy escasa
y deficiente y generalmente cubre solo una parte de la informacin y las entrevistas
permiten complementar la informacin tcnica y recabar opiniones sobre
deficiencias del sistema.
Las reuniones de Revisin Tcnica, debe estar debidamente planificadas y contar con
formularios de los temas y consultas a tratar, para evitar olvidar cualquier aspecto
fundamental para el anlisis y la investigacin.
Las reuniones de Revisin Tcnica deben efectuarse con todas las personas que participaron
en el desarrollo e implantacin del sistema, as como los que operan y utilizan el sistema.
Deben efectuarse reuniones de Revisin Tcnica con cada participante en forma separada
para lograr informacin y opiniones libres e independientes de cada uno de ellos,
despus de las reuniones individuales puede efectuarse una reunin global para determinar
las conclusiones de consenso.
Las Entrevistas de Revisin Tcnica deben efectuarse con la o las siguientes personas que
llevaron o llevan a cabo las siguientes funciones:
. El Analista de Sistemas.
91
. El Programador.
. El Implementador.
. El / los Operadores del Sistema.
. Los Usuarios Operativos que utilizan el Sistema.
. Los Usuarios que utilizan la informacin para la toma de decisiones.
En todo caso deben consultarse los factores que limitaron el desarrollo, implantacin,
operacin y uso del sistema, as como las deficiencias, aspectos de confiabilidad y
seguridad, en funcin de cada persona.
2.3 BENCHMARK O PRUEBAS DEL SISTEMA
Instrumento vital para evaluar la confiabilidad del Sistema es lo que se denomina Benchmark
o Pruebas del Sistema. No basta con evaluar el sistema tomando conocimiento de su
documentacin y sosteniendo reuniones de revisin tcnica con el personal involucrado, lo
fundamental que demuestra la buena funcionalidad y confiabilidad del sistema es efectuar
procesos de prueba simulando situaciones extremas de tal forma de determinar si el sistema
responde a lo especificado y es confiable produciendo resultados correctos en los tiempos
esperados Es por eso que se deben realizar Benchmark o procesos de prueba especiales
tales como:
. Prueba de carga mxima.
. Prueba de almacenamiento.
. Prueba de tiempo de ejecucin.
. Prueba de recuperacin.
2.4 FORMULARIOS DE CONTROL
Para efectos de registrar y controlar preventivamente el desarrollo e implantacin del
Sistema o evaluarlo posteriormente, es necesario utilizar formularios denominados de
control, cuya relacin se indica a continuacin:
. Control de Cronograma del Proyecto.
. Control de Documentacin de Sistemas.
. Control Tcnico del Anlisis del Sistema.
. Control Tcnico del Diseo del Sistema.
. Benchmark o Prueba real del Sistema.
. Control de la Implantacin.
a.- Control de Cronograma del Proyecto : Para efectos de controlar o evaluar el
cumplimiento de los plazos y la duracin de las etapas del sistema y por razones de sencillez
se recomienda utilizar el diagrama de GANTT, debiendo en el mismo cuadro registrar lo
planeado y lo ejecutado con dos smbolos diferentes.
Diagrama No 1
CONTROL DE CONOGRAMA DE PROYECTO
CONTROL DEL DESARROLLO E IMPLANTACION DE SISTEMA :
JEFE DE PROYECTO:
PERIODO : SEMANAS / MESES
ETAPAS/SUB-ETAPAS
1. PROYECTO
1.1 Definicin del Proyecto
92
1.2 Cronograma del Proyecto
2. ANALISIS DE SISTEMA
2.1 Anlisis requisitos Sistema
2.2 Especificacin Funcional
2.3 Interfase del Sistema
3. DISEO DEL SISTEMA
3.1 Diseo Fsico del Sistema
3.2 Especifica. Complementaria
4. PROGRAMACION
4.1 Programacin del Sistema
4.2 Pruebas del Sistema
5. IMPLANTACION DE SISTEMAS
5.1 Capacitacin
5.2 Benchmark del Sistema
5.3 Creacin de Archivos
5.4 Proceso en Paralelo
6. PRODUCCION
7. EVALUACION
b.- Control de Documentacin de Sistemas: Este formulario permite verificar la
aplicacin de la metodologa de desarrollo e implantacin de sistemas, mediante el registro
de la documentacin que se debe haber generado para cada etapa y sub.-etapa. Debe contarse
con la firma de conformidad del usuario de la documentacin que este deba aprobar.
Utilizar el diagrama No 2.
c.- Control Tcnico del Anlisis: Para verificar que el Control del Anlisis se haya
efectuado adecuadamente, se debe utilizar el Formulario de Registro de Tcnicas Utilizadas y
se deben realizar estudios de gabinete de la documentacin generada, as como efectuar
reuniones de revisin tcnica, conjuntamente con el personal de analistas del proyecto. En
caso de verificarse la falta de aplicacin de las tcnicas o
Errores en el trabajo de anlisis, estas se registran en un acta, para que sean superadas.
Es mejor efectuar el control en forma permanente, apenas se finaliza una sub.-etapa y antes
de proceder a la prxima, pues hacerlo en forma posterior, es ms costoso y requiere de
mayor tiempo, teniendo mayores implicancias.
Las tcnicas que se deben haber utilizado son:
- Entrevistas.
- Diagrama de Flujo de Datos (D.F.D).
- Modelizacin de Datos.
- Diagrama de Estructura de Datos (D.E.D).
- Historia de Vida de la Entidad (H.E.V).
- Anlisis de Costo-Beneficio (A.C.B).
- Prototipo.
Se utiliza el diagrama No 3 para facilitar el registro de las tcnicas que se han utilizado para
cada etapa o sub.-etapa, marcndolas con asterisco (*)
93
d.- Control Tcnico del Diseo: Para verificar que el Control Tcnico del Diseo se ha
efectuado adecuadamente, se debe utilizar el Formulario de Registro de
Tcnicas de Diseo y se deben realizar estudios de gabinete de la documentacin generada,
as como efectuar reuniones de revisin tcnica, conjuntamente con el personal de analistas
del proyecto.
En caso de verificarse la falta de aplicacin de las tcnicas o errores en el trabajo de diseo,
estas se registran en un acta, para que sean superadas.
En este caso tambin es mejor efectuar el control en forma permanente, apenas se finaliza
una sub.-etapa y antes de proceder a la prxima, pues hacerlo en forma posterior es mas
costoso y requiere de mayor tiempo, teniendo mayores implicancias.
AUTOEVALUACIN
1. Elaborar y disear programas para las reas de auditoria de sistemas.
Lo Importante es Proteger la Informacin
Otros Problemas Comunes
La Autentificacin: Prevencin de suplantacin.
Garanta de la firma: Niveles de Autorizacin
Controles de Acceso. Password, llaves. Otros.
Verificacin de la propiedad de la Informacin.
Deteccin de fraudes.
Procedencia de la informacin.
Disponibilidad de la Informacin. Personal de confianza.
Proteccin contra terceros. No Ingresar, etc.
Proteccin contra negligencias, descuidos, ignorancia, etc.
Riesgos de perdida, Virus, Incendios, otros.
94
FUENTES DE INFORMACIN
1. Turner, L. y Weickgenannt, A. (2008). Accounting Information Systems:
Controls and Processes. Illinois: ISACA
2. ISACA (2008). The COBIT 4.1 [en lnea]. Illinois: Autor. Recuperado el 25
de noviembre de 2009:
http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/Tagged
Page/TaggedPageDisplay.cfm&TPLID=55&ContentID=7981
3. Westerman G. y Hunter R. (2007). IT Risks: Turning Business Threats Into
Competitive Advantage. Illinois: ISACA
ELECTRNICAS:
Auditoria de sistemas.
http://www.youtube.com/watch?v=vqu5vR7_Od0&feature=related
Instituto Nacional de Estadstica e Informtica (1996) Auditoria de
Sistemas [en lnea]. Lima: Autor. Recuperado el 25 de noviembre de
2009, de http://www.ongei.gob.pe/publica/metodologias/Lib5002/n00.htm
DELITO INFORMATICO
Los delitos cometidos utilizando la computadora han crecido en tamao, forma y
variedad.
En al actualidad los delitos cometidos va informtica son detectados en 60%.
Fraudes - Falsificaciones - Ventas de Informacin, etc.
Caso de Montesinos Prima de Del Castillo.
Venta de Informacin confidencial CIA - KGB.
Hacker que desvan fondos de los Bancos.
Venta de formulas secretas de productos.
Fraude Bancarios.
Beneficio Personal.
Odio a la organizacin.
Problemas Financieros.
Sndrome de Robin Hood.
Fcil modo de desfalco.
Por deudas.
Vicios de juego.
Equivocacin de ego.
95
Los 10 Mandamientos del password (2009) [video] [en lnea]. Recuperado
el 25 de noviembre de 2009, de
http://www.youtube.com/watch?v=99kR9T96pDI&feature=related (4:36
min.)
Delitos Informticos Programa Acceso Mximo: entrevista a Raymond
Orta experto en delitos informticos. (2008?) [video] [en lnea].
Recuperado el 25 de noviembre de 2009, de
http://www.youtube.com/watch?v=vqu5vR7_Od0&feature=related (7:12
min.)
Seguridad Informtica: Video sobre la seguridad informtica Upiicsa
(2008?) [video] [en lnea]. Recuperado el 25 de noviembre de 2009, de
http://www.youtube.com/watch?v=6ihTC8up2eM (6:01 min.)