AUDITORIA EN INFORMATICA Segunda edicién JOSE ANTONIO ECHENIQUE GARCIA Universidad Nacional Autonoma de México Universidad Auténoma Metropolitana McGraw-Hill MEXICO - BUENOS AIRES - CARACAS - GUATEMALA - LISBOA - MADRID NUEVA YORK - SAN JUAN + SANTAFE DE BOGOTA - SANTIAGO - SAO PAULO AUCKLAND + LONDRES - MILAN + MONTREAL + NUEVA DELHI - SAN FRANCISCO SINGAPUR - ST. LOUIS « SIDNEY - TORONTOConTENIDO AGRADECIMIENTOS sess INTRODUCCION CAPITULO 1: Concepto de auditoria en informatica y diversos tipos de auditorias Concepto de auditoria y concepto de informatica ... ess Diversos tipos de auditoria y su relacién con la auditoria en informatica Auditoria interna/extemna y auditoria contable/ financiera ... Auditoria administrativa/operacional.. Auditoria con informatica so-so Definicién de auditoria en informatica. Concepto de auditoria en informatica Campo de la auditoria en informatica Auditoria de programas... CAPITULO 2; Planeacién de la auditoria en informatica .... Fases de la auditoria..... Planeacion de la auditoria en informatica ... Revisién preliminar Revisién detallada Examen y evaluacién de la informacion Pruebas de consentimiento .... Pruebas de controles del usuario Pruebas sustantivas . Evaluacién de los sistemas de acuerdo al tiesgo Investigacién preliminar 1: Personal participante...sermesnrsenn a 30 seoritaieteania ua BO: 35 CAPITULO 3: Auditoria de la funcién de informatica Recopilacién de la informacicn organizacional ... Principales planes que se requieren dentro de la organizacién de informatica ue. Evaluacién de la estruetura orgénica Estructura orgdinica sera. Funciones .. Objetivos .. Andlisis de organizaciones.. Evaluacién de los recursos humanos Entrevistas con el personal de informitica . Situacién presupuestal y financieravi CONTENIDO Presupuestos . Recursos financieros... Recursos materiales CAPITULO 4: Evaluacién de los sistemas y disefio estructurado ..-.. Evaluacién del diseito légico del sistema Programas de desarrollo... Bases dle datos El administrador de bases de datos ... Comunicacién 102 Informes... -- 103 Anilisis de informe: 113 Ruido, redundancia, entropia , 113 Evaluacién del desarrollo del sistema ... 15 Sistemas distribuidos, Internet, comunicacién entre oficinas .. 116 Control de proyectos . 17 Control de diseiio de sistemas y programacin 119 Instructivos de operaciOn so... 132 Forma de implantacién . sew 133 Equipo y facilidades de programacién 1 133 Entrevistas a usuarios 133, Entrevistas 134 Cuestionario 134 Derechos de autor y secretos industrials. 138 Internet .. 142 Proteccién de los dere 144 Secretos industriales... 145 CAPITULO 5: Evaluacién del proceso de datos y de los equipos de cémputo... 155 Controles soso 156 Control de datos fuente y manejo de ciftas de contwol. 161 Control de operaci6n ws. 164 Control de salida .170 Control de asignacidn de trabajo... a ATA Control de medios de almacenamiento mas 1173 Control de mantenimiento soon 176 Orden en el centro de cémputo .. 2 182 Evaluacién de la configuracién del sistema de computo.. 183 Productividad .. 2 185 Puntos a evaluar en los equipos 186 CAP{TULO 6: Evaluacién de la seguridad ... noni taL Seguridad logica y confidencialidad ..-...uco 2 194Seguridad Iigica Riesgos y controles a audita: Encriptamiento.... Seguridad en el personal Seguridad Fisica Ubicacién y construccidn del centro de cémputo Piso elevado o cémara plen Aire acondicionado .. Instalacicn eléctrica y suministro de energia Seguridad contra desastres provocados por agui Seguridad de autorizacién de accesos Deteccién de humo y fuego, extintores Temperatura y humedad Seguridad en contra de virus Protecciones contra virus y elementos a auditar. Seguros .... Condiciones generales del seguro de equipo electrénico . Seguridad en la utilizacin del equipo ..o.seneon Seguridad al restaurar el equipo Plan de contingencia y procedimientos de respaldo para casos de desastre ... é Plan de contingencias Seleccin de a estrategia . 205 216 218 219 220 221 221 224 225 226 237 . 240 vo 241 247 249 251 262 CAPfTULO 7: Interpretacién de la informacién ira la interpretacidn de la informaciéi 2 270 it 270 271 272 272 276 277 Metodologia para obtener el grado de madiurez del sistema. Evaluacién de los sistemas .. Anali Evaluacién de los sistemas de informaci Evaluacién en la ejecucién .. Evaluacién en el impacto 278 Evaluacién econémica 279 Evaluacién subjetiva ss 280 Controles.. Presentacién Conclusiones .. 289 Bibliografia ... 201 indice analitico... 293 cONTENIDOINTRODUCCION En la actualidad el costo de los equipos de cémputo ha disminuido considera- blemente, mientras que sus capacidades y posibilidades de utilizacién han au- mentado en forma inversa a la reduccidn de sus costos. Aunque los costos uni tarios han disminuido (el de una computadora personal, “microcomputadora”), los costos tatales de la computacién (de equipos, sistemas, paquetes, recursos humanos, consumibles, etc.) se han incrementado considerablemente. Ello se debe a que, si bien la relacin precio /memoria es menor, el tamaio de la me- moria de los equipos y sus capacidades son mucho mayores, con procesadores y dispositivos que permiten acceso de mas datos en mucho menos tiempo y que procesan la informacién en forma mds répida (memorias RAM y ROM, discos fijos, ete.). Esto hace que, aunque se han teducido los costos, al aumentar sus capacidades y facilidades se ha incrementado el costo total, lo que ha tenido como consecuencia que los costos totales del uso no hayan disminuido en todos los casos. Las nuevas herramientas con que se cuenta (Internet, Extranet, comu- nicacién, bases de datos, multimedia, etc.) hacen que también se pueda tener acceso a mayor informacién, aunque el costo total de los sistemas, asi como la confiabilidad y seguridad con que se debe trabajar, sean muy altos. En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se tiene poca productividad en relacién con la informacién y uso que se daa éstas, También se tiene poco contral sobre Ia utilizaciGn de los equipos, existe un de- ficiente sistema de seguridad tanto fisica como l6gica y se presenta una falta de confidencialidad de la informacién, Lo que se debe incrementar es la producti- vidad, el control, la seguridad y la confidencialidad, para tener la informacion necesaria en el tiempo y en el lugar adecuados para poder tomar las mejores decisiones. Los siguientes puntos de la tecnologia de informacisin son particularmente notables: + Una gran disponibilidad de hardware de computadoras muy poderosos y baratos, incluyendo la incorporacién, a través de la miniaturizacién de po- derosas capacidades, en diferentes dispositivos disefiadas para usos perso- nales y profesionales. * Una gran disponibilidad de software poderoso, barato y relativamente ac- cesible, con interfases de uso grafico. A la medida del cliente, cambio de sistemas a software preempacado. Cambio de computadoras principales (mainframe) a computadoras de uso individual 0 aumentadas como parte de redes dedicadas a compartir infor- macién, asi como computadoras corporativas con los correspondientes cam-ail iTRopUCCION bios en la naturaleza, organizacién y localizacién de actividades de los sis- temas de informacién, como el cambio a computadoras de usuario final idad de las computadoras para accesar datos en tiempo real 0 demorado, ambos en forma local o a través de acceso a facilidades remotas, incluyendo via Internet. + Captura de nuevos datos y el liderazgo en tecnologia en almacenamiento maximo para incrementar la computarizaciGn, datos/informacién en tex- tos, gréficas y video, con énfasis en la administraci6n, presentacion y comu- nicacién de informacién, utilizando aproximaciones de multimedia. * La cobertura de informacién y las teenologias de comunicacién afectan la forma en que se trabaja y se compra + Incremento del uso de Internet para unir individuos, intraorganizaciones, a través de sistemas tales como correo electrénico (E-mail), Internet, inclu- yendo world y wide web + Elincremento en el uso de Internet para conducir comunicacién entre orga nizaciones e individuos, a través de sistemas de comercio electrdnico, tales como intercambio electrénico de datos (EDI) y sistema de transferencia elec- trdnica de fondos (EFTS). * Mercadeo masivo y distribucién de productos de tecnologia de informa- cidn y servicios, tales como computadoras, software preempacado, servicio de recuperacisn de datos en linea, correo electrénico y servicios financieros. + Reduccidn de barreras de uso de sistemas, estimulando una gran penetra- cin de sistemas de informacién dentro de organizaciones de todos los ta- majias, de lucro o no lucrativas, para contadores y consejos de administra- cin, y para propdsitos estratdégicos e incremento de papeles del usuario final de computadoras + Una amplia penetracién de tecnologia de informacién, tal como diseiio de manufactura por medio de asistencia computarizada (CAD/CAM), siste- ma de imagenes por computadora, sistemas de informacién para ejecutivos (EIS) y sistemas de reuniones en forma electrnica (EMS), + Nuevas técnicas de desarrollo de sistemas, basados en tecnologias de infor- maci6n, tales como software de ingenieria de asistencia computarizada (CASE), programacién orientada a objetos y tecnologia de flujos (WORK- FLOW). * Desarrollo continuo de soporte de sistemas inteligentes, incorporando sis- temas expertos, redes neuronales, agentes inteligentes y otras ayudas de solucién de problemas. * Acceso a reingenieria de nuevos negocios, basado en la integracién efectiva de tecnologia de informacién y procesos de negocios, Une de los problemas mas frecuentes en los centros de informatica es la falta de una adecuada organizacién, que permita avanzar al ritmo de las exi- gencias de las organizaciones. A esto hay que agregar la situacién que presen- ‘tan los nuevos equipos en cuanto al uso de bases de datos, redes y sistemas de informacién, Lo anterior, combinado con la necesidad cle una eficiente planeacién estratégica y corporativa de las organizaciones, y con una descentralizacién de equipos y centralizacidn de Ja informacién, ha provocado que la complejidad de las decisiones, y las dimensiones de los problemas en cuanto ala mejor forma de organizar el érea de cémputo, requieran aplicar técnicas modernas de control y administracién. En muchos centros de informatica también se desconoce el adecuado em- pleo de herramientas administrativas, contables / financieras, tales como presu- puestos, finanzas, costos, recursos humanos, organizacién, control, ete. Esto Tepercute en una inadecuada érea de informatica que no permite tomar decisio- nes con Ias caracteristicas que deben tener las organizaciones actuales, lo cual hace que-no se cuente con los controles para asegurar que esas decisiones no se desvien de los objetivos. La proliferacién de la tecnologia de informacién ha incrementado la de- manda de control de los sistemas de informacién, como el control sobre la pri- vacidad de la informacién y su integridad, y sobre los cambios de los sistemas. ‘demas, hay una preocupacién sobre la caida de los sistemas y sobre la seguri- dad de la continuidad del procesamiento de la informacién, en caso de que los sistemas se caigan. Otra drea de preocupacién es la proliferacidn de subsistemas incompatibles y el ineficiente uso de los recursos de sistemas. Los sistemas tienen diferentes etapas, y una de ellas puede ser la utilizaciGn de las herramientas que nos proporcionan los mismos sistemas electrdnticos. Para poder evaluar un sistema de informaci6n es necesario conocerlo y contro- larlo desde su inicio, siguiendo su proceso, que puede ser manual, mecénico, electrénico, o bien la combinacién de éstos, hasta Hegar a su almacenamiento, respaldos, seguridad y eficiencia en el uso de la informacidn que proporcionan. No basta, pues, conocer una parte o fase del sistema, como pueden ser los equi- pos de cémputo, que tan séle vienen a ser una herramienta dentro de un siste- ‘ma total de informacién. La informatica ha sido un area que ha cambiado drasticamente en los tilti- mos aftos. En una generaciGn, la tecnologia ha cambiado tanto que lo que sor- prendié hace algunos afios, como la Megada del hombre a Ia Luna, o bien la creacién del horno de microondas, hoy nos parece algo muy familiar. En una década hemos visto el cambio en la organizacién de la informatica: si hace poco era.algo comin la tarjeta perforada, hoy la vemos como algo de un pasado muy remota, y consideramos como algo normal el uso de microcomputadoras y de redes, Esto ha provocado que se tengan especialistas dentro del drea de la infor- matica. Ya ne podemos pensar en el personal de informatica que podia trabajar con microcomputadores y con grandes computadoras, 0 bien en la persona que conocia en detalle sobre bases de datos y de comunicaciones. Ahora se deben de tener especialistas en cada una de las dreas. Una de éstas es la auditoria en informatica, y en ella debemos de tener especialistas para cada una de las dife- rentes funciones que se realizardn. Esto sin duda depende del tamaio del érea de la inforthatica y de la organizacién. El principal objetivo del libro es evaluar Ia funcién de la informatica desde los siguientes puntos de vista: * La parte administrativa del departamento de informatica + Los recursos materiales y téenicos del drea de informatica. * Lossistemas y procedimientos, y la eficiencia de su uso y su relacién con las necesidades de la organizacién. iTRooUccIONINTRODUCCION Es conveniente precisar y aclarar que la funcién de la auditoria en informa- tica se ubica dentro del contexto de la organizacién, dependiendo de su tamaiio y caracteristicas. La profundidad con la que se realice, dependerd también de las caracteristicas y del niimero de equipos de cémputo con que se cuente. El presente libro sefiala un panorama general, pero habré que adecuar éste y pro- fundizar de acuerdo a la organizacin de que se trate y de los equipos, software y comunicacién que se auditen. Para cualquier comentario sobre esta obra, los lectores pueden dirigirse ala direccién del autor en Internet: jaeg@correo.uam.mxConcepto de auditoria en informatica y diversos tipos de auditorias CAPITULO Osyetivos Al finalizar este capitulo, usted: 1, Analizaré los conceptos de auditoria e informatica. 2. Conocerd los diversos tipos de auditoria y su relacién con la auditoria en informatica. 3. Expondré cuales son las técnicas avanzadas que se utilizan en la auditoria con informatica. 4. Describira las habilidades fundamentales que debe tener todo auditor de in- formatica. 5. Definird cual es el campo de la auditoria en informatica. 6. Explicard cuales son los principales objetivos de la auditoria en informatica.‘CAPITULO 1 CONCEPTO DE ‘AUDITORIA EN INFORMATICA Y DIVERSOS TIPOS DE AUDITORIAS. Definiciones Concerto DE AUDITORIA Y CONCEPTO DE INFORMATICA Auditorfa, Con frecuencia la palabra auditorfa se ha empleado incorrectamen- te y sele ha considerado como una evaluacién cuyo tinico fin es detectar errores y Sefalar fallas, Por eso se ha Wegado a usar la frase “tiene auditoria” como sinénimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se esté haciendo la auditoria. El concepto de auditoria es mas amplio; no sélo detecta errores: es un examen critico que se realiza con objeto de evaluar la eficiencia y eficacia de una secci6n o de un organismo, y determinar cursos alternatives de accién para mejorar la organizacién, y lograr los abjetivos pro- puestos. La palabra auditoria viene del latin auditorius, y de ésta proviene “auditor”, el que tiene la virtud de oir; el diccionario lo define como “revisor de cuentas colegiado! El auditor tiene la virtud de ofr y revisar cuentas, pero debe estar encaminado a un objetivo especifico, que es el de evaluar la eficiencia y eficacia con que se esté operando para que, por medio del sefialamiento de cursos alter- nativos de accién, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacién. Si consultamos nuevamente el diccionario encontramos que eficacia es: “vir~ tud, actividad, fuerza, para poder obrar mientras que eficiencia es: “virtud y facultad para lograr un efecto determinado”, es decir, es el poder lograr lo pla- neado con los menores recursos posibles, mientras que eficacia es lograr los objetivos. El Bolettn C de normas de auditoria’ de! Instituto Mexicano de Contadores nos dice: La auditoria no es una actividad meramente mecinica que implique la aplicacisn de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de cardc- ter indudable. La auditoria requiere-el ejercicio de un juicio profesional, sétido y maduro, para juzgar los procedimientos que deben de seguirse y estimar los resul- tados obtenidos. Asi como existen normas y procedimientos especificos para Ia realizacién de auditorias contables, debe haber también normas y procedimientos para la realizacién de auditorfas en informatica como parte de una profesicn, Estas pueden estar basadas en las experiencias de otras profesiones, pero con algunas caracteristicas propias y siempre guidndose por el concepto de que la auditoria debe ser mas amplia que la simple detecciGn de errores, y que ademas la audito- ' Nueww Diccionario Espaiiol Sopens = tert ® Normas y procedimientos de audiforia, {nstituta Mexicano de Contadores Puiblicos.ta Facultad de Contaduria y Administracién (CIFCA) de la Universidad Auténoma de México:' ‘existe una sola concepcién acerea de qué es informatica; etimolégicamente, la bra informatica deriva del francés informatique, Este neologismo proviene de Ia conjuneicn de information (informacién) y automatique (automstica). Su creacién -estimulada por la intencisn de dar una alternativa menos tecnoeratica y menos nicista al concepta de “proceso de datos”. ia del tratamiento sistematico y eficaz, realizado especialmente mediante nas autométicas, de la informacién contemplada como vehiculo del saber sno y de 1a comunicacién en los dmbitos ténico, econémico y social. Hacia principios de los setenta ya eran claras las limitaciones de esta defini- . sobre todo: por el hincapié en el uso de las maquinas. El principal esfuerzo amental de Informatica (IB1), en aquel tiempo 6rgano asociado ala ©. Este organismo, a través de los comités expertos convocados para ormulé en 1975 esta definicién: ién racional, sistemdtica de la informacién para el desarrollo econémico, ¥ politico, IBI también dio en esa época una descripeién del concepto de informati- g, aunque no constituye una definicidn formal, resulta muy descriptiva: de los sistemas inteligentes de informacisn. ‘algunas ocasiones se han empleado como sinénimos los conceptos de es6 electrdnico, computadora ¢ informatica. El concepto de informatica es amplio, ya que considera el total del sistema y el manejo de la informacién, ual puede usar los equipos electrénicos como una de sus herramientas. Bolen del Centro de Informatica de ta FCA de ta UNAM, nim. 99, vol. 11, mayo de 1984. CONCERTO DE AUDITORIA ¥ ‘CONCEPTO DE INFORMATICAcapiTuLo 1 CONCEPTO DE También es comtin confundir el concepto de dato con el de informacidn, La ‘informacién es una serie de datos clasificados y ordenados con un objetivo co- muin. El dato se 1efiere tinicamente a un simbolo, signo o a una serie de letras 0 auorronia nuimeros, sin un objetivo que dé un significado a esa serie de simbolos, signos, EN INFORMATICA Y DIVERSOS TIPOS letras o ntimeros. DE AUDITORIAS.» La informacién esta orientada a reducir la incertidumbre del receptor y tie- — y e la caracteristica de poder duplicarse pricticamente sin costo, no se gasta. Ademés no existe por si misma, sino que debe expresarse en algtin objeto (pa- Pel. cinta, etc,); de otra manera puede desaparecer o deformarse, como sucede a son la comunicacién oral, lo cual hace que la informacién deba ser controlada debidamente por medio de adecuados sistemas de seguridad, confidencialidad y respaldo. La informacidn puede comunicarse, y para elle hay que lograr que los me- dios de seguridad sean evades a cabo después de un adecuado examen de la forma de transmision, de la eficiencia de los canales de comunicaci6n{l trans- misor, el receptor, el contenido de la comunicacisn, la redundancia y el ruidg) | __ La informacisn ha sido dividida en varios niveles. El primero es el nivel a los aspectos de eficiencia y capacidad de los canales de Gon desde el punto de tivo y de la parte ética, o sea considera cuai do, dénde y a quién s destina la informacién o cage se le dé. La inform: tica debe abarcar los cuatro niveles de informacion. En el cuarto nivel tenemos una serie de aspectos importantes, como la parte legal del uso de la informacién, los estudios que se han hecho sobre la Karle d de la infor Ta crecisn de la ética en informatica, que no sélo debe incluir a los profesionales t-0e"* datos, los sistemas de comunicacién y los sistemas de informacién, que van a complementar el concepto de informatica y su campo de accidn,Diversos TIPOS DE AUDITORIA 2 oP pienso 10s De Y SU RELACION CON LA AUDITORIA Fy, ean ce EN INFORMATICA UX AUDITORIA EN INFORMATICA Avorroria INTERNA/EXTERNA Y AUDITORIA CONTABLE/FINANCIERA El Boletin E-02 del Instituto Mexicano de Contadores® senala respecto al control interno: El estudio y evaluacién del control intema fe efectiia con el objeto de cumplir con la norma de ejecucién del trabajo que requiere que: el auditor debe efectuar un estudio y evaluacién adecuados de! control interno existente, que le sirvan de base pthc ae para determinar el grado de confianza que va a depositar en él, asi mismo, que le - permitan determinar la naturaleza, extensin y oportunidad que va a dar a los procedimientos de auditoria. El control interno comprende el plan de organizacin y todos los métodos y') Definicién y procedimientos que en forma coordinada se adoptan en un negocio para salva-\' objetivos del guardar sus activos, verificar la razonabilidad y confiabilidad de su informacién | control Interna financiera, promover la eficiencia operacional y provocar la adherencia a las poli-_ ticas prescritas por la administracién Objetivos basicos del control interno. De lo anterior se desprende que los cua- tro objetives basicos del control interno son: ~ + La proteccién de los actives de la empresa. Se * Laobtencién de informacién financiera veraz, confiable y oportuna. + La promocién de Ia eficiencia en la operacién de! negocio Vue Lograr que en la ejecucién de las operaciones se cumplan las politicas esta- \) blecidas por los administradores de la empresa. Se ha establecido que los dos primeros objetivos abarcan el aspecto de con- troles internos contables y los dos tiltimos se refieren a controles internos admi- nistrativos. Objetivos generales del control interno. El control interno contable compren- de el plan de organizacién y los procedimientos y registros que se refieren a la proteccién de los activos y a la confiabilidad de los registros financieros. Por lo * Boletin E-02, Normas y procedimientes de auditoria, Instituto Mexicano dle Contadores PublicoscapituLo 1 CONCEFTO DE AUDITORIA EN INFORMATICA ‘¥ DIVERSOS TIPOS DE AUDITORIAS tanto, estd disefiado en funcién de los objetivos de la organizacién para ofrecer seguridad razonable de que las operaciones se realizan de acuerdo con las nor- mas y politicas sefaladas por la administracién. Cuando hablamos de los objetivos de los controles contables intemnos pode- mos identificar dos niveles: A) Objetivos generales de control interno aplicables a todos los sistemas B) Objetivos de control interno aplicables a ciclos de transacciones Los objetivos generales de control aplicables a todos los sistemas se desa- rrollan a partir de los objetivos bésicos enumerados anteriormente, y son mas especificos, para facilitar su aplicaciGn. Los objetives de control de ciclos se de- sarrollan a partir de los objetivos generales de control de sistemas, para que se apliquen a las diferentes clases de transacciones agrupadas en un ciclo. @Los objetivos generales de control interno de sistemas pueden resumirse a continuacién. Objetivos de autorizacién Todas las operaciones deben realizarse de acuerdo con autorizaciones genera- les o especificaciones de la administracién. Las autorizaciones deben estar de acuerdo con criterios establecidos por el nivel apropiado de la administraci6n. Las transacciones deben ser validas para conocerse y ser sometidas oportu- namente a su aceptacién. Todas aquellas que retinan los requisitos establecidos por la administracién deben reconocerse como tales y procesarse a tiempo. Los resultados del procesamiento de transacciones deben comunicarse oportunamente y estar respaldados por archivos adecuados. Objetivos dei procesamiento y Clasificacion de transacciones Todas las operaciones deben registrarse para permitir la preparacidn de esta- dos financieros en conformidad con los principios de contabilidad general- mente aceptados, o con cualquier otro criterio aplicable a los estados y para mantener en archives apropiados los datos relatives a los activos sujetos a custodia. Las transacciones deben clasificarse en forma tal que permitan la prepara- cin de estados financieros en conformidad con los principios de contabilidad generalmente aceptados segiin el criterio de la administracién. Las transacciones deben quedar registradas en el mismo periodo contable, suidando de manera especifica que se registren aquellas que afectan mas de un ciclo.Objetivo de salvaguarda fisica Elacceso a los activos slo debe permitirse de acuerdo con autorizaciones de la administracién. Objetivo de verificacién y evaluacién Los datos registrados relatives a los activos sujetos a custodia deben comparar- secon los activas existentes a intervals razonables, y se deben tomar las medi- das apropiadas respecto a las diferencias que existan, Asimismo, deben existir controles relativos a la verificacion y evaluacién periddica de los saldos que se incluyen en los estados financieros, ya que este objetivo complementa en forma importante los mencionados anteriormente. Estos objetivos generales del control interno de sistemas son aplicables a todos los ciclos. No se trata de que se usen directamente para evaluar las técni- cas de control intemo de una organizacién, pero representan una base para desarrollar abjetivos especificos de control interno por ciclos de transacciones que sean aplicables a una empresa individual. El érea de informatica puede interactuar de dos manerasen el control inter- no. La primera es servir de herramienta para llevar a cabo un adecuade control interno, y la segunda es tener un control interno del area y del departamento de informatica Enel primer caso se Heva el control interno por medio de la evaluacién de una organizacién, utilizando la computadora como herramienta que auxiliard en el logro de los objetivos, lo cual se puede hacer por medio de paquetes de auditoria, Esto debe ser considerado como parte del control interno con infor- mitica, En el segundo caso se lleva a cabo el control interno de informatica. Es decir, como se sefala en los objetivos del control interno, se deben proteger adecuadamente los activos de la organizacién por medio del control, para que se obtenga la informacién en forma veraz, oportuna y confiable, para que se mejore la eficiencia de la operacién de la organizacién mediante la informatica, y para que en Ia ejecucin de las operaciones de informatica se cumplan las politicas establecidas por la administracidn: todo ello debe ser considerado como control interno de informatica. AL estudiar los objetivos del control interno podemos ver en primer lugar que, aunque en auditoria en informatica el abjetive es mas amplio, se deben fener en cuenta los objetives generales del control interno aplicables a todo ci- clo de transacciones. La auditoria en informatica debe tener presentes los objetivos de autoriza- cién, procesamiento y clasificacién de transacciones, asi como los de salvaguar- da fisica, verificacién y evaluacién de los equipos y de la informacién. La dife- rencia entre los objetivos de control intemo desde un punto de vista contable financiero es que, mientras éstos estén enfocados a la evaluacién de una organi- zacién mediante la revisién contable financiera y de otras operaciones, los obje- tivos del contro! interno en informatica estan orientados a todos los sistemas en DIVERSOS TIPOS DE AUDITORIA ¥ SU RELACION CON, UA AUDITORIA EN INFORMATICA 7‘capiTULO 1 CONCEPTO DE AUDITORIA EN INFORMATICA Y DIVERSOS TIPS DE AUDITORIAS general, al equipo de cémputo y al departamento de informética, para lo cual se requieren conocimientos de contabilidad, finanzas, recursos humanos, ad- ministraci6n, etc,, ast coma de experiencia y un saber profundo en informa tica. La auditoria interna debe estar presente en todas y cada una de las partes de la organizacién. Ahora bien, la pregunta que normalmente se plantea es: jcual debe ser su participacién dentro del drea de informatica? La informatica es en primer lugar una herramienta muy valiosa que debe tener un adecuado control y es un auxiliar de la auditoria interna. Pero, segiin este concepto, la auditoria interna puede considerarse como un usuario del érea de informatica. Se ha estudiada que los objetivos generales del control interno son: Autorizacién. Procesamiento y clasificacién de las transacciones + Salvaguarda fisica. * Verificacién y evaluaci6n. Con base en los objetivos y responsabilidades del control interno podemos hacer otras dos preguntas: De qué manera puede participar el personal de con- trol interno en el disefio de los sistemas? {Qué conocimientas debe tener el per- sonal de control interno para poder cumplir adecuadamente sus funciones den- tro del érea de informatica? Las respuestas a estas preguntas dependerdn del nivel que tenga el control interno dentro de la organizacién. Sin embargo, en el disefio general y detalla- do de los sistemas se debe incluir a personal de la contraloria intema, que habré de fener conocimientos de informatica, aunque no se requeriré que sean espe- cialistas, ya que sélo intervendran en el disefio general del sistema, en el disefo de controles, en los sistemas de seguridad, en el respaldo y confidencialidad del sistema y en los sistemas de verifieaciGn, Se habran de comprobar las formulas de obtencién del impuesto sobre el producto del trabajo, el cdlculo del pago del seguro social, etc, pero no debern intervenir en la elaboracién de los sistemas, bases de datos o programacién. Tendran que comprobar que lo sehalado en el disefio general sea igual a lo abtenido en el momento de implantacién, para que puedan dar su autorizacién a la corrida en paralclo. El auditor interno, en el momento en que se estén elaborando los sistemas, debe participar en estas etapas: + Asegurarse de verificar que los requerimientos de seguridad y de auditoria sean incorporados, y participar en la revisién de puntos de verificacién. * Revisar la aplicacién de los sistemas y de control tanto con el usuario come en el centro de informética. ® Verificar que las politicas de segu rados al plan en caso de desastre = Incorporar técnicas avanzadas de auditoria en los sistemas de cémputo. ad y los procedimientos estén incorpo- Los sistemas de seguridad no pueden Ilevarse a cabo a menos que existan procedimientos de control y un adecuado plan en caso de desastre, elaborados desde el momento en el que se disefia el sistema.El auditor interno desempefa una importante funcién al participar en los 9 planes a largo plazo y en el disefio detallado de los sistemas y su implantacin, | yegsos Tie0s DE de tal manera que se asegure que los procedimientos de auditoria y de seguri-| aupiToriA vy su dad sean incorporados a todas y cada una de las fases del sistema. RELACION GON ? LA AUDITORIA EN INFORMATICA baeher Avorroria ADMINISTRATIVA/OPERACIONAL ~* Renata Dgeresse La tecnologia en informacion esta afectando la forma en que las organizaciones estén estructuradas, administradas y operadas. En algunos casos, los cambios son dramaticos. Cuando existe la necesidad de un nuevo disefio de sistemas administrativos para lograr una efectiva administracién y contrc! financiero, la planeacién administrativa y el proceso de disefio y los requerimientos de con- trol interno deberan cambiar o necesariamente se modificaran con los cambios de la tecnologia de informaciGn. El incremento de la tecnologia de informacién estd soportado por una reestructuracién organizacional alrededor de esta tec- nologia William P. Leonard® define la auditoria administrativa como: El examen global y constructive de la estructura de una empresa, de una institu- cién, una seccién del gobierne o cualquier parte de un organismo, en cuanto a sus planes y objetivos, sus métodos y controles, su forma de operacicn y sus facilida- des humanas y fisica. Se lleva a cabo una revisiGn y consideracién de la organ zacién de una em- presa con el fin de precisar: + Pérdidas y deficiencias. + Mejores métodos. + Mejores formas de control. * Operaciones més eficientes. * Mejor uso de los recursos fisicos y humanos La auditoria administrativa debe levarse a cabo como parte de la auditoria del area de informatica; se ha de considerar dentro del programa de trabajo de auditoria en informatica, tomando principios de la auditoria acministrativa para aplicarlos al 4rea de informatica. El departamento de informatica se deberd evaluar de acuerdo con: Objetivos, metas, planes, politicas y procedimientos. Organizacion. Estructura orginica. Funciones y niveles de autoridad y responsabilidad * William P. Leonard, Aistitoria administrativa, editorial Diana.10 CAPITULO + CONCEPTO DE ‘AUDITORIA EN INFORMATICA Y DIVERSOS TIPOS DE AUDITORIAS Ademés, es importante tener en cuenta los siguientes factores: Elemento humano. Organizacién (manual de organizacién), Integracidn, Direccién. Supervision. Comunicacién y coordinacién. Delegacién. Recursos materiales Recursos técnicos. Recursos financieros Control. Auprroria CON INFORMATICA Concepto de auditoria con informatica Los procedimientos de auditoria con informatica varian de acuerdo con Ia filo- sofia y técnica de cada organizacién y departamento de auditoria en particular. Sin embargo, existen ciertas técnicas y/o procedimientes que son compatibles en la mayoria de los ambientes de informatica. Estas téenicas caen en dos cate- gorias: métodos manuales y métodos asistidos por computadora. Utilizacion de las técnicas de auditorias asistidas por computadora Engeneral, el auditor debe utilizar la computadora en la ejecucién de la auditoria, ya que esta herramienta permitiré ampliar la cobertura del examen, reduciendo el tiempo / costo de las pruebas y procedimientos de muestreo, que de otra mane- ra tendrian que efectuarse manualmente. Existen paquetes de computadora (soft- ware) que permiten elaborar auditorias a sistemas financieros y contables que se encuentran en medios informaticos. Ademas, el empleo dela computadora por el auditor le permite familiarizarse con la operacién del equipo en el centro de cémpu- to de la institucién, Una computadora puede ser empleada por el auditor en: * TransmisiGn de informacién de la contabilidad de la organizacién a la computadora del auditor, para ser trabajada por éste, 0 bien acceso al siste- maen red para que el auditor elabore las pruebas.+ Veriticaci6n de citras totales y cdlculos para comprobar la exactitud de los reportes de salida producidos por el departamento de informalica, de la informacién enviada por medios de comunicacién y de la informacién al- macenada Pruebas de los registros de los archivos para verificar la consistencia légica, la validacion de condiciones y la razonabilidad de los montos de las opera- ciones. + Clasificacion de datos y andlisis de la ejecucién de procedimientos, + Seleccisn e impresidn de datos mediante técnicas de muestreo y confirma- ciones. + Llevar a cabo en forma independiente una simulacién del proceso de tran- sacciones para verificar la conexién y consistencia de los programas de computadora. Con fines de auditoria, el auditor interno puede emplear la computadora ‘pare: Utilizacién de paquetes para auditoria; por ejemplo, paquetes provenien- “es del fabricante de equipos, firmas de contadores ptiblicos o compaiias de software, + ,Supervisar la elaboracién de programas que permitan el desarrollo de la auditoria interna.’ yUtilizacién de programas de auditoria desarrollados por proveedores de equipo, que basicamente verifican la eficiencia en el empleo del compu- tador o miden la eficiencia de los programas, su operacién o ambas cosas. Todos los programas 0 paquetes empleados en la auditoria deben perma- necer bajo estricto control del departamento de auditoria. Por esto, toda la do- cumentacidn, material de pruebas, listados fuente, programas fuente y objeto, ademas de los cambios que se les hagan, seran responsabilidad del auditor. En aquellas instalaciones que cuentan con bibliotecas de programas catalo- gados, los programas de auditoria pueden ser guardados utilizando contrase- fas de proteccidn, situacién que seria aceptable en tanto se tenga el control de las instrucciones necesarias para la recuperacién y ejecucion de los programas desde la biblioteca donde estén almacenados, Los programas desarrollados con objeto de hacer auditoria deben estar cuidadosamente documentados para de- finir sus propésitos y objetivos y asegurar una ejecucién continua. ‘Cuando los programas de auditoria estén siendo procesados, los auditores internos deberdn asegurarse de la integridad del procesamiento mediante con- troles adecuados como: + Mantener el control basico sobre los programas que se encuentren catalo- _gados en el sistema y llevar a cabo protecciones apropiadas. + Observar directamente el procesamiento de la aplicacién de auditoria. Desarrollar programas independientes de control que monitereen el proce- samiento del programa de auditoria, © Mantener el control sobre las especificaciones de los programas, documen- tacién y comands de control. nu DIVERSOS TIPOS DE AUDITORIA Y SU RELAGION CON LA AUDITORIA EN INFORMATICA