La naturaleza especializada de la auditoría de los
sistemas de información y las habilidades necesarias para llevar a cabo este
tipo de auditorías, requieren el desarrollo y la promulgación de Normas
Generales para la Auditoría de los Sistemas de Información.
La auditoría de los sistemas de información se define
como cualquier auditoría que abarca la revisión y evaluación de todos los
aspectos (o de cualquier porción de ellos) de los sistemas automáticos de
procesamiento de la información, incluidos los procedimientos no automáticos
relacionados con ellos y las interfaces correspondientes.
Para hacer una adecuada planeación de la auditoría en
informática, hay que seguir una serie de pasos previos que permitirán
dimensionar el tamaño y características de área dentro del organismo a auditar,
sus sistemas, organización y equipo.
A continuación, la descripción de los dos principales
objetivos de una auditoría de sistemas, que son, las evaluaciones de los
procesos de datos y de los equipos de cómputo, con controles, tipos y
seguridad.
En el caso de la auditoría en informática, la planeación
es fundamental, pues habrá que hacerla desde el punto de vista de los dos
objetivos:
·
Evaluación de los sistemas y procedimientos.
·
Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se
requiere es obtener información general sobre la organización y sobre la
función de informática a evaluar. Para ello es preciso hacer una investigación
preliminar y algunas entrevistas previas, con base en esto planear el programa
de trabajo, el cual deberá incluir tiempo, costo, personal necesario y
documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
Consta de:
§
Evaluación de los sistemas y procedimientos
Ø
Evaluación de
los diferentes sistemas en operación (flujo de información, procedimientos,
documentación, redundancia, organización de archivos, estándares de
programación, controles, utilización de los sistemas).
Ø
Evaluación del
avance de los sistemas en desarrollo y congruencia con el diseño general.
Ø
Evaluación de
prioridades y recursos asignados (humanos y equipos de cómputo).
Ø
Seguridad
física y lógica de los sistemas, su confidencialidad y respaldos.
§
Evaluación de los equipos de cómputo
Ø
Capacidades.
Ø
Utilización.
Ø
Nuevos
proyectos.
Ø
Seguridad
física y lógica.
Ø
Evaluación
física y lógica.
§
Controles administrativos en un
ambiente de procesamiento de datos
La máxima autoridad del Área de Informática de una
empresa o institución debe implantar los siguientes controles que se agruparan
de la siguiente forma:
Ø
Controles de
preinstalación
Hacen referencia a procesos y actividades previas a la
adquisición e instalación de un equipo de computación y obviamente a la automatización
de los sistemas existentes.
Objetivos:
v
Garantizar que
el hardware y el software se adquieran siempre y cuando tengan la seguridad de
que los sistemas computarizados proporcionaran mayores beneficios que cualquier
otra alternativa.
v
Garantizar la
selección adecuada de equipos y sistemas de computación.
v
Asegurar la
elaboración de un plan de actividades previo a la instalación.
Acciones a
seguir:
v Elaboración de un informe técnico en el
que se justifique la adquisición del equipo, software y servicios de
computación, incluyendo un estudio costo – beneficio.
v Formación de un comité que coordine y
se responsabilice de todo el proceso de adquisición e instalación.
v Elaborar un plan de instalación de
equipo y software (fechas, actividades, responsables) el mismo que debe contar
con la aprobación de los proveedores del equipo.
v Elaborar un instructivo con
procedimientos a seguir para la selección y adquisición de equipos, programas y
servicios computacionales. Este proceso debe enmarcarse en normas y
disposiciones legales.
v Efectuar las acciones necesarias para
una mayor participación de proveedores.
v Asegurar respaldo de mantenimiento y
asistencia técnica.
§
Controles de organización y
planificación
Se refiere a la definición clara de funciones, línea de
autoridad y responsabilidad de las diferentes unidades del área PAD, en labores
tales como:
v Diseñar un sistema.
v Elaborar los programas.
v Operar el sistema.
v Control de calidad.
v Se debe evitar que una misma persona
tenga el control de toda una operación.
Acciones a
seguir:
v La unidad informática debe estar al más
alto nivel de la pirámide administrativa de manera que cumpla con sus
objetivos, cuente con el apoyo necesario y la dirección efectiva.
v Las funciones de operación,
programación y diseño de sistemas deben estar claramente delimitadas.
v Deben existir mecanismos necesarios a
fin de asegurar que los programadores y analistas no tengan acceso a la
operación del computador y los operadores a su vez, no conozcan la
documentación de programas y sistemas.
v Debe existir una unidad de control de
calidad, tanto de datos de entrada como de los resultados del procesamiento.
v El manejo y custodia de dispositivos y
archivos magnéticos deben estar expresamente definidos por escrito.
v Las actividades del PAD deben obedecer
a planificaciones a corto, mediano y largo plazo sujetos a evaluación y ajustes
periódicos "Plan Maestro de Informática".
v Debe existir una participación efectiva
de directivos, usuarios y personal del PAD en la planificación y evaluación del
cumplimiento del plan.
ü
Las
instrucciones deben impartirse por escrito.
§
Controles de
sistemas en desarrollo y producción
Se debe justificar que los sistemas han sido la mejor
opción para la empresa, bajo una relación costo –beneficio que proporcionen
oportuna y efectiva información, que los sistemas se han desarrollado bajo un
proceso planificado y se encuentren debidamente documentados.
Acciones a
seguir:
v Los usuarios deben participar en el
diseño e implantación de los sistemas pues aportan conocimiento y experiencia
de su área y esta actividad facilita el proceso de cambio.
v El personal de auditoría interna /
control debe formar parte del grupo de diseño para sugerir y solicitar la
implantación de rutinas de control.
v El desarrollo, diseño y mantenimiento
de sistemas obedece a planes específicos, metodologías, estándares, procedimientos
y en general a normatividad escrita y aprobada.
v Cada fase concluida debe ser aprobada
documentadamente por los usuarios mediante actas u otros mecanismos a fin de
evitar reclamos posteriores.
v Los programas antes de pasar a
producción deben ser probados con datos que agoten todas las excepciones
posibles.
v Todos los sistemas deben estar
debidamente documentados y actualizados. La documentación deberá contener:
Ø
Informe de
factibilidad.
Ø
Diagrama de
bloque.
Ø
Diagrama de
lógica del programa.
Ø
Objetivos del
programa.
Ø
Listado
original del programa y versiones que incluyan los cambios efectuados con
antecedentes de pedido y aprobación de modificaciones.
Ø
Formatos de
salida.
Resultados de pruebas realizadas.
§ Implantar procedimientos de solicitud,
aprobación y ejecución de cambios a programas, formatos de los sistemas en
desarrollo.
§ El sistema concluido será entregado al
usuario previo entrenamiento y elaboración de los manuales de operación
respectivos.
Ø Controles de procesamiento
Los controles de procesamiento se refieren al ciclo que
sigue la información desde la entrada hasta la salida de la información, lo que
conlleva al establecimiento de una serie de seguridades para:
v Asegurar que todos los datos sean
procesados.
v Garantizar la exactitud de los datos
procesados.
v Garantizar que se grabe un archivo para
uso de la gerencia y con fines de auditoría.
v Asegurar que los resultados sean
entregados a los usuarios en forma oportuna y en las mejores condiciones.
Acciones a
seguir:
v Validación de datos de entrada previo
procesamiento debe ser realizada en forma automática: clave, dígito auto
verificador, totales de lotes.
v Preparación de datos de entrada debe
ser responsabilidad de usuarios y consecuentemente su corrección.
v Recepción de datos de entrada y
distribución de información de salida debe obedecer a un horario elaborado en
coordinación con el usuario, realizando un debido control de calidad.
v Adoptar acciones necesarias para
correcciones de errores.
v Analizar conveniencia costo – beneficio
de estandarización de formularios, fuente para agilizar la captura de datos y
minimizar errores.
v Los procesos interactivos deben
garantizar una adecuada interrelación entre usuario y sistema.
Planificar el mantenimiento del
hardware y software, tomando todas las seguridades para garantizar la
integridad de la información y el buen servicio a usuarios.
§ Controles de operación
Abarcan todo el ambiente de la operación del equipo
central de computación y dispositivos de almacenamiento, la administración de
la Cintoteca y la operación de terminales y equipos de comunicación por parte
de los usuarios de sistemas on line.
Los controles
tienen como fin:
§ Prevenir o detectar errores
accidentales que puedan ocurrir en el centro de cómputo durante un proceso.
§ Evitar o detectar el manejo de datos
con fines fraudulentos por parte de funcionarios del PAD.
§ Garantizar la integridad de los
recursos informáticos.
§ Asegurar la utilización adecuada de
equipos acorde a planes y objetivos.
Acciones a
seguir:
ü
El acceso al
centro de cómputo debe contar con las seguridades necesarias para reservar el
ingreso al personal autorizado.
ü
Implantar
claves o passwords para garantizar operación de consola y equipo central
(mainframe), a personal autorizado.
ü
Formular
políticas respecto a seguridad, privacidad y protección de las facilidades de
procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido,
intentos de violación y como responder ante esos eventos.
ü
Mantener un
registro permanente (bitácora) de todos los procesos realizados, dejando
constancia de suspensiones o cancelaciones de procesos.
ü
Los operadores
del equipo central deben estar entrenados para recuperar o restaurar
información en caso de destrucción de archivos.
ü
Los backups no
deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros
y adecuados, preferentemente en bóvedas de bancos.
ü
Se deben
implantar calendarios de operación a fin de establecer prioridades de proceso.
ü
Todas las
actividades del centro de cómputo deben normarse mediante manuales,
instructivos, normas y reglamentos.
ü
Las
instalaciones deben contar con sistema de alarma por presencia de fuego, humo,
así como extintores de incendio, conexiones eléctricas seguras, entre otras.
ü
Instalar
equipos que protejan la información y los dispositivos en caso de variación de
voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de
energía.
ü
Contratar
pólizas de seguros para proteger la información, equipos, personal y todo
riesgo que se produzca por casos fortuitos o mala operación.