UNIVERSIDAD DON BOSCO FACULTAD DE INGENIERIA TRABAJO DE GRADUACION PARA OPTAR AL GRADO DE: INGENIERO EN CIENCIAS DE LA COMPUTACION · GUIA GENERA~ PARA ELABORAR UNA AUDITORIA DE SISTEMAS. UNA APLICACION PRACTICA EN EL AREA DE ·1NFORMATICA DE LA UNIVERSIDAD DON BOSCO PRESENTADO P,OR: Carlos Francisco Carballo Alvarado José Carlos López Ruiz ASESOR: Lic. Roberto Rivas Bayona SOYAPANGO, ABRIL 1995 1 ¡ AUTORIDADES ACADEMICAS UNIVERSIDAD DON BOSCO 1995 Pbro. y Lic. Heriberto Herrera, sdb PRESIDENTE Pbro. y Lic. Salvador Cafarelli, sdb DIRECTOR lng. Federico Miguel Huguet RECTOR lng. José Miguel Hernández DECANO FACULTAD DE INGENIERIA lng. José Roberto Guzmán t VICE-DECANO FACULTAD DE INGENIERIA Pbro. y Lic. Pierre Muyshondt, sdb SECRETARIO GENERAL DE LA UNIVERSIDAD DON SOSCO AGRADECIMIENTOS Queremos agradecer al Lic. Roberto Rivas Sayona, Asesor de nuestro trabajo de graduación quien supo darnos a lo largo de éste, una valiosa guía y apoyo aportando desinteresadamente sus conocimientos y experiencia para poder culminar el trabajo. Al Lic. Arnulfo Avelar quien nos brindó su colaboración y orientación en el campo de la Auditoría de Sistemas. Al lng. Manuel Orellana, encargado del área de sistemas de la Ciudadela Don Sosco, por su ayuda en la recopilación de la información necesaria para poder desarrollar el trabajo. Al Sr. Javier Serrano, Contador de la Universidad Don Sosco por su colaboración en el área contable. A la Sra. Cecilia de Guerrero, Contador, quien nos brindó su ayuda y conocimientos. Al Lic. José Atilio Campos, de la Empresa Castellanos Campos y Cía. por orientarnos en el campo de la Auditoría. A nuestros Jurados, lng. Manuel Orellana y Lic. Walter Turcios por su valiosa colaboración. Al Sr. Salvador Alexander Miranda y a la Arq. Ella Salinas por' su colaboración desinteresada. A las familias Carballo Alvarado, Huezo Lemus y López Ruiz por su apoyo y ayuda. CARLOS FRANCISCO CARSALLO ALVARADO JOSE CARLOS LOPEZ RUIZ AGRADECIMIENTOS A DIOS TODOPOÓEROSO: Por guiarme en el camino correcto y proporcionarme sabiduría para poder culminar con mi meta trazada. A MI ESPOSA: Silvia Carolina Huezo de Carballo, por darme su ayuda, comprensión, apoyo y sobre todo fuerza para alcanzar este logro. A MIS PADRES: Sr. Carlos Alberto Carballo Ulloa y Sra. Melba Alvarado de Carballo, por el esfuerzo realizado para brindarme una buena educación y que lograse ser una persona de provecho. A MI HERMANO: Douglas Mauricio Carballo Alvarado, por su apoyo y útiles consejos. A LA FAMILIA HUEZO LEMUS: Por impulsarme a lograr mi propósito y tener siempre fé en mi. A MI COMPAÑERO Y AMIGO: Sr. José Carlos López Ruiz, por el esfuerzo compartido ourante esta dura y larga trayectoria. A MIS PROFESORES: Por engrandecer mis conocimientos y formarme para ser una persona útil a la sociedad. A MIS COMPAÑEROS: Con los que compartí gratos momentos durante mi carrera universitaria. A MI FAMILIA Y AMIGOS: Por incentivarme a concluir mis propósitos anhelados. CARLOS FRANCISCO AGRADECIMIENTOS A DIOS: Por haberme dado luz en mis momentos oscuros, fuerza en mis momentos de flaqueza y la determinación suficiente para poder culminar mi carrera. A MI ESPOSA: Cecilia Corral de López, que con su amor me dio empuje y aliento estando a mi lado desde siempre y para siempre. A MI PADRE: Arq. José Carlos López Candell, quien con paciencia supo darme su apoyo cuando más lo necesite tendiéndome siempre su mano fraternal, sincera, amiga. A MIS HERMANOS: Ana María y Rafael Guillermo por su apoyo en todo momento. A CARLOS FRANCISCO: Por ser un buen éompañero de trabajo y un excelente amigo. A ALFREDO ESTRADA: Quien supo demóstrarme su amistad sincera dentro y fuera del campo académico. A MIS EDUCADORES: Por haber sembrado su semilla del conocimiento que ahora da frutos. A MIS COMPAÑEROS Y AMIGOS: Por haber compartido conmigo alegrías y frustraciones. Y EN ESPECIAL, A MI MADRE: Ana María Ruiz de López Candellt que desde el cielo supo guiar mis pasos a lo largo de este arduo camino y a quien dedico este triunfo., JOSE CARLOS INDICE PARTE l. GUIA GENERAL PARA ELABORAR UNA AUDITORIA DE SISTEMAS 1. GLOSARIO ............................................................................................................ 1 2. INTRODUCCION - PARTE 1 ....................................................................................... 7 3. ASPECTOS GENERALES DE SISTEMAS ................................................................... 11 3.1 Definición de Sistemas .................................................................................. 12 3.2 Características de los Sistemas ..................................................................... 14 3.2.1 Elementos de un Sistema ..................................................................... 15 3.3 Ciclo de Vida de los Sistemas ........................................................................ 17 3.3.1 Investigación de Sistemas .................................................................. 19 3.3.2 Análisis .............................................................................................. 19 3.3.3 Diseño ............................................................................................... 20 3.3.4 lmJ?lementación .................................................................................. 21 3.3.5 Mantenimiento .................................................................................... 22 3.4 Sistemas de Información ............................................................................... 23 3.4.1 Tipos de Sistemas de lnformación .......................... : ............................. 25 • 4. ASPECTOS GENERALES DE AUDITORIA ................................................................... 28 ,\ 4.1 Historia de la Auditoría ................................................................................... 29 :-" 4.2 Conceptos de Auditoría .................................................................................. 33 4.3 Tipos de Auditoría ......................................... .' ............................................. .'.35 4.4 Tipos de Auditores ........................................................................................ 38 5. AUDITORIA DE SISTEMAS (ADS) ............................................................................ .42 5.1 Definición de Auditoría de Sistemas ................. , ............................................. 43 5.2 Objetivos de la Auditoría de Sistemas ...................... _ ....................................... 45 5.3 Beneficios de la Auditoría de Sistemas .......................................................... .48 ~ 5.4 Aplicaciones de la Auditoría de Sistemas ........................................................ 50 • 5.4.1 Evaluación del Area de Informática ....................................................... 51 5.4,.1.1 5.4.1.2 5.4.1.3 5.4.1.4 Información sobre la Organización .......................................... 51 Estructura de la Organización ................................................ 54 Recursos Humanos .............................................................. 69 Presupuestos ....................................................................... 71 5.4.2 Evaluación de los Sistemas ............................................................. ; ... 72 ,, 5.4.2.1 Análisis y Diseño .................................................................. 77 5.4.2.2 Desarrollo e lmplementación ................................................. 82 · 5.4.3 Evaluación del Proceso de Datos .......................................................... 98 5.4.3.1 Controles ............................................................................. 98 5.4.3.2 Orden en el Centro de Cómputo .......................................... 106 5.4.4 Evaluación de la Seguridad ................................................................ 107 5.4.4.1 Seguridad Lógica ................................................................ 108 5.4.4.2 5.4.4.3 5.4.4.4 5,4.4.5 Seguridad en el Personal .................................................... 113 Seguridad Física ................................................................. 114 Seguridad de la Utilización del Equipo .................................. 117 Seguridad de Respaldo ....................................................... 119 5.5 Herramientas para una ADS ......................................................................... 122 5.6 Metodología ......................................................................................... 125 5.6.1 FASE 1. Planeamiento del Proyecto ................... ~ ................................ 128 5.6.1.1 Selección del Sistema ................................................... : .... 128 5.6.1.2 Antecedentes del Sistema .................................................. 132 5.6.1.3 Objetivos y Alcance ......................................................... ; .. 139 5.6.1.4 Elaboración del Plan del Proyecto ........................................ 141 5.6.1.5 Papeles de Trabajo ........... : ............................................. ; ... 142 5.6.1.6 Aprobación del Proyecto ...................................................... 156 5.6.1. 7 Comunicación del Proyecto ................................................. 158 5.6.2 FASE 2. Identificación de Transacciones y Recursos ............................ 159 5.6.2.1 Definición de los Ciclos Transaccionales .............................. 159 5.6.2.2 Preparación y Análisis de Flujogramas ................................. 160 5.6.2.3 Identificación y Documentación de los Recursos ................... 167 5.6.3 FASE 3. Análisis de Riesgos y Amenazas ............................................ 168 5.6.3.1 Identificación y Documentación de Riesgos .......................... 168 5.6.3.2 Identificación y Documentación de las Amenazas ................. 170 5.6.4 FASE 4. Identificación y Análisis de Controles ...................................... 171 5.6.4.1 Introducción a las Clases de Controles ................................ 171 5.6.4.2 Identificación y Documentación de los Controles .................. 175 5.6.4.3 Análisis de cobertura de Controles existentes ...................... 176 5.6.4.4 Documentación de los Controles Recomendados .................. 182 5.6.5 FASE 5. Prueba de los Controles ....................... ;; ............................... 183 5.6.5.1 Objetivos y Alcances de la Prueba ....................................... 183 5.6.5.2 El Plan de Pruebas ............................................................. 184 5.6.5.3 Ejecución de las Pruebas .................................................... 185 5.6.5.4 Análisis y Documentación de Resultados ............................. 191 5. 7 Resultados y Presentación ........................................................................... 193 5. 7.1 Preparación del Informe Preliminar ..................................................... 193 5. 7.2 Discusión del Informe Preliminar ........................................................ 196 5. 7.3 Preparación y Entrega del Informe Final ............................................... 198 5.7.4 Compromisos ................................................................................... 199 5.7.5 Recomendaciones ............................................................................. 200 5. 7..5.1 Generación de Informes de Seguimiento .............................. 200 5. 7 .5.2 Auditoría de los Controles Implantados ................................ 201 5. 7 .6 Presentación de Informes de Auditoría ................................................ 201 6. CONCLUSIONES - PARTE 1 .............................................................................. : ... 214 PARTE 11- UNA APLICACION PRACTICA EN EL AREA DE INFORMATICA ,, 7. INTRODUCCION - PARTE 11 ................................... : ............................................. : .. 218 8. OBJETIVOS - PARTE 11 ................................................................................... · ...... 222 9. INSTRUCTIVO Y MANUALES ................................................................................. 225 10. INFORME DE AUDIT0RIA ...................................................................................... 254 PARTE 111 - UNA APICACION PRACTICA EN EL SISTEMA CONTABLE DE LA UDB 11. INTRODUCCION - PARTE lll ................................................................................... 314 12. OBJETIVOS - PARTE 111 ......................................................................................... 317 12.1 OBJETIVO ·GENERAL ................................................................................... 318 12.2 OBJETIVOS ESPECIFICOS .......................................................................... 318 13. ALCANCE ........................................................................................................... 319 14. FUNCIONAMIENTO DEL SISTEMA ......................................................................... 321 15. ANALISIS DEL FUNCIONAMIENTO DEL SISTEMA E INFORME DE AUDITORIA ............. 335 16. CONCLUSIONES.- PARTE lll .................................................................................. 363 BIBLIOGRAFIA ....... , .......................•............................................................................ 366 PARTE I GUIA GENERAL PARA ELABORAR UNA AUDITORIA DE SISTEMAS CAPITULO 1 GLOSARIO 1. GLOSARIO Siempre que en el presente documento se utilicen los términos que posteriormente se enlistan, debe entenderse que significan lo que a continuación se expresa: ADS PEO Amenaza Aplicación Archivos Arquitectura Bases de Datos Campo Auditoría de Sistemas • Parte 1 : Auditoría de Sistemas : Procesamiento Electrónico de Datos : La causa de producir un riesgo. La materialización de una amenaza puede ocasionar uno o más riesgos. Uso específico de la computadora; programa específico del usuario. Conjunto de registros relacionados. Diseño de una computadora; el diseñ9 determina la forma en que la computadora dará serv1c10 a las actividades concurrentes, la cantidad necesaria de memoria y el tamaño de los canales­ internos para la transmisión de datos e instrucciones en uno y otro sentido. Es una organización electrónica de datos y de información, organizada y conservada por un sistema de manejo de bases de datos, además implica la integración de los datos de todo el medio ambiente al que da servicio. También implica un control central consistente y preciso de los datos, el cual permite que los usuarios los consulten. Unidad definida de datos o información en un registro; un campo define la localización 3 Controles Datos Datos Fuente Documentos Fuente Encriptar Estándar Factibilidad Hardware Auditoría de Sistemas • Parte 1 física de almacenamiento de una unidad de datos o información. Es un procedimiento o un proceso que reduce la exposición al riesgo. : Unidades de información que pueden definirse con precisión; desde el punto de vista técnico, los datos son las materias primas que al ser procesadas dan lugar a la información. : Son aquellos datos originales que fueron utilizados para dar inicio a la información. : Forma en la cual se inscribió la transacción original; son formas de documentos fuente los pedidos, pagarés, solicitudes, etc. : Cifrar la información con fines de seguridad; el cifrado transforma los códigos digitales estándar en códigos especiales que son transmitidos a través de un canal de comunicaciones. : Tipo, modelo, patrón. Todos los sistemas tienen niveles aceptables de desempeñ~ denominados estándares y contra los cuales se comparan los niveles de desempeño actuales. : La posibilidad de que alguna cosa sea llevada a cabo. La posibilidad de que un sistema sea de utilidad para una· organización. : Cualquier dispositivo microelectrónico que contrasta con el software, constituido por las instrucciones que indican ala computadora que hacer. La maquinaria, el CPU y todos los periféricos. 4 Interfaz Lenguajes Mecanizar Medios de Almacenamiento Password Recurso Registro Riesgo Auditoria de Sistemas • Parte 1 : Interconexión entre elementos de hardware y software y seres humanos; las interfaces de hardware son trayectorias físicas que deben conectar e intercambiar señales electrónicas en un orden preestablecido. Las interfaces de software están constituidas por los mensajes específicos establecidos entre los programas. : Lenguaje de programación; lenguaje de desarrollo de programas de aplicación que puede referirse a cualquier lenguaje convencional de programación. : Sustitución de operadores manuales por sistemas de cómputo. : Dispositivo en el que pueden introducirse datos, que puede retenerlos y del cual pueden recuperarse posteriormente. En sentido general, cualquier dispositivo capaz de aceptar datos, retenerlos durante un período indefinido de tiempo y facilitarlos previa petición. : Palabra clave, tiene como finalidad restringi,r el acceso a un programa, archivo, terminal, sistema, etc. : Acción y efecto de recurrir. Medio a que se· recurre para algo. Un recurso se define como algo tangible, de valor que es usado durante los procesos y que puede estar expuesto a amenazas. : Grupo de campos de datos relacionados; un registro es un conjunto de datos y de información sobre un sujeto o tema. Es un resultado desfavorable que trae como consecuencia pérdidas de tipo cualitativo o cuantitativo. 6 Sistemas Abiertos Software Usuario Auditoría de Sistemas • Parte 1 : Son aquellos que interactúan con su medio ambiente. Reciben entradas y producen salidas. : Instrucciones de computadora; los conjuntos de instrucciones constituyen el software. : Cualquier persona que utilice la computadora; generalmente el término usuario se refiere a las personas que no pertenecen al personal técnico y que proporciona entradas y reciben salidas de la computadora. 6 CAPITULO 2 INTRODUCCION • PARTE 1 2. INTRODUCCION • PARTE 1 Basta con observar el me~io en el que se desarrolla la sociedad moderna para darse cuenta de que la computadora se ha convertido en una herramienta indispensable en el desarrollo de cualquier actividad. La veloc,idad con la que se realizan las transacciones y el grado de complejidad que estas han alcanzado han impulsado al hombre a buscar la mejor forma de administrar sus recursos. En tan solo dos generaciones, la computadora a alterado de manera palpable la estructura y funciones de la mayoría de las organizaciones. Esta tecnología ha vuelto obsoletos muchos de los métodos que se utilizaban para manejar, controlar y verificar la información y procedimientos de la organización. Estos aspectos también han traído una serie de nuevos problemas que deben afrontarse con el fin de lograr maximizar el potencial que tienen las computadoras. En lo que se ha dado por llamar centros de cómputo, áreas de informática, departamentos de procesamiento electrónico de datos y otros tantos nombres, han surgido una serie de aspectos que deben observarse con cuidado. A manera de ejemplo puede mencionarse: es latente la falta de una adecuada organización que permita avanzar al ritmo de las exigencias de las . Auditoria de Sistemas • Parte 1 8 organizaciones; a esto puede agregarse la situación que presentan los nuevos equipos en cuanto a sistemas, software, hardware, etc. Todo esto combinado con la necesidad de una eficiente planeación estratégica y corporativa de las organizaciones y una descentralización de equipos y centralización de la información, a provocado que la complejidad de las decisiones y las dimensiones de los problemas en cuanto a la mejor forma de organizar el área de informática, requieran aplicar técnicas modernas de control y administración. Como resplJesta a esta situación surge la disciplina conocida como "Auditoría de Sistemas", la que trata de incorporar a personal con conocimientos tanto de computadoras como de principios de control. La necesidad crítica de auditores . de sistemas junto con la complejidad e importancia de sus responsabilidades, presentan a los auditores un reto difícil. Deben tener profundos conocimientos • en computación y mantenerse al paso con los desarrollos de tecnología en equipo, comunicaciones y software. Deben estar en capacidad de utilizar las ultimas metodologías en cuanto a auditoría. Y deben establecer y mantener relaciones efectivas de trabajo con la alta gerencia, el usuario y el personal de sistemas. La auditoría de sistemas ha ido cobrando auge en los últimos años gracias a los esfuerzos de distintas organizaciones internacionales de Auditores que se dedican a esta rama de la disciplina. Es cada vez más frecuente encontrar Auditoria de Sistemas • Parte 1 9 organizaciones norteamericanas y europeas que cuentan con su propio auditor de sistemas. En El Salvador, aún no s~ ha propagado de la misma forma que en otros países. Más aún, no se cuenta con un programa formal para la capacitación de este tipo de profesionales, y las Universidades, Colegios Profesi_onales y firmas de Auditoría solo cuentan con aspectos de carácter introductorio a la disciplina . . , Por todo lo anterior, el presente trabajo de graduación pretende incursionar en la rama de Auditoría de Sistemas como un intento de brindar un poco más de información a todo aquel interesado en investigar sobre el tema. Al mismo tiempo, presentar a la Universidad Don Bosco con una herramienta que le permita lograr una mejor utilización de sus recursos de informática. Auditoria de Sistemas • Parte 1 10 CAPITULO 3 ASPECTOS GENERALES DE SISTEMAS 3. ASPECTOS GENERALES DE SISTEMAS Antes de poder hablar de lo que es Auditoría de Sistemas (ADS), es necesario exponer una serie de términos que están de una forma u otra relacionados con esta disciplina. Cuando se habla de ADS se hace referencia a sistemas, esta palabra en si podría ser tema de discusión por si sola. Este trabajo se limita a hacer algunas observaciones al respecto para dejar claro el ambiente en que se desenvuelve laADS. 3.1 DEFINICION DE SISTEMAS En la actualidad, se pueden encontrar una gran cantidad de definiciones para la palabra sistema. Se ha vuelto tan común que a cualquier proceso en que interactúan varias partes nos da por llamarle sistema lo cual dista mucho de ser la realidad, lo que se podrá comprender mejor cuando se estudien las diferentes definiciones. En el diccionario Larousse se encuentra las siguiente definición: "Combinación de partes reunidas para obtener un resultado o formar un Auditoria de Sistemas • Parte 1 12 conjunto". Esta no parece ser la mejor de las definiciones ya que según este concepto, un pastel de manzana podría ser un sistema. El Sr. Alan Freedman lo define en su glosario de computación como: "Conjunto de componentes y eventos relacionados que interactúan unos con otros para ejecutar una tarea". En su libro "Análisis y Diseño de Sistemas de Información", James Senn dice: "En el sentido más amplio, un sistema es simplemente un conjunto de componentes que interactúan para alcanzar algún objetivo". Después de estudiar varias definiciones, una de las que más se acerca a abarcar todo lo que caracteriza a un sistema nos la dan Robert G. Murdick • y John C. Munson: "El sistema es un conjunto de elementos organizados que s_~ encuentran en interacción, que buscan una meta o metas comunes, operando para ello sobre datos o información sobre energía o materia u organismos en una referencia temporal para producir como salida información, energía, materia u organismos". Auditoría de Sistemas • Parte 1 13 3.2 CARACTERISTICAS DE LOS SISTEMAS Para que un sistema pueda tener un rendimiento que cumpla con todos los requisitos espera~os, es necesario que cumpla con una serie de características cuya descripción se expone a continuación. a) Todo sistema debe de estar compuesto de una entrada que puede ser todos aquellos materiales, personal y conocimientos necesarios para poder producir lo que se desea; un proceso donde se realice la transformación de los componentes y la comparación con el medio; y comp último la salida donde se muestre el producto terminado. b) Debe existir una retroalimentación que sirva como reajuste o readecuación al sistema. c) Los sistemas deben ser abiertos para poder soportar cualquier cambio . . que pueda tener el medio ambiente. d) Debe existir un modelo de control que indique que el sistema se desenvuelve en la forma esperada. Auditoria de Sistemas • Parte 1 14 e) Sus partes deben de interactuar entre si sin perder su independencia. 3.2.1 ELEMENTOS DE UN SISTEMA A continuación se presenta la descripción de los elementos de un sistema y seguidamente una representación gráfica (gráfica . No. 1) del funcionamiento del mismo . . , Entrada: es lo que se alimentará al sistema para que sea transformado; podrían ser insumos provenientes de otro sistema o simplemente entradas crudas o en bruto por ejemplo materia prima, dinero, energía o información. • Proceso: es el mecanismo que se encargará de transformar las entradas para producir un producto final, maquinaria, el cerebro humano, una computadora. Salida: Es el resultado del proceso, puede decirse que es el objetivo del sistema. Esta podría ser productos o servicios y dados casos ser un producto intermedio que sirva de entrada a otro sistema. Auditoria de Sistemas • Parte 1 15 Control: Es el encargado de planificar, controlar y guiar el funcionamiento del sistema. Se encarga de vigilar por que el sistema cumpla con los objetivos esperados. Retroalimentación: Es la que se encarga de comparar el sistema con los estándares establecidos y administrar la información necesaria para que el sistema pueda ser reajustado para mejorar su desempeño. Debe entenderse por estándares, el establecimiento de normas y políticas bajo las cuales se desempeña el sistema. Son aquellos aspectos que rigen y determinan la forma en que debe funcionar un determinado sistema o subsistema. Medio Ambiente: Es el entorno en el cual se desenvuelve el sistema. Es • todo aquello externo al sistema que de alguna u otra forma afectan el funcionamiento del mismo. Auditoría de Slste!fla& • Parte 1 16 MEDIO AMBIENTE Retroalimentaci_61 l3etroalimentación .. Control ..... .. Señales Señales de Control o de Control ~· ü ,. ~ Entrada ~ Proceso f-+ Salida f-+ - Fronteras del Sistema OTROS SISTEMAS Gráfica N!! 1 3.3 CICLO DE VIDA DE LOS SISTEMAS Este inicia siempre que se pone en marcha un nuevo sistema y se ve afecta<:fo cuando el sistema es modificado. Para su mejor entendimiento, puede definirse como un conjunto de actividades que se deben de llevar a cabo para desarrollar y poner en marcha un sistema y su duración dependerá de la naturaleza y de la utilización que este reciba. Auditoria de Sistemas • Parte 1 17 DESARROLLO DE SOLUCIONES PARA SISTEMAS INFORMACION Gráfica N2 2 El ciclo de vida de los sistemas puede desglosarse en una serie .de actividades específicas (gráfica No. 21. Dado que el enfoque de este trabajo no es el análisis de sistemas en sí, el ciclo de vida de los sistemas se ha agrupado en un conjunto de actividades concretas y resumidas que se describen a continuación. Auditoria de Sistemas • Parte 1 18 3.3.1 .,INVESTIGACION DE SISTEMAS La investigación es la primera actividad en el proceso de desarrollo de sistemas. Esta se inicia cuando existe un requerimiento de sistema para resolver una problemática específica. 1. 2. 3. Planeación del Sistema y Selección Estudio de Factibilidad Reporte de Factibilidad 3.3.2 ANALISIS Estudio de la organización para detectar y seleccionar el desarrollo de sistemas potenciales, incluyendo aquellos generados por procesos formales de planificación de sistemas. Se debe hacer una determinación de las necesidades del usuario final. Se debe determinar la factibilidad de desarrollar nuevos sistemas o mejorar los existentes para satisfacer dichas necesidades. Se desarrolla una • planificación del proyecto. Se documentan y comunican los resultados del estudio de factibilidad a los usuarios y la gerencia. Esta fase se puede considerar como una extensión del estudio hecho en la etapa anterior. Se utilizarán algunos de los métodos para recolectar información usados en la investigación pero en esta etapa el estudio será Auditoria de Sistemas • Parte 1 19 mucho más profundo y detallado, procurando determinar los requerimientos del sistema. 1. 2. 4. Análisis del medio ambiente organizacional Análisis de los sistemas existentes Análisis de los requeri­ mientos del sistema Requerimientos del 'sistema. 3.3.3 DISEÑO Se analizan las necesidades de información del usuario final incluyendo sus subsistemas y sistemas del medio ambiente. Se analizan los recursos, productos y actividades de cualquier sistema utilizado actualmente. Se determinan las capacidades del sistema de información que cumplirán con las necesidades del usuario final. Documenta la entrada lógica, proceso, salida, almacenamiento y los requerimientos de control de un sistema de información nuevo o existente. En la etapa de diseño se especifica como el sistema cumplirá con los objetivos esperados satisfaciendo las necesidades planteadas en la etapa de análisis. Esta consiste tanto del diseño lógico como del diseño físico los cuales producen las especificaciones del sistema, satisfaciendo los requerimientos del mismo especificados en la etapa de análisis. Auditoría de Sistemas • Parte 1 20 1. 2. 3. Diseño Lógico Diseño Físico Especificaciones de Sistemas 3.3.4 IMPLEMENTACION Se desarrollan especificaciones generales de como la entrada, proceso, salida, almacenamiento y control de actividades cumplirán con los requerimiento desarrollados en la etapa de análisis. Se desarrollan especificaciones detalladas para las interfaces del usuario y los métodos, estructuras de base de datos, y procedimientos de proceso y control. También se especifica equipo y software y especificaciones de personal Se documentan y comunican las especificaciones detalladas del sistema propuesto para el usuario final. Esta actividad envuelve el equipo, el software desarrollado, prueba de • programas y procedimientos, desarrollo de documentación y una variedad de actividades de instalación según se detalla a continuación. 1. Adquisición 2. Desarrollo de software 3. Entrenamiento Auditoria de Sistemas • Parte 1 Evaluación y adquisición del equipo necesario y el software requerido. Se desarrollan los programas que no sean adquiridos externamente como paquetes. Educar y capacitar a todo aquel personal que hará uso del sistema. 21 4. Prueba 5. Documentación 6. Conversión 3.3.5 MANTENIMIENTO Se probará y se harán las correcciones necesarias a los programas procedimientos y al equipo a utilizar. Se registrarán y comunicarán las especificaciones detalladas del sistema, incluyendo los procedimientos para el usuario final y el personal de operación, y ejemplos de las entradas, salidas y reportes. Se hará la conversión del sistema existente a un sistema nuevo o mejorado. Esto puede involucrar la operación paralela de los dos sistemas por un período de prueba. Esta etapa incluye el monitoreo, evaluación y modificación de un sistema • para hacer las mejoras deseadas o necesarias. Podría incluir un proceso de revisión de una post-implementación para asegurar que el nuevo siste111.a cumple con las necesidades y objetivos establecidos para este. Los errores del desarrollo o uso de un sistema se corrigen en la etapa de mantenimiento. En esta etapa también se incluyen modificaciones debido a cambios en el medio ambiente. Auditoria de Sistemas • Parte 1 22 3.4 SISTEMAS DE INFORMACION Al analizar las varias definiciones que existen de sistema, todo parece indicar que al referirse a un sistema es necesario y casi indispensable asignarle un calificativo que indique a que tipo de sistema se esta haciendo referencia. Así pues se puede hablar del sistema nervioso o del sistema bancario, los cuales a pesar de no tener mucho en común siguen siendo buenos ejemplo~ de lo que es un sistema. Ahora, es muy común escuchar la palabra sistemas. y automática pero erradamente se relaciona su significado con la informática. Dado este mal habito, se ha considerado conveniente hablar un poco de lo ' ' que son sistemas de información que son en sí el medio ambiente en que se desarrolla este trabajo de graduación. Por ello, quizás antes convenga menci9nar que se entiende por informática. En una conferencia presentada en diciembre de 1983 en la Universidad Autónoma de México se presento el siguiente análisis: "No existe una sola Auditoria de Sistemas • Parte 1 23 concepción acerca de lo que es informática; etimológicamente, la palabra informática, deriva del francés informatique. Este neologismo proviene de la conjunción de information (información), y automatique (automática). Su creación fue estimulada por la intención de dar una alternativa menos tecnocrática y menos mecanicista al concepto de proceso de datos". Antes de esta conferencia se habían dado una serie de definiciones para lo que es la informática sin que alguna de ellas fuera aceptada como única o estándar, pero para efectos de dirigir la investigación se tomará como valedera la siguiente: Ciencia del tratamiento automático y racional de la información. Sistemas de Información Debido a la amplia gama de sistemas existentes en la vida cotidiana, como los ya ejemplificados, es conveniente aclarar que el enfoque de este estudio esta dirigido a lo que se conoce como sistemas de información. Para ello se debe tener claro que es información. Este es un concepto tan común, que pocas veces se repara en su importancia. No se puede decir que la información son datos, porque estos por si solos no son más que símbolos sin sentido. La información es un conjunto de datos que Auditoría de Sistemas • Parte 1 24 colocados en forma lógica, clasificados y ordenados tienen el fin de alcanzar un objetivo. Conociendo los conceptos de sistema e información, se puede establecer una relación y lograr una definición para lo que es un sistema de información: Es una recolección de recursos, mecanismos y procedimientos relacionados entre si e interdependientes que absorben datos, los transforman y distribuyen información en una organización. 3.4.1 TIPOS DE SISTEMAS DE INFORMACION Para poder satisfacer las diversas necesidades que se le presentan a una empresa, se ha hecho necesario el desarrollo de diferentes tipos de sistemas de información, entre los que se pueden mencionar: • Sistemas de Procesamiento de Transacciones (SPT) Estos se encargan de realizar las labores diarias de la organización. La mayor parte de los procesos de operación que ayudan a un mejor manejo de las transacciones están contenidos en los programas desarrollados en el área de cómputo y servirán para controlar la entrada de datos, el procesamiento y almacenamiento y presentación de la información final. Dentro de sus características se pueden mencionar: la Auditoría de Sistemas • Parte 1 25 de datos, el procesamiento y almacenamiento y presentación de la información final. Dentro de sus características se pueden mencionar: la sustitución de procedimientos manuales por los computarizados; se relacionan con procesos de rutina bien estructurados y toman en cuenta aplicaciones para el manejo de registros. • Sistemas de Información Gerencial (SIG) Estos están dirigidos a la toma de decisiones, lo que implica al área gerencial, y toda la información que se necesita puede ser obtenida ya sea de los datos de las transacciones o información que se genere dentro o fuera de la empresa. Esta información se presenta en formatos prediseñados con anticipación. Al igual que los SPT poseen una serie de características de las cualés se pueden mencionar: facilitan la información necesaria que será utilizada en los procesos de decisión administrativa; se relacionan con el soporte de situaciones de decisión bien estructuradas y pueden lograr adelantar los requerimientos de información más frecuentes. Auditoría de Sistemas • Parte 1 26 • Sistemas para el soporte de decisiones (SSD) Tiene como objetivo brindar ayuda cuando se presenta el problema de la toma de decisiones, es decir, contribuyen a determinar que información es la que debe ser elegida. Por lo general, las decisiones que deben tomarse no suelen repetirse debido a la diferencia de factores para una misma situación en dos momentos diferentes, por ello, estos sistemas de soporte ayudan a los directivos a tomar decisiones no muy estructuradas. Las decisiones son consideradas no estructuradas cuando para tomarlas no existen procedimientos claros y resulta difícil identificar los factores que deben ser considerados en la decisión. Las características principales de este tipo de sistemas son: proporcionan toda la información necesaria para poder tomar decisiones sobre situaciones particulares y brindan un soporte a la toma de decisiones en aquellas situaciones que no están bien estructuradas. Auditoria de Sistemas • Parte 1 27 CAPITULO 4 ASPECTOS GENERALES DE AUDITORI-A 4. ASPECTOS GENERALES DE AUDITORIA Luego de haber expuesto lo que comprende todo lo relacionado con sistemas y especialmente los de información, se debe cubrir otro aspecto que es de mucha importancia para poder posteriormente incursionar en lo que es ADS, ello es el término de Auditoría. Se tratará de ser lo más general posible, ya que en la actualidad la auditoría se aplica a varias áreas de la empresa, de esa forma se tienen auditorías operacionales, administrativa, financiera, de sistemas, etc. 4.1 HISTORIA DE LA AUDITORIA Se ha podido investigar a través de estudios hechos por historiadores que el registro de operaciones se origino aproximadamente 4,000 años A.C., cuando civilizaciones antiguas en el cercano Oriente empezaron a establecer gobiernos organizados y consecuentemente negocios. Desde el principio, el gobierno estuvo interesado en la contabilización de desembolsos y recolección de impuestos. Una parte integral de este interés fue el establecimiento de controles incluyendo auditorías, para reducir errores y fraude por parte de los oficiales a cargo. Varias formas Auditoria de Sistemas • Parte 1 29 modernas de control interno se describen en la Biblia, la cual encierra un período desde los años 1,800 A.C. hasta el 95 D.C., y la explicación de la lógica en el establecimiento de controles (si los empleados tienen una oportunidad de robar, seguramente le sacaran ventaja) refleja el mismo escepticismo profesional esperado de los auditores en esta época. El sistema de contabilidad establecido por el gobierno de la dinastía Zhao (1,122-256 A.C.) en China incluía procesos complicados de presupuestos y auditoría para todos los departamentos del gobierno. En el siglo V A.C. en Atenas, la Asamblea Popular controlaba la recepción y distribución de fondos públicos. El sistema de finanzas públicos incluía Auditores de gobierno quienes examinaban los registros de todas las gobernaciones al vencimiento de sus períodos. En el sector privado los administradores de propiedades solían realizar auditorías de sus contabilidades. Las finanzás públicas en el Imperio Romano estaban bajo el control del Senado y la contabilidad pública era examinada por un equipo de auditores examinado por el tesorero. Los Romanos mantuvieron segregación de tareas entre los oficiales que autorizaban impuestos y gastos y aquellos que manejaban recibos y pagos, y al igual que los Griegos llevaban un sistema elaborado de cheques y contracheques. Auditoria de Sistemas • Parte 1 30 Dentro de los registros más antiguos de contabilidad y auditoría (países Anglosajones) se encuentran los de "Exchequers of England and Scotland", que datan de 1,130. Hay referencias de auditores y auditorías . tanto en Inglaterra como en Italia y un trabajo Francés en la administración de propiedades escrito en el mismo siglo que recomienda una auditoría anual para la contabilidad. La ciudad de Londres cuenta con registros de auditoría desde inicios de los 1,200's, y a inicio del siglo XIV los auditores formaban parte de los oficiales de gobierno. Desde esa época se cuenta con bastante evidencia de que el valor de la auditoría era ampliamente reconocido y que la contabilidad de las municipalidades, propiedades privadas y cofradías eran auditadas regularmente. Las primeras auditorías en Gran Bretaña eran de dos tipos: Las auditorías de ciudades y pueblos eran realizadas en forma pública ante oficiales del gobierno y ciudadanos y consistían en la lectura de la contabilidad por el tesorero para ser analizadas por los auditores. Similarmente la auditoría de las cofradías era realizada ante una audiencia de sus miembros. A mediados del siglo XVI los auditores de las ciudades firmaban las contabilidades anteponiendo frases como "Escuchadas por los auditores firmantes". Los primeros reportes de auditoría se conocían como "Certificados de Auditoría". El segundo tipo de auditoría involucraba una examinación detallada de los "Cargos y Descargos" de las cuentas Auditoria de Sistemas • Parte 1 31 mantenidas por los oficiales financieros, seguida de una II Declaración de Auditoría 11 , que era un reporte oral ante el señor de los bienes y el Consejo. Típicamente, el auditor era miembro del Consejo de Propiedades y fue el precursor del Auditor Moderno. Ambos tipos de auditorías realizadas en Gran Bretaña antes del siglo XVII estaban dirigidas primordialmente a asegurar la contabilidad de los fondos confiados a los oficiales públicos o privados. Esas auditorías no estaban diseñadas para evaluar la calidad de las cuentas, excepto cuando las inexactitudes apuntaran a la existencia de un fraude. Los cambios económicos entre 1,600 y 1,800 que vieron el crecimiento de ciudades, la transformación de cofradías en industrias y el inicio del comercio internacional, introdujeron nuevos enfoques de contabilidad. Estos estaban orientados al registro de propiedades y el cálculo de ganancia's y pérdidas en el sentido de negocio. La auditoría también inició una transformación de un proceso de audiencia a una examinación minuciosa de registro escritos y la prueba de evidencias. A finales del siglo XVII se estableció la primera ley (en Escocia) que prohibía a algunos oficiales de servir como auditores públicos introduciéndose así al mundo Occidental la noción moderna de independencia del auditor. Auditoría de Sistemas • Parte 1 32 A pesar de estos avances en la práctica de auditoría no fue sino hasta mediados del siglo XIX (con la construcción de ferrocarriles y el crecimiento de compañías de seguros, bancos y empresas de inversión) que el auditor profesional se convirtió en parte importante del mundo de los negocios. La industria ferrocarrilera de los Estados Unidos fue una de las primeras en contratar Auditores Internos. Para finales del siglo XIX los llamados auditores viajeros visitaban diferentes empresas para evaluar la administración de la contabilidad y el registro de ganancias bajo sistemas de reportes. 4.2 CONCEPTOS DE AUDITORIA En primer lugar se dice que la palabra Auditoría viene del Latín Auditorius y de ésta proviene Auditor de la cual se dice que poseen la virtud de escuchar y revisar cuentas y cuyo objetivo específico es el de evaluar la eficiencia y eficacia con que se opera. Hay muchos que entienden incorrectamente este término y lo consideran como aquel encargado de detectar errores y señalar fallas; Auditoría en si posee un concepto más amplio ya que además de señalar y detectar errores se encarga de llevar a cabo un examen detallado de lo que una Auditoría de Sistemas • Parte 1 33 sección u organización realiza, para que . posteriormente tengan un funcionamiento acorde a lo que se desea. A lo largo de el tiempo se han venido dando muchas definiciones sobre lo que es Auditoría y con el transcurso del tiempo éstas se han venido mejorando debido a la gran utilidad que esta actividad brinda. De acuerdo ~ a la investigación realizada se han elegido varias definiciones de Auditoría para sacar provecho de la esencia de cada una. Según el Boletín "C" de Normas de Auditoría del Instituto Mexicano de contadores se define como aquella actividad que no es meramente mecánica en la cual se incluyen ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carácter indudable. La auditoría requiere • el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben de seguir y estimar los resultados obtenidos. Para Kell Ziegler y su libro Auditoría Moderna, la Auditoría es el proceso sistemático donde se obtiene y evalúa la evidencia de una manera objetiva respecto a las afirmaciones concernientes a actos económicos y eventos para determinar el grado de correspondencia entre estas afirmaciones y criterios establecidos y comunicar los resultados a los usuarios interesados. Auditoria de Sistemas • Parte 1 34 4.3 TIPOS DE AUDITORIAS Con el correr del tiempo la Auditoría a venido dando cambios en cuanto a como dar un control más adecuado a todas las operaciones que se realizan dentro de una organización o Empresa. Es por esto que se ha hecho necesario que la Auditoría sea clasificada en diferentes tipos, para que a partir de ésta, sus procesos de ejecución sean más ordenados y fáciles de controlar: 1- Auditoría Financiera 2- Aud!toría Operacional 3- Auditoría Administrativa 4- Auditoría de Sistemas 1- AUDITORIA FINANCIERA Como propósito y finalidad de esta Auditoría se puede mencionar el dar confianza a los interesados en la información financiera. Con esta finalidad el Auditor se prepara, a través del examen de los estados financieros, para expresar su opinión profesional sobre la razonabilidad con que éstos presentan los resultados de la gestión ejercida por los directores. Auditoría de Sistemas • Parte 1 35 Este tipo de Auditoría tiene como objeto de examen los estados financieros, los registros contables y documentos que soportan la información contenida en los primeros y que reflejan el efecto de las operaciones y transacciones financieras realizadas por la empresa en un período determinado. Con el propósito de especificar la naturaleza, el alcance y la oportunidad de los procedimientos de auditoría aplicables en su examen, el Auditor evalúa el control interno financiero haciendo énfasis en dos de sus objetivos: que proporcione información constante, completa y oportuna y que sirva de protección a los activos de la empresa. ~ . 2- AUDITORIA OPERACIONAL Esta Auditoría persigue favorecer a los directores en el ejercicio de una gestión administrativa más eficaz, con la consecuente obtención de resultados más beneficiosos; es decir, examina la causa de los resultados y no los resultados mismos. En este caso el Auditor se prepara a través del examen de la superaciones, para verificar el logro de objetivos y el cumplimiento de políticas y procedimientos, y para recomendar mejoras en las operaciones en términos de eficiencia y eficacia. Auditoria de Sistemas - Parte 1 36 El objetivo de realizar una auditoría operacional es evaluar: procedimientos de operación, métodos de control y manejo dé recursos, cuyo desarrollo constituye la causas de los resultados obtenidos por la empresa en un período determinado. El Auditor Operacional centra su atención en el examen del control interno, no solo del área financiera sino de todas las áreas y hace énfasis en la promoción de eficiencia de operación y en el cumplimiento de la política establecida. 3- AUDITORIA ADMINISTRATIVA Esta Auditoría examina los métodos administrativos y la eficacia de . todas las funciones y operaciones de la empresa, con la finalidad de evaluar la capacidad administrativa en todos los niveles jerárquicos de la organización. La Auditoría Administrativa evalúa los métodos administrativos y de operación, y examina la administración de las operaciones, no solo con referencia a la función de control, como lo hace la auditoría operacional, sino también a las otra funciones de planeación, organización, dirección y ejecución; es decir, examina el proceso Auditoría de Sistemas • Parte 1 37 administrativo en conjunto, abarcando las funciones y operaciones ya sea parcial o integralmente, y en todo caso incluyendo personas y/o departamentos en todo los niveles jerárquicos. En la Auditoría Administrativa se adquiere el compromiso de solucionar ~ los problemas detectados y de ejercer labor de seguimiento posterior a la implantación de las soluciones, con el objeto de asegurar una mejor gestión administrativa de los directores. 4- AUDITORIA DE SISTEMAS No se da una explicación de esta disciplina ya que es el objeto de estudio del presente trabajo de graduación y se explica con mayor detalle a lo largo de éste. 4.4 TIPOS DE AUDITORES De acuerdo a la necesidad que una empresa requiera en cuanto a auditar ~ actos y eventos económicos, existen en el medio grupos de personas que se encargan de llevar a cabo la Auditoría, estos dependiendo a lo que realicen se pueden clasificar en: Auditoria de Sistemas • Parte 1 38 - Auditores Independientes - Auditores Internos - Auditores del Gobierno - Auditores de Interés Especial AUDITORES INDEPENDIENTES Estos son los que trabajan por su propia cuenta ó trabajan como miembros de un despacho de contadores públicos. Los clientes a los que les prestan servicios, se incluyen aquellos cuyo objetivo son la obtención de utilidades, organizaciones sin fines de lucro, dependencias gubernamentales e individuos. Por el momento se dice qÚe para ser independiente, el Auditor debe de evitar opiniones o juicios hechos antes de tener un verdadero conocimiento del cliente al que se le está auditando. Para efectos de comparación y como un ejemplo de como diferenciar lo que es independencia con lo que es dependencia tomemos a un Auditor .. Independiente y a un Abogado. El Auditor siempre mantendrá lo que es su independencia al realizarle a su cliente la auditoria, mientras que el Auditoría de Sistemas • Parte 1 39 Independiente y a un Abogado. El Auditor siempre mantendrá lo que es su independencia al realizarle a su cliente la auditoria, mientras que el abogado "favorecerá" al cliente a quien le presta sus servicios legales y por lo tanto tendrá que mantener la dependencia. AUDITORESJNTERf'.'-1_0_S Estos se involucran en la evaluación de actividades independientes dentro de una organización como un servicio para esta misma. El objetivo principal es de brindarles ayuda a los administradores con respecto a la delegación de responsabilidades dentro de la organización. Se dice también que los auditores internos pueden completar el trabajo • hecho por los auditores independientes cuando se refiera a auditorías de trabajos financieros. Dentro de las características importantes que un Auditor Interno debe poseer están: de ser objetivo al realizar su trabajo y al obtener resultados informar sobre sus hallazgos. Auditoría de Sistemas • Parte 1 40 AU DIJO R Es..ESe.E.CJALES Estos se dedican a trabajar normalmente para un organismo gubernamental o para una empresa cuyo objetivo es el de una revisión contable realizada junto con el grupo que ha hecho un negocio. Dentro de este tipo de Auditores están los Auditores del Gobierno, como su nombre lo dice estos son empleados por las dependencias del gobierno ya sean locales, estatales y federales. Solamente existen 2 agencias que tienen este tipo de auditores: El U.S. General Accounting Office (GAO) y el Interna! Revenue Service (IRS). La GAO es una agencia federal de gobierno, no perteneciente a ningún • partido político responsable de realizar la función de Auditoría para el gobierno. La IRS es una agencia del departamento del tesoro que es responsable de la Administración de las leyes fiscales federales. Hasta este. momento la AGA (Asociación de Contadores de Gobierno/ Association of Gobernment Accountants) no ha extendido certificado para este tipo de Auditores, aunque la mayoría poseen títulos de contadores públicos independientes o auditores internos. Auditoría de Sistemas - Parte 1 41 CAPITULO 5 AUDITORIA DE SISTEMAS (ADS) 5. AUDITORIA DE SISTEMAS (ADS) Luego de haber incursionado en el aspecto de sistemas y de auditoria y haber dado algunas definiciones relacionadas con estos términos, se puede proceder a profundizar en lo . que será el tema principal de este estudio, la. Auditoría de Sistemas, no sin antes definir lo que se entiende por esta disciplina. 5.1 DEFINICION DE AUDITORIA DE SISTEMAS Antes d~ dar una definición de "Auditoría de Sistemas", es necesario aclarar que este término es normalmente mal utilizado pues en él se quieren encerrar una serie de actividades que no le. corresponden ,así como también se le adjudican otras para las que el término se queda corto. Se hará uso de "Auditoría de Sistemas", debido a que es lo normalmente aceptado, pero se estará hablando de "Auditoría en Informática". Investigando y analizand_o diferentes conceptos de auditoría de sistemas, se ha tomado como el más completo, el siguiente: "Es la revisión y evalua·ción de los controles, sistemas, procedimientos de informática, de Auditoría de Sistemas • Parte 1 43 - ... los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participa en el procesamiento de la información a fin de que por medio del señalamiento de distintas alternativas, se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. La auditoría de sistemas deberá comprender no solo la evaluación de los equipos de cómputo o de un sistema o procedimiento, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. Ello debe incluir los equipos de cómputo como la herramienta , que p~rmite obtener la información adecuada y la organización específica que hará posible el uso de los equipos de cómputo. Conforme la sociedad se va haciendo más compleja y su tecnología avanza a pasos agigantados, se ha visto la necesidad de crear esta nueva disciplina. Se pueden mencionar algunas de las razones por las que ha surgido este tipo de auditoría especializada: Las pistas utilizadas por la auditoría ya no son documentos visibles o físicos, sino más bien medios magnéticos. Se ve la aparición de nuevos procedimientos relacionados directamente con la "mecanización" de las transacciones en las empresas Auditoría de Sistemas • Parte 1 44 por lo que se requieren nuevos tipos de auditoría. La seguridad ñsica adquiere nuevos enfoques y se deben integrar nuevas normas de seguridad. ·~ 5.2 OBJETIVOS DE LA AUDITORIA DE SISTEMAS Para poder entender bien los objetivos de una auditoría de sistemas no se debe perder de vista lo que se espera de un Auditor de Sistemas, que puede delinearse en lo siguiente: • Qu,e pueda prevenir los riesgos posibles en el área a examinar. • Que sepa evaluar y determinar los controles necesarios, ya sean estos existentes o por implantar. • Que lleve a cabo técnicas avanzadas de Auditoría. • Que pueda interrelacionarse con las demás disciplinas de la empresa . . - • Que brinde la comunicación necesaria a la Administración, cuando ésta ~ lo solicite. Se puede entonces definir los objetivos de la Auditoría de Sistemas como sigue: Auditoría de Sistemas • Parte 1 45 O Cumplimiento de Políticas, Planes, Procedimientos, Normas y Reglamentos. La Auditoría debe revisar la existencia de cada uno de estos aspectos para lograr la integración completa del área de sistemas a través de mecanismos preestablecidos así como también el cumplimiento de los mismos, y en caso necesario mejorarlos . .,. O Salvaguardar Activos. Como puede deducirse, se debe proteger todos los activos a través de controles internos. Simultáneamente debe realizarse una evaluación de efici~ncia de todos los controles que se llevan en ese momento. Se entiende por activos de los sistemas a los equipos, aplicaciones, archivos, documentos, programas y suministros. No debe olvidarse que el activo más importante y delicado es la información. O Integridad de la Información. Toda organización debe tener siempre presente que su éxito depe~derá de la integridad de su información. Si la información que manipula una empresa no es representativa de la realidad, ésta no podrá autoevaluarse y mucho menos lograr el control de lo que ocurre dentro Auditoría de Sistemas • Parte 1 46 de ella. La integridad de la información es indispensable para el proceso de toma de decisiones. O Efectividad de los Sistemas. Se puede medir la efectividad de un sistema en la medida en que se puede medir el cumplimiento de sus objetivos y para ello es necesario estar empapado de las necesidades de los usuarios y de sistema en si. A través de la Auditoría de Sistemas es posible identificar y cuantificar la 7fectividad de un sistema, ya sea durante la etapa de desarrollo de este o después de que fue implantado. O Eficiencia de los Sistemas. Cuando se habla de eficiencia se entiende logro de objetivos con el mínimo de recursos sin ir en detrimento de los demás sistemas ni del sistema en cuestión. La medición de la eficiencia no es tan cuantificable, ni existen procedimientos específicos para determinar la eficiencia de un sistema, sin embargo, a través del uso de técnicas de auditoría se Auditoría de Sistemas • Parte 1 47 puede analizar el consumo de recursos, los tiempos de respuesta y los demás aspectos desmembrados de un sistema y concluir o recomendar soluciones y procedimientos para mejorar su eficiencia. -~ NOTA: De las definiciones del Nuevo Diccionario Español Sopena se obtiene lo siguiente: "Eficacia es virtud, activid~d, fuerza para poder obrar y Eficiencia es virtud y facultad para lograr un efecto determinado" por lo que eficacia es simplemente lograr los objetivos, mientras que eficiencia es poder lograr lo planeado con los menores recursos posibles. O Economía de los Sistemas Se logra la economía de los sistemas cuando estos están dando los • resultados deseados y para ello se ha incurrido en el menor gasto posible. 5.3 BENEFICIOS DE LA AUDITORIA DE SISTEMAS Si se hiciera una lista detallada de todos los beneficios que se obtienen de aplicar una auditoría, se podría elaborar un documento completo solo de este aspecto. Auditoria de Sistemas • Parte 1 48 Se exponen a continuación algunos de los beneficios más tangibles de la elaboración de una Auditoría de Sistemas. Una de las mayores debilidades de cualquier instalación de sistemas de información, es la cantidad de riesgos a que se ve expuesta. Dentro de estos riesgos se pueden mencionar: • Pé(dida de los activos de información • Incorrecta toma de decisiones sobre recursos de la empresa basadas en sus sistemas de información. • Posibilidad de fraude o desfalco en la organización. • Costos derivados de los errores cometidos por el sistema. • Fallas de seguridad en la información. En alguna medida, estos riesgos significan pérdida de los recursos con que cuenta una organización. La mejor forma de reducir o eliminar estos riesgos en la mayor medida posible, es el establecimiento de controles. Esto puede sin embargo, significar un incremento en los costos, sobre todo si estos controles son innecesarios, no utilizados correctamente, redundantes o excesivos. Auditoria de Sistemas • Parte 1 49 ,. Puede entonces visualizarse que uno de los beneficios de la auditoría de sistemas, es que permite el establecimiento de estos controles, evaluar el funcionamiento de los mismos y más lejos aún, presentar mejoras al sistema de control. Todo esto puede resumirse en una verdadera reducción de riesgos a los que se puede encontrar expuesta el área de informática. 5.4 APLICACIONES DE LA AUDITORIA DE SISTEMAS Dentro pe las diferentes aplicaciones que realiza la Auditoría de Sistemas, se han elegido 4 grandes áreas en las que se agrupan la mayoría de actividades relacionadas con esta disciplina. A través de estas aplicaciones se puede realizar una mejor evaluación de - todas la actividades de Informática que se realizan en una organización. , Auditoria de Sistemas • Parte 1 60 .. 6.4.1 EVALUACION DEL AREA DE INFORMATICA En ésta se procede a efectuar la inspección del lugar a través de los métodos de observación y entrevistas de fondo, del cual deberá acatar lo siguiente: Una buena Estructura Orgánica Verificar el desempeño de las funciones Revisar la situación de los recursos humanos Conocer la situación presupuesta! de la Organización 5.4.1.1 INFORMACION SOBRE LA ORGANIZACION • Después de que se han analizado y estructurado los planes de auditoría en los cuales se plantean las distintos elementos que la componen como tiempos, costos y prioridades, es necesario iniciar la recopilación de información que servirá para realizar una buena auditoría. Deberá recopilarse información de diferentes áreas y situaciones dentro de las cuales es importante mencionar: Auditoria de Sistemas • Parte 1 51 A) Estructura Orgánica. • Jerarquías • Estructura Orgánica • Funciones • Objetivos .,. B) Es necesario censar y analizar la situación de los Recursos Humanos. • Personal Disponible • Determinación de Puestos • Salarios • Capacitación • Conocimientos • Experiencia Profesional • Antigüedad • Historial de Trabajo • Movimientos Salariales • Rotación del Personal ,. Auditoria de Sistemas • Parte 1 62 C) Se entrevistará personal de Procesamiento Electrónico de Datos • Jefatura • Análisis • Programadores • Operadores • Digitadores • Personal Administrativo ~D) Deberá hacerse un análisis de los presupuestos. • Presupuestos • Recursos Financieros • Recursos Materiales • Mobiliario y Equipo E) Se debe revisar el cumplimiento de los Documentos Administrativos. • Normas y Políticas • Planes de Trabajo • Controles • Estándares • Procedimientos Audltorf a de Sistemas • Parte 1 53 La recopilación de información será útil para asentar una buena base para la realización de una auditoría. Dentro de sus usos más específicos se pueden mencionar: Determinar si las responsabilidades en la organización están definidas adecuadamente; si la estructura organizacional está adecuada a las necesidades; si se tienen los objetivos y políticas adecuadas, se encuentran vigentes y están bien definidas; si existe documentación de las actividades, funciones y responsabilidades, si los puestos se encuentran definidos y señaladas sus responsabilidades; si el nivel de salarios esta de acuerdo al mercado de trabajo; si los planes de ' trabajo concuerdan con los objetivos de la empresa; si se cuenta con los recursos humanos necesarios que garanticen la continuidad de la operación o se cuenta con "indispensables"; si se evalúan los planes y se determinan las desviaciones; etc. 5.4.1.2 ESTRUCTURA DE LA ORGANIZACION Para desarrollar una buena evaluación de la estructura orgánica es necesario solicitar lo que se conoce como manual de organización y Auditoria de Sistemas • Parte 1 54 realizar una revisión detallada del mismo, el cual deberá de estar · compuesto como mínimo de lo siguiente: - Organigrama con sus Jerarquías - Funciones - Objetivos y políticas - Análisis, descripción y evaluación de puestos - Manual de procedimientos - Manual de normas - Instructivos de trabajos ,. Una vez hecha la revisión del manual, se deberá de elaborar un cuestionario, que tendrá por objeto conocer la organización del departamento de informática y su dependencia dentro de la organización total, los cuales tendrán que ser llenados por el Jefe de Informática o por aquellas personas con un cargo de directivo. Ya que se hizo mención de la dependencia que pueda tener el área de informática dentro de la organización, se ha considerado que ésta puede ser de cuatro tipos: Auditoría de Sistemas • Parte 1 55 ,. ,. 1) Los que dependen de una dirección, por lo general de finanzas. Esto se debe a que al principio el departamento de informática se encargaba solamente de procesar información de tipo contable, financiera o administrativa, por ejemplo: facturación, nóminas, etc. Esta forma de depender de una dirección o gerencia se da normalmente en estructuras pequeñas o en aquellas que comienzan a utilizar el área de informática. Dentro de la ventaja que pueda tener este tipo de dependencia esta la no creación de una estructura adicional para el área de • informática dentro de la organización permitiéndole al que dirige el departamento, tener un mejor control de los sistemas. Su principal desventaja es que al resto del personal que labora en el departamento se le considera como secundario y no se le da la importancia ni la prioridad que estos necesitan. Otra de las desventajas es que suele suceder que el Gerente de Finanzas Auditoría de Sistemas • Parte 1 66 no tiene los conocimientos necesarios sobre informática. (Gráfica 3) 2) Los que dependen de la Gerencia General. ,,. Esta dependencia puede darse de dos formas: en línea (gráfica 4) o como asesoría (gráfica 5). La ventaja que ofrece esta dependencia es proporcionar al jefe del área de informática un mejor nivel dentro de la organización, lo que le permitirá tener una mejor comunicación con los otros departamentos y brindarles un mejor servicio con la asignación de prioridades dada por la Gerencia General. Su desventaja será el incremento de la estructura organizacional, lo que ocasionará que los costos en la utilización de los sistemas computarizados se eleven. 3) Otra de las posibilidades se presenta en estructuras de tamaño considerablemente grande, en donde se cuenta con bases de datos, redes y distribución de equipo en diferentes lugares. Auditor( a de Sistemas • Parte 1 57 .,. " En este caso, el área de informática depende generalmente de la Gerencia General o de otros departamentos de informática de menor volumen o capacidad dentro de las distintas Gerencias en la misma organización. Todas las reglas, políticas, procedimientos y estándares están dados por el área de central de informática, aunque sus funcionamientos dependan de la Gerencia General. Para estas dependencias, es necesario especificar las funciones de cada departamento para evitar que exista duplicidad de mando y duplicidad en el desarrollo de sistemas o programas. Su principal ventaja es que se puede tener centralizada la información y descentralizados los equipos, y para el logro de esto, debe existir una buena coordinación del área de informática y los departamentos que poseen una sección de informática. (Gráfica 6) Auditoria de Sistemas • Parte 1 68 GRAFICA 3 ,. GERENTE DE FINANZAS SEGUNDO NIVEL DE LA ORG. USUARIO PRINCIPAL DE INFORMATICA DIRECCION DE INFORMATICA JEFE DE OPERACION JEFE DE PROGRAMACION JEFE DE ANAUSIS OTRAS JEFATURAS ,. DIRECTOR DIRECTOR LA DIRECCION DE INFORMATICA ESTA DEPENDIENDO DE LA GERENCIA DE FINANZAS O DEL USUARIO PRINCIPAL GERENTE GENEIW. PRIMER NIVEL DE LA ORGAN. GERENTE DE VENTAS GERENTE DE P~ODUCCION DIRECTOR DIRECTOR DIRECTOR DIRECTOR DIRECTOR DIRECTOR Auditoria de Sistemas • Parte 1 OTROS GERENTES DIRECTOR DIRECTOR - DIRECTOR 69 GRAFICA 4 GERENTE DE FINANZAS . ---- DIRECTOR - DIRECTOR - DIRECTOR • LA GERENCIA DE INFORMATICA SE ENCUENTRA DEPENDIENDO DE LA GERENCIA GENERAL GERENTE GENERAL PRIMER NIVEL DE LA ORGAN. GERENTE DE INFORMATICA GERENTE DE PRODUCCION SEGUNDO NIVEL DE LA ORGANIZACION DIRECTOR - DIRECTOR ---- DE OPERACION DIRECTOR - DIRECTOR DE - PROGRAMACION . DIRECTOR ---- DIRECTOR - DE ANAUSIS - OTROS DIRECTORES Auditoria de Sistemas - Parte 1 OTRAS GERENCIAS - DIRECTOR ,__ DIRECTO~ ---- DIRECTOR 60 GRAFICA 5 GERENTE DE FINANZAS DIRECTOR DIRECTOR DIRECTOR LA GERENCIA DE INFORMATICA ESTA DEPENDIENDO DE LA GERENCIA GENERAL COMO STAFF GERENTE GENERAL PRIMER NIVEL DE LA ORGANIZ. GERENTE DE VENTAS DIRECTOR DIRECTOR DIRECTOR GERENTE DE INFORMATICA NIVELSTAFF GERENTE DE PRODUCCION DIRECTOR DIRECTOR. DIRECTOR Auditoria de Sistemas • Parte 1 OTRAS GERENC~S DIRECTOR - DIRECTOR DIRECTOR 81 LA GERENCV\ DE INFORMATICA SE ENCUENTRA DEPENDIENDO DE GERENCV\ GENERAL Y SE TIENE UNA ORGANIZACION CORPORATIVA GRAFICA 6 GERENTE DE FlNANVS DIRECTOR OTROS DIRECTORES - JEFE DE INFOR»ATICA JEFE '-- OTROS DEPARTAMENTOS - 1 GEREHT. Ct INFORw.T. PRIMER NIVEi. DE LA ORGAAIZACON DIRECTOR - DE OPERACONES DIRECTOR '--- DE - PROGRAIMCON DIRECTOR DE NlmSIS CORDl~OR DE FORANEAS OTRAS - DIRECCONES Auditoría de Sistemas • Parte 1 GERENTE GENERAL PRIMER NIVEL DE LA ORGANIZACON OWS GERENCLlS DIRECCON - JEFE DE OTROS DIRECTORES INFORMATICA -. JEFE _ OTROS DEPARTAMENTOS 1 ., 1 1 1 1 1 1 1 1 1 1 1 1 GERENTES FOPJ.NEOO DIRECCON DE INFORMATICA JEFE DE OPEAACION OTROS DIRECTORES ------· JEFE DE PROGRAMACION JEFE DE SISTEWS ----------~----·~~ OTPJS JEfi\TtruS 82 4) La última forma es la creación de una organización independiente que preste servicios de informática a varias empresas o a la misma empresa en diferentes lugares como podría ser el caso de una empresa multinacional. Dentro de la Estructura de la Organización existen diferentes aspectos que deben tomarse en cuenta al momento de realizar una auditoría. a) Estructura Orgánica Aquí se analizan situaciones relacionadas directamente con la forma en que está estructurada la organización. Se deben considerar los aspectos legales o jurídicos y verificar si la estructura de la organización se ajusta a las disposiciones jurídicas vigentes. Se deben conocer los niveles jerárquicos para poder evaluar si son los necesarios y si están bien definidos. Auditoria de Slstem.as • Parte 1 63 ,. Se debe considerar la departamentalización, y constatar si los departamentos, áreas y oficinas en . que esta dividida la organización son los adecuados. Se deben definir correctamente los puestos y las funciones de cada uno de ellos para evitar la confusión al momento de dar los nombres a los puestos en el área de informática. Es necesario verificar que se están cumpliendo las expectativas establecidas. En esta sección se pueden detectar deficiencias y frustraciones del personal. Un aspecto muy importante es definir las líneas de autoridad y verificar si esta está de acuerdo a las responsabilidade·s asignadas. b) Funciones Es frecuente encontrar que las funciones en el área de informática difieren de un organismo a otro a pesar de que se designen con nombres iguales. Auditoria de Sistemas • Parte 1 64 ,. Primeramente se debe establecer la existencia de funciones en el área, si están documentadas y autorizadas. Las funciones deberán estar encaminadas a la consecución de objetivos y acordes al reglamente interno. Se debe velar por que las funciones establecidas sean cumplidas a cabalidad y que se realicen las actividades determinadas para cada una de ellas. Es necesario determinar si para el cumplimiento de las funciones se debe contar con el apoyo de otras áreas y tener el cuidado suficiente para evitar la duplicidad de funciones. c) Objetivos Un aspecto muy importante es el establecimiento de objetivos y la correcta comunicación de los mismos entre el personal involucrado. La falta de estos puede provocar un desajuste en la planeación. Auditoria de Sistemas • Parte 1 65 Como primer paso se debe verificar la existencia de los objetivos para cada área los cuales deberán ser congruentes con los objetivos de las demás áreas de la organización. El establecimiento de objetivos debe realizarse de manera formal, por escrito, de forma sencilla y clara y deben ser específicos evitando ambigüedades. Deben de hacerse del conocimiento del departamento y de aquellas personas encargadas de verificar su cumplimiento. Los objetivos deben ser los adecuados, tratando de abarcar toda la operación del área, deben ser realistas y ante todo alcanzables, de acuerdo a las funciones del área y deben servfr como guía y motivación para el personal. No solo será necesario verificar su cumplimiento sino establecer mecanismos para poder conocer o medir en que forma se están cumpliendo y en donde están fallando. Auditoría de Sistemas • Parte 1 66 Los objetivos de una organización deberán ser revisados y mantenerse actualizados. Al mismo tiempo que sean rígidos deberán tener cierto grado de flexibilidad para permitir la incorporación de modificaciones. d) Análisis de Organizaciones ,. ,. Existen en la informática diferentes formas de establecer las funciones de esta área. Por ejemplo, en una organización pueden considerarse algunas funciones propias de un programador mientras que en otra organización, las mismas funciones serán asignadas a un analista, o podría existir una división de niveles para las funciones: Programador 1, Programador 11, Programador 111. Al no existir una definición estándar de los niveles, funciones y conocimientos en el área de informática, se obtiene como resultado que en las organizaciones se den diferentes tipos de nombramientos que en. muchos casos son erróneos. Por ejemplo se encuentran en las organizaciones Ingenieros en Sistemas sin haber obtenido el grado académico. O también Auditoría de Sistemas • Parte 1 67 ~ existen una serie de escuelas "técnicas" que confieren grados académicos que no son reconocidos oficialmente. Por ello es necesario que la auditoría tome en cuenta de que forma se analizarán las funciones y cual será el procedimiento de evaluar al personal que ingrese a los diferentes niveles de la organización. Debe contarse con un organigrama de la organización, y en caso de que no exista, el auditor deberá recomendar la elaboración de uno y dar algunos lineamientos guía para una buena estructuración del mismo. Cuando se realiza un estudio de la estructura orgánica, se • deben tomar en cuenta una serie de aspectos para la asignación de tareas a cada puesto: Existen líneas de autoridad justificadas? Hay una extralimitación de funciones? Hay demasiada supervisión de funcionarios? Es excesiva la supervisión en general? Hay uniformidad en las asignaciones? Auditoria de Sistemas • Parte 1 88 5.4.1.3 RECURSOS HUMANOS Dado que este ~s uno de los recursos más valiosos de cualquier organización, debe tenerse especial cuidado en la evaluación de esta área. Se debe recabar información sobre la situación del .~personal, y algunos de los aspectos que deben considerarse son los siguientes: • Desempeño y comportamiento • Condiciones de trabajo • Ambiente • Organización en el trabajo • Desarrollo y motivación • Capacitación • Supervisión Estos aspectos, por mencionar algunos, involucran una serie de actividades que deben ser controladas: Se cuenta con el personal suficiente para el desarrollo de funciones y es este personal el .. idóneo, capacitado, eficaz. Auditoria de Sistemas • Parte 1 69 .,. La capacitación es un aspecto muy importante dentro del área de informática debido al constante cambio; se debe incluir dentro de los programas de capacitación los siguiente: dirección, análisis, programación, operación, administración, digitación, etc. Las condiciones de trabajo deben de tenerse siempre presentes para aumentar la productividad del personal. Uno de los puntos más difíciles en una organización es la remuneración al personal. Normalmente, el personal esta inconforme con su remuneración o en todo caso desearía que esta 1 . '"fuese mejor. Debe analizarse si esta situación se debe a conflictos externos a la remuneración en si así como también se debe mantener una competitividad salarial en cuanto al medio externo'. No siempre las remuneraciones son en el aspecto dinero, pueden darse otro tipo de beneficios. Relacionado con las condiciones de trabajo esta el ambiente de trabajo el cual es particularmente importante en el área de informática para poder obtener un adecuado desarrollo de sistemas. Se debe considerar si las condiciones ambientales son Auditoria de Sistemas • Parte 1 70 adecuadas con respecto a: espacio del área, iluminación, ventilación, equipo, mobiliario, ruido, limpieza, instalaciones sanitarias, instalaciones de comunicación, etc . .. Por último pero no menos importante debe de tomarse en cuenta el desarrollo y motivación del personal. Se debe dar ~portunidad a toda persona a tener un desarrollo creciente, se debe motivar adecuadamente al personal, lo que significa que debe existir un plan de estímulos y recompensas. Se debe dar oportunidad de ascensos y promociones. 5.4.1.4 PRESUPUESTOS • Es necesaria la obtención y análisis de la situación presupuesta! del departamento de informática. Es necesario exponer desde un punto de vista económico el estado y disposición de las distintas .características que conforman al departamento. 1. Costos del departamento, desglosado por áreas y controles. 2. Presupuesto del departamento, desglosado por áreas. 3. Características de los equipos, número de ellos y contratos. Auditoria de Sistemas • Parte 1 71 Deben existir planes para calcular el · gasto total para un determinado período, del área de informática. Esto significa desarrollar un programa de contabilidad de costos, el cual debe ser conocido por los usuarios. Se debe poder comparar lo gastado con lo presupuestado. Se deben involucrar aspectos como personal, aplicaciones, equipo, mobiliario, papelería, cintas, discos, etc. -~ También deben considerarse aspectos menos cuantificables pero que también involucran costos en el área de informática: utilización del equipo, mantenimientos, capacitaciones, asesorías, instalaciones, seguros, etc. 5.4.2 EVALUACION DE LOS SISTEMAS Esta es una de las áreas que deben evaluarse con mayor detalle, para lo que debe existir un plan estratégico para la elaboración de sistemas y evaluar si se están elaborando con las prioridades y objetivos adecuados. Para el plan estratégico se deben tener respuestas a lo siguiente: Auditoría de Sistemas • Parte 1 72 .,. ¿ Cuáles servicios se implementarán? ¿ Cuándo deberán estar disponibles para los usuarios? ¿ Qué características tendrán? \ ¿ Cuantos recursos requerirá el sistema? Para poder desarrollar los sistemas deberá seguirse u.na estrategia preestablecida la cual deberá indicar qué aplicaciones y recursos proporcionará el área de sistemas y bajo que arquitectura se fundamentarán. ¿ Qué aplicaciones serán desarrolladas y cuándo? . ¿ Qué tipos de archivos se desarrollarán? ,. ¿ Qué bases de datos serán desarrolladas? ¿ Qué lenguajes y software será utilizado? ¿ Qué tecnología será utilizada y cuándo será implementada? ¿ Cuántos recursos se requerirán aproximadamente? ¿ Cuanto será la inversión en cuanto al hardware y software? Se debe realizar una investigación en cuanto a los usuarios del sistema, de quienes se debe obtener valiosa información como requerimientos, Auditoría de Sistemas • Parte 1 73 objetivos, metodología, recursos con que se cuenta, personal necesario y .,. usuarios finales, etc. Para una adecuada planeación de sistemas es necesario asegurarse que se han identificado y evaluado todos los recursos requeridos en el plan de desarrollo de aplicaciones. Es primordial, que estos _ recursos sean compatibles con la estrategia, arquitectura, tecnología con que se cuenta para el desarrollo. Para poder señalar los problemas de los sistemas, se debe detectar primeramente los síntomas, los cuales normalmente reflejan el área , problemática para que después de analizar los síntomas se pueda definir y detectar las causas, parte medular de la Auditoría. ,. Es imprescindible aprender a diagnosticar, es decir, reunir todos los síntomas y distinguirlos antes de señalar las causas, evitando confundir uno con el otro y desechar todo aquello que sea trivial y sin fundamento. Los sistemas deben ser evaluados de acuerdo al ciclo de vida que normalmente siguen: requerimientos del usuario, estudio de factibilidad, Auditoria de Sistemas • Parte 1 74 diseño general, análisis, diseño lógico, desarrollo físico, pruebas, implementación, evaluación, modificaciones, instalación, mejoras. Lo primero que debe evaluarse de un sistema es su estudio de factibilidad, determinar si es susceptible de realizarse, establecer la relación beneficio/costo, en conclusión, determinar si su elaboración es favorable . .,. Si el sistema ya existe, se deberá comprobar si se realizó el estudio de factibilidad con los puntos especificados y se comparará con la realidad, es decir, si el estudio de factibilidad señaló determinado costo y una serie de beneficios de acuerdo a las necesidades requeridas, se debe verificar cual fue su costo real y evaluar si en realidad se satisfacieron las necesidades indicadas. Algunos de los beneficios que justifican el desarrollo de un sistema son: el ahorro en los costos de operación, la reducción de tiempo de proceso de un sistema, mayor exactitud, mejor servicio, mejoría en los procedimientos de control, mayor confiabilidad y seguridad, etc. Algunos de los problemas más comunes en los sistemas son: Auditoria de Sistemas • Parte 1 76 • Falta de estándares en el desarrollo, en el análisis y la programación. • Falta de participación y de revisión por parte de la alta gerencia. • Falta de participación de los usuarios. • Inadecuada especificación del sistema al hacer el diseño detallado. • Deficiente análisis costo/beneficio. • Nueva tecnología no usada o usada incorrectamente. • Inexperiencia por parte del personal de análisisy del de programación. • Diseño deficiente . .. • Proyección pobre de la forma en que se realizará el sistema. • Control débil o falta de control sobre las fases de elaboración del sistema y sobre el sistema en sí. • Inadecuados procedimientos de seguridad, de recuperación y de archivos. • Falta de integración de los sistemas con sus subsistemas. • Documentación inadecuada o inexistente. • Dificultad para dar mantenimiento al sistema. • Problemas en la conversión e implementación. • Procedimientos incorrectos o no autorizados . .. Auditoria de Sistemas • Parte 1 78 5.4.2.1 ANALISIS Y DISEÑO .,. Análisis Se evaluarán en esta fase las políticas, procedimier:itos y normas establecidas para la realización del análisis. También se evaluará la planeación de las aplicaciones. Estas pueden provenir de: a. Planeación Estratégica: Se agruparán las aplicaciones en conjuntos relacionados entre sí y no como programas aislados . •· • En estas aplicaciones estarán comprendidos todos los sistemas que pueden ser desarrollados sin importar los recursos que serán necesitados y sus justificaciones. b. Requerimientos de los usuarios. c. Inventario de los sistemas en procesos. Estas aplicaciones pueden agruparse de acuerdo a su situación: Auditoria de Sistemas • Parte 1 77 • Planeada para ser desarrollada en el futuro. • En desarrollo. • En proceso, pero con modificaciones en desarrollo. • En proceso con problemas detectados. • En proceso sin problemas . ... • En proceso esporádicamente. Debe notarse que es necesario documentar detalladamente la fuente que generó la necesidad de la aplicación. La auditoría de sistemas se encarga de evaluar los documentos y . registros usados en la elaboración del sistema, así como todas las salidas y reportes, la descripción de las actividades de flujo de la • información y de procedimientos, los archivos almacenados, su uso y su relación con otros archivos y sistemas, su frecuencia de acceso, su conservación, su seguridad y control, la documentación propuesta, las entradas y salidas y los documentos fuente a usarse. ,. Auditoría de Sistemas • Parte 1 78 • Diseño En esta etapa se deberán analizar las especificaciones del sistema. Qué debe hacer, cómo lo debe hacer, la secuencia y ocurrencia de los datos, el proceso y la salida del sistema. Los aspectos a evaluar en esta etapa son: Entradas Salidas Procesos Especificaciones de datos Especificaciones de proceso Métodos de Acceso Operaciones Manipulación de datos Proceso lógico para producir informes Identificación de archivos, tamaño de los campos y registros Proceso en línea o lote y su justificación Frecuencia de volúmenes de operación Sistemas de seguridad Audltorf a de Sistemas • Parte 1 79 .,. Sistemas de control Responsables Número de usuarios Para el estudio de los sistemas en uso se estudiará: Manual del usuario Descripción del flujo de información Descripción y distribución de la información Manual de formas Manual de reportes Lista de archivos y especificación Se debe determinar para el sistema: En el procedimiento: "l Quien hace, cuándo y como? ¿ Que formas se utilizan en el sistema? . ¿ Son necesarias, se usan, están duplicadas? ¿ El número de copias es el adecuado? ¿ Existen puntos de control o faltan? Auditoria de Sistemas • Parte 1 80 En el flujo de información: ¿ Es fácil de usar? ¿ Es lógico? ¿ Se encontraron lagunas? .,.¿ Hay faltas de control? En las formas de diseño: ¿ Cómo está usada la forma en el sistema? ¿ Que tan bien se ajusta la forma al procedimiento? ¿ Cuál es el propósito, por qué se usa? ¿ Se usa y es necesaria? ¿ El número de copias es el adecuado? ¿ Quien lo usa? En la auditoría de sistemas se debe estudiar en la fase de diseño dos circunstancias importantes para el no entorpecimiento de los sistemas. ,. El ruido: esto es todo aquello que interfiere en una adecuada comunicación, no solamente los sonidos sino todo aquello que impida una adecuada comunicación. Ejemplos de este podrían ser Auditoria de Sistemas • Parte 1 81 errores en la digitación, pantallas sobresaturadas, reportes inadecuados, etc. La redundancia: es toda aquella duplicidad que tiene el sistema con la finalidad de que en caso de que exista ruido, esta redundancia permita que la información llegue al receptor en forma adecuada. Como ejemplo de redundancia se conoce el bit de paridad, el que ... permite que en caso de pérdida de un bit, se pueda recuperar la información que contiene el byte. 4.4.2.2 DESARROLLO E IMPLEMENTACION Después de dar una breve explicación introductoria a esta fase de la evaluación, se le dará un enfoque un tanto peculiar para poder apreciar mejor la relevancia de la auditoría en esta etapa, exponiendo los objetivos de los controles, objetivos de la auditoría y aspectos de las pruebas de auditoría para cada etapa en el desarrollo e implementación de sistemas. Auditoría de Sistemas • Parte 1 82 Controles del Desarrollo de Sistemas Para la implementación de sistemas de información o computarizados existen diferentes métodos, ya sea para programas desarrollados en el departamento o software especializado y especifico adquirido fuera de la organización, o incluso una combinación de ambos. Independientemente de cual sea el caso, las actividades de administración para los proyectos deberán ser consistentes para cada uno de ellos. La instalación deberá tener ,. lineamientos guías debidamente documentados de tal manera que se logre estandarizar los eventos en cada fase del desarrollo. Estos ' lineamientos guía deberán proveer a cada encargado de proyecto los argumentos necesarios para cada fase del desarrollo. De esta • manera, el administrador de varios proyectos podrá evaluar más fácilmente el desempeño de los encargados de proyectos permitiéndole concentrarse en el progreso de eventos de mayor relevancia. Cada fase, desde la proposición hasta la implementación, requiere que se agrupen hechos específicos de tal manera que la construcción sea progresiva y que cada paso del desarrollo asiente Auditoría de Sistemas •· Parte 1 83 ,. la base para el siguiente paso lógico en el programa de actividades. Los controles para el desarrollo de sistemas aseguran que estos hechos sean recabados y debidamente documentados. Los lineamientos guías para el desarrollo de sistemas deben contener las tareas administrativas que deben ser realizadas, incluyendo: • Definición del trabajo • Organización y selección del personal • Estimación de tiempos y costos ~• Desglose y asignación de pasos a seguir • Procedimientos para implementación de cambios necesarios • Criterios de aceptación • Establecimiento de estándares mínimos de comunicación La revisión de los controles para el desarrollo de sistemas requiere de mucho criterio de parte del auditor para indagar como, cuándo y porqué se debe reaccionar a problemas aparentes. Auditoria de Sistemas • Parte 1 84 El proceso de desarrollo deberá ser planificado y organizado de tal forma que progrese en fases con puntos de chequeo adecuados para revisión gerencial o administrativa y su respectiva aprobación. A continuación se plantean una serie de controles para los que se "plantearán sus objetivos y aspectos de auditoría para lo que es el desarrollo e implementación de sistemas. Objetivo del Control: Asegurar que la proposición de justificación contiene suficiente información relevante, que esta soportada por investigación adecuada y consistente, que fue formulada con la participación adecuada del personal apropiado y que comprueba la efectividad-costo de continuar con el proyecto hacia la fase de factibilidad. Objetivo de Auditoría: Determinar si la proposición de justificación es precisa y correcta y que además contiene datos relevantes. ~Aspectos de Auditoría: La proposición de justificación debe ser evaluada. Auditoria de Sistemas • Parte 1 85 .,. Objetivo del Control: Asegurar que se lleve a cabo una investigación adecuada para comprobar la factibilidad del desarrollo del sistema propuesto. Objetivo de Auditoría: Determinar que el contenido del estudio de factibilidad es preciso. Aspectos de Auditoría: Esta prueba determina que el planteamiento del estudio se desarrollo en forma lógica y que el problema fue presentado con hechos a través de una revisión ~profunda de la documentación de la factibilidad. , Objetivo del Control: Aislar adecuadamente _ y documentar los • requerimientos del usuario que serán las bases para el diseño o evaluación del paquete. Objetivo de Auditoría: Determinar si los requerimientos del usuario contienen todo lo necesario para el proceso y control del sistema. Auditoría de Sistemas • Parte 1 88 Aspectos de Auditoría: Los requerimientos del usuario deben ser · ~evaluados para asegurar que fueron preparados con el suficiente detalle y con la participación del usuario. Objetivo del Control: Proveer un diseño general del sistema propuesto. Objetivo de Auditoría: Determinar si el diseño general fue preparado partiendo de los requerimientos del usuario, si satisface las necesidades establecidas en la propuesta y si cumple con los elementos del estudio de factibilidad. Aspectos de Auditoría: El diseño general debe ser revisado para • comprobar si es completo y se debe determinar si el diseño no ~incluirá en su mecanización las ineficiencias de un proceso o sistema existente. Objetivo del Control: Determinar efectivamente si los paquetes de software que están bajo consideración cumplirán con las necesidades de la organización. Auditoría de Sistemas • Parte 1 87 Objetivo de Auditoría: Determinar si el proceso de evaluación del software es profundo y completo y satisface los requerimientos del estudio de factibilidad y las especificaciones de los usuarios. Aspectos de Auditoría: Se debe establecer si se utilizaron criterios de evaluación precisos. 'Objetivo del Control: Asegurar que se realicen las suficientes pruebas para determinar que el paquete es aceptable. Objetivo de Auditoría: Determinar si la prueba realizada fue adecuada. • Aspectos de Auditoría: La planificación para las pruebas de aceptación y los resultados de las pruebas deberán ser revisadas. Objetivo del Control: Asegurar que existe un plan preliminar de implementación y que éste refleja adecuadamente el ciclo de vida del sistema aún por realizarse. Auditoria de Sistemas • Parte 1 88 .,. Objetivo de Auditoría: Determinar si los elementos restantes del proyecto han sido planificados en forma precisa. Aspectos de Auditoría: Se debe determinar que el plan preliminar de implementación es el adecuado. Objetivo del Control: Proveer a la alta gerencia con recomendaciones adecuadas, basadas en los resultados del proyecto a la fecha, lo que permitirá evaluar los beneficios del sistema propuesto. Objetivo de Auditoría: Asegurar que las recomendaciones hechas a 11la gerencia son completas y precisas en todos l