Auditoría de los sistemasinformáticos

* Por: Dr. Cristian Yong Castañeda

E l estudio, análisis, verifica-ción y auditoria de los"Sistemas de información" es

un campo multidiscipiinario en el queintervienen materias como la"Ingeniería del Software", "LasCiencias Contables" y "Ciencias de laComputación" entre otras. LaAuditoría de Sistemas permite laparticipación de distintos profesiona-les del conocimiento que aplican unconjunto de técnicas que permitendetectar deficiencias en las organiza-ciones de informática y en lossistemas que se desarrollan u operanen ellas, las cuales permiten efectuaracciones preventivas y correctivaspara eliminar las fallas y carencias quese detecten; los profesionalescontables miden los impactoseconómicos/financieros; verifican laexistencia y aplicación de todas lasnormas y procedimientos requeridospara minimizar las posibles causas deriesgos tanto en las instalaciones yequipos, como en los programascomputacionales y los datos, entodo el ámbito del sistema: usuarios,instalaciones, equipos, etc.

Los "Sistemas de Información de laEmpresa" son conjuntos organizadosde elementos dirigidos a recoger,procesar, almacenar y distribuirinformación de manera que pueda serutilizada por las personas adecuadasen ella a fin que desempeñen susactividades de modo eficaz yeficiente. Es por esta razón lanecesidad imperiosa de realizar unaverificación auditada de los mismos;las implicaciones que tiene un error enel procesamiento automatizado son demayor magnitud que las que suelendarse por una equivocación en unproceso manual. Por ende, el tipo deevaluación y los conocimientos que

requiere un auditortambién varían radi-calmente. Un profe-sional contable espe-cializado, está adies-trado y apto paradesarrollar este tipo deexámenes en función acertificar a las institu-ciones que se estábrindando informacióncompleta, exacta yoportuna, que cumplecon las disposicioneslegales vigentes, querealiza un consumo derecursos eficiente yestablece una protec-ción adecuada de iosactivos bajo su respon-sabilidad.

Cuando se piensa en los grandesavances que en los últimos tiempos sehan dado en el mundo de lacomputación, las telecomunicacionesy la ingeniería de sistemas, se tomaconciencia de la innumerable cantidadde condiciones que están cambiandoen estos campos y que implicanvariaciones importantes en lascompañías por los nuevos controles,cada vez más complejos, que debenplantearse. Por este motivo se requierede un gran esfuerzo de parte delauditor para que realice una evalua-ción satisfactoria de un ambienteinformático y que a su vez desarrollenuevas técnicas y procedimientos quepermitan establecer confiabilidad delos controles implantados dentro delárea informática de la empresa ydeterminar si éstos son suficientes.

La rapidez con que los computadoresactuales pueden procesar grandesvolúmenes de datos, ha transformado

los procesos de toma de decisiones enlos niveles jerárquicos, el impactoque tiene un error en el procesamien-to de los datos, en el funcionamientonormal de las empresas es cada vezmayor; por lo tanto, el producto másimportante de un sistema automatiza-do es la información que emite y paraque tenga valor, los atributos deexactitud, entereza y oportunidaddeben ser evaluados con el propósitode establecer el grado de confianzaque se pueden depositar en ellos.Estas razones son el sustentoprimordial para la realización de unaverificación auditada y certificadapor un profesional contableespecializado.

Planeamiento del trabajo a realizar

Consiste en la estrategia queconduzca al logro de los objetivosconcretos de la auditoría, para lo cualdebe tomar un conocimiento general

Alternativa Financiera 4 1

r'"̂

de la empresa; levantando informa-ción en la visita previa, asignandoriesgos de las diferentes áreasinvolucradas en el trabajo. Se elaboraun plan de trabajo que permita me-dir el avance del trabajo en puntosclaves y administrar eficientementelos recursos de tiempo y personal quesean asignados.

Con la automatización han surgidonuevas formas de crímenes de "cuelloblanco": falsificaciones de documen-tos usando scanners, alteración de lalógica de un sistema, robo deinformación o fraudes con tarjetas decrédito, entre otros.

Se hace necesario que el auditor sededique a investigar cuáles son lospuntos de riesgo que posee laempresa, por medio de los cualespodría presentarse un crimen compu-tacional y que evalúe si se cuenta concontroles adecuados para con-trarrestar los riesgos detectados.

En el documento de planeación sedebe considerar lo siguiente:

•Î* Objetivos del trabajo a realizar.En forma concreta se plantea losobjetivos generales y específicosdel trabajo, basados en tiempo,espacio y lugar.

•;• Alcances del trabajo a realizar. Semarcan los escenarios de riesgosque se van examinar en eltrabajo, pudiendo ser todos osolamente algunos. Se determi-nan exactamente las áreas invo-lucradas y el tipo de informaciónprevista.

• Puntos de interés para estetrabajo. Se registran los aspectosque requieren especial atención,de acuerdo con los antecedentesque se conozcan de la aplica-ción o de otras similares y de lainformación que se procesa conella. Reunión con el personal dela empresa.

• Auditores asignados. A través dela visita previa, la toma de cono-cimiento de la empresa y ladeterminación de las áreas críti-cas, se asignará los grupos de

trabajo y la participación deespecialistas

. • Duración estimada. Comprendela suma de los tiempos estimadosasignados a cada una de las fases,(planificación, ejecución e infor-me). Se prepara un cronogramade tiempo por objetivos colo-cando el tiempo estimado de tra-bajo.

Ejecución del trabajo de campo:

Evaluación del control interno: Elauditor debe poner especial interés enla forma en que se definen lasfunciones de los programadores y susderechos en los equipos de desarrollo,debe analizar los procedimientos demantenimiento y puesta en operaciónde cambios en los programas y evaluarla forma en que se establece y controlala separación electrónica de fun-ciones; la existencia de una se-paración de funciones adecuada y unaasignación clara de responsa-bilidades son elementos claves en laevaluación de un área. La forma enque estos se implementen en unsistema automatizado es ílindamentalpara establecer un grado de confianzarazonable en el sistema de controlinterno de una actividad que estásiendo auditada. De esto dependerá laextensión y complejidad de laspruebas que debe realizar. Verificar elconjunto de disposiciones metódicas,cuyo fin es vigilar las funciones yactitudes de las empresas y por ellopermite verificar si todo se realizaconforme a los programas adoptados,órdenes impartidas y principiosadmitidos.

1Realizar controles:

Controles Preventivos: Son aquellosque reducen la frecuencia con queocurren las causas del riesgo,permitiendo cierto margen de vio-laciones. Ejemplos: Letrero "Nofumar" para salvaguardar las insta-laciones. Sistemas de claves de accesou otros.

Controles detectivos: Son aquellosque no evitan que ocurran las causas

del riesgo, sino que los detecta luegode ocurridos; son los más importantespara el auditor. En cierta forma sirvenpara evaluar la eficiencia de loscontroles preventivos. Ejemplo:archivos y procesos que sirvan comopistas de auditoría. Procedimientos devalidación, etc.

Controles correctivos: Ayudan a lainvestigación y corrección de lascausas del riesgo. La correcciónadecuada puede resultar difícil eineficiente, siendo necesaria laimplantación de controles detectivossobre los controles correctivos,debido a que la corrección de erroreses en sí una actividad altamentepropensa a enores.

Principales controles físicos ylógicos:

Autenticidad: Permiten verificar laidentidad: Passwords. Firmasdigitales. , ,

Exactitud: Aseguran la coherencia delos datos.

Totalidad: Evitan la omisión deregistros así como garantizan laconclusión de un proceso de envío.

Contco de registros. Cifras decontrol. I

Redundancia. Evitan la duplicidadde datos.

Privacidad: Aseguran la protecciónde los datos.

Existencia: Aseguran la disponi-bilidad de los datos. Bitácora deestados Mantenimiento de activos.

Protección de activos: Destrucción ocorrupción de información o delhardware. Extintores Passwords.

Efectividad: Aseguran el logro de losobjetivos . Encuestas de satisfacción.Medición de niveles de servicio.

Eficiencia: Aseguran el uso óptimode los recursos. Programas monitoresAnálisis costo-beneficio.

4 2 Alternativa Financiera

Otros Controles a Evaluar:

• Periodicidad de cambio de clavesde acceso: Los cambios de lasclaves de acceso a los programas sedeben realizar periódicamente.Normalmente los usuarios seacostumbran a conservar la mismaclave que le asignaron inicialmente

• Controles de Preinstalación: Hacenreferencia a procesos y actividadesprevias a la adquisición e insta-lación de un equipo de compu-tación y obviamente a la auto-matización de los sistemas exis-tentes. Tiene como objetivogarantizar que el hardware ysoftware se adquieran siempre ycuando tengan la seguridad de quelos sistemas computarizadosproporcionarán mayores bene-ficios que cualquier otra alter-nativa.

• Controles de organización yPlanificación: Se refiere a ladefinición ciara de funciones, líneade autoridad y responsabilidad delas diferentes unidades del área, enlabores tales como: Diseñar unsistema. Elaborar los programas.Operar el sistema, Control decalidad, etc.

• Controles de Procesamiento: Loscontroles de procesamiento serefieren al ciclo que sigue lainformación desde la entrada hastala salida de la información, lo queconlleva al establecimiento de unaserie de seguridades para: Ase-gurar que todos los datos seanprocesados. Garantizar la exactitudde los datos procesados. Garantizarque se grabe un archivo para uso dela gerencia y con fines de auditoria.Asegurar que los resultados seanentregados a los usuarios en formaoportuna y en las mejores condi-ciones.

Aplicación de técnicas :

Se debe verificar que se hayanutilizado las técnicas adecuadaspara cada etapa y sub,-etapas deldesarrollo e implantación delSistema.

1) Análisis de sistemas:- Entrevistas.- Diagrama de Flujo de Datos

(D.F.D.).- Modelizacion de Datos.- Diagrama de Estructura de

Datos (D.E.D.).- Historia de Vida de la Entidad

(H.E.V).- Análisis de Costo-Beneficio

(A.C.B.).iI

2) Programación :- Programación Estructurada.- Pruebas Unitarias.- Pruebas de Integración.- Prueba del Sistema.

3) Implantación de sistemas : '- Capacitación. i- Creación de archivos iniciales.

- Proceso en paralelo.

Ejecución del trabajo de campo:

Estructura

1. Denominacián: Informe No...Título general del tema abordado

2. Origen del examen: Razones delexamen por: plan anual, denuncia,solicitud del titular, Contraloría,No deResolución, Node folio deActa de Accionistas o Directorio.

3. Naturaleza y objetivos delexamen: Auditoría sistemas,objetivos previstos.(generales yespecíficos).

4. Alcance del examen: Cobertura,periodo, áreas, geografía, de

acuerdo con las NAGAS, NIAS yotras limitaciones encontradas enel trabajo de campo.

5. Antecedentes y base legal de laentidad: constitución, resolucióny otras.

6. Comunicaeión de hallazgos: Seha cumplido con la norma decomunicación oportuna, se debeincluir una relación con elpersonal involucrado en elexamen

7. Memorando de eontrol interno:Se indicara la emisión delmeniorandun en el cual se informoal titular la efectividad de loscontroles internos implan-tados.Dicho documento; así como elreporte de las acciones correctivasque en virtud del mismo se hallanadoptado se deberán adjuntarcomo anexo.

8. O b s e r v a c i o n e s : Sum i l l a ,condición, criterio, efecto, causa,comentarios del personalinvolucrado y evaluación de loscomentarios. :

9. Conclusiones: Juicio de carácterprofesional basados en lasobservaciones.

10. Recomendaciones: Medidasespecífícasy posibles.

11. Anexos: Documentos indispen-sables, concisos, importantes.

12. Firma: Jefe de comisión, supervi-sor, nivel gerencia! competente.

13. Síntesis gerencial: Contenidobreve y preciso, para uso delDirectorio.

* Docente de la Facultad de Cioicias Contables,Eeonámicas y Financieras USMP

"Daría todo lo que sé, por la mitad de lo • (Descartes)

Alternativa Financiera 4 3