1. Breve introducción
Debido a la creciente instalación de computadoras de diversos tipos y marcas en nuestro medio, como herramienta de trabajo para ayudar en la administración de negocios de las empresas, se ha hecho necesario e imprescindible elaborar normas y procedimientos de Auditoría de Sistemas.
El rápido avance tecnológico en el desarrollo de nuevas técnicas o modalidades de procesamiento de datos (Software) como en los equipos de máquinas (Hardware), implica una preocupación por controlar y asegurar debidamente el área de sistemas de información soportados una computadora, tan importante para la modernización como para incentivar el crecimiento de las empresa sobre todo en los sectores comercio e industrias.
2. Auditoria de sistemas computarizados
2.1. Concepto
Es el diagnóstico de estado ordenado y minucioso de los sistemas de información soportados por un equipo electrónico de procesamiento de datos.
2.2. Importancia
Es necesario supervisar constantemente el buen funcionamiento de un sistema de información computarizado dada su complejidad, concentración y veracidad de datos pues de estos depende en gran parte el buen funcionamiento y evolución de una empresa.
3. Controles de sistemas en un centro de cómputo
El control interno es posible conceptuarlo como: conjunto de plan de organización, métodos coordinados y medidas adecuadas, que se adaptan dentro de una empresa a fin de salvaguardar sus activos, verificar la exactitud, contabilidad y oportunidad de sus datos contables para mejorar la eficiencia de sus operaciones y vigilar el cumplimiento de las políticas y estrategias directivas.
Los controles dentro de un sistema de información automatizado es necesario enfocarlos bajo tres aspectos esenciales que a continuación detallo:
3.1. Incidencia de Computadora en la Organización
Aún cuando una empresa está estructura organizativamente acorde con la variedad de influencias modernas, las líneas de responsabilidad y autoridad deben estar definidas claramente.
La división de responsabilidades funcionales debe definirse por:
a. Funciones de iniciar y autorizar la transacción.
b. Registro de la transacción por escrito.
c. Resguardo de activos resultantes.
Tal división implica especialización brindando mayor eficiencia evita duplicación y malgasto de esfuerzos y aumenta la efectividad del control directivo.
El resultado de centralizar las actividades de procesamiento de datos y la concentración de funciones de proceso, produce en efecto notable sobre las estructuras de la organización desde punto de vista de control.
3.2. Controles Generales
3.2.1 Controles Generales
a. El departamento de procesamiento de datos debe funcionar independiente organizacionalmente de otros departamentos.
b. El personal de procesamiento de datos no debe ejercer ningún control directo ni indirecto sobre los activos ni hacer cambios en archivos principales sin la debida autorización.
c. Deberá haber una clara segregación de funciones entre:
• Diseño y Análisis de Sistemas
• Programación
• Procesamiento
d. En lo que compete a Procesamiento deberán segregarse las funciones en:
• Operación de Equipo
• Bibliotecario
• Entrada de Datos
• Salida de Datos
e. Los seguros de la Empresa sobre interrupción de operaciones deben cubrir interrupciones en procesamiento automático de datos.
f. La razonabilidad del seguro sobre los registros (archivos) del equipo de cómputo.
g. Nivel de gerencia que controla la función efectiva de procesamiento electrónico de datos a través de:
• Establecimiento de políticas
• Determinación de objetivos
• Establecimiento de prioridades
• Revisión periódica de avance en el desarrollo interno y/o estadísticas de operaciones
h. Nivel y la independencia de revisión y aprobación de gerencia requeridas para sistemas contables propuestos y para revisiones.
i. Personal técnicamente calificado para revisar nuevos sistemas propuestos o los cambios para dar consideración a:
• Conformidad con las políticas de la empresa
• Inclusión de factores de control adecuados
j. En caso de que el equipo de procesamiento fuera alquilado o usado por extraños se deberá considerar:
• Suficientes controles con los ingresos por honorarios de servicio que sean registrados.
• Operadores de afuera no tengan acceso a programas y/o archivos nuestros.
k. Razonabilidad de las preocupaciones para proceso alternativo en caso de fallas del equipo y:
• Frecuencia con que estos procesamientos son probados en condiciones reales.
• Facilidades alternativas localizadas de manera tal que el riesgo de un desastre común sea reducido al mínimo.
3.2.2. Controles Específicos
3.2.2.1. Ambiente Físico
a. El equipo de procesamiento de datos deberá estar instalado en un solo lugar y situado de tal manera que proporcione segregación física entre la función operativa y la función de control.
b. Restricción de acceso de personal no autorizado a la instalación.
c. Protección adecuada de archivos proveída por la instalación ante fuego, robo u otra catástrofe.
3.2.2.2. Protección de la Lógica de Programas
1. Deberán haber estándares de documentación de programas, procedimientos y rutinas lo cual incluye lo siguiente:
a. Descripción total del sistema y sus objetivos así como también el flujo básico a información a través del sistema.
b. Flujograma del sistema general para ilustrar la descripción descrita.
c. Descripción de las funciones ejecutadas y una descripción general de cómo cada programa las lleva a cabo.
d. Diagrama de bloque que muestre la secuencia de operaciones ejecutadas por el programa.
e. Descripción de registros mostrando la forma, el contenido y tipo de entradas y salidas de archivos intermedios.
f. Listado del programa fuente en lenguaje simbólico.
g. Instrucciones de operación del programa, procedimientos de parada, fuentes de entradas y disposición de salidas.
2. Segregación adecuada de las funciones de:
• Diseño y análisis de Sistemas
• Programación
3. Restringir a los programadores y analistas el acceso a la operación del computador, salvo acceso contado para pruebas y expurgación de programas.
4. Restringir a los operadores en lo que compete a programación no supervisada, previa evaluación dar el acceso medido, en medida en que haya disponibilidad de tiempo.
5. Los programadores y analistas de sistemas tendrán acceso controlado a:
• Archivos maestros o transacciones
• Programas operativos: Fuente u objeto
• Documentación fuente
• Documentación de salida
6. Deberá haber un nivel de aprobación supervisora adecuada para que el personal de programación tenga acceso a programas fuente que se encuentran operativos.
7. Autorización de nivel adecuado para modificar programas operativos y esta debe ser por escrito.
8. Las autorizaciones para cambios de programas deben ser controladas por ejemplo numéricamente.
9. Los cambios a programas deben hacerse a nivel de programa fuente, recopilación obteniendo nuevo programa objeto y nuevo post list.
10. Al efectuar un cambio en los programas estos deberán ser fechados, documentos por el programador indicando razón del cambio en forma su cinta, nombre del mismo, a fin de proporcionar una historia cronológica del sistema.
11. La extensión de procedimientos de prueba que están siendo efectivamente aplicadas para programas nuevos y revisados deberán proceder:
a. Los procedimientos de prueba incluirán corridas en paralelo de datos actuales y/o fecha anterior por más de un ciclo de procesamiento.
b. Los procedimientos deberán asegurarán la compatibilidad de todos los programas que forman un solo sistemas.
c. Los resultados y procedimientos de prueba deberán ser revisados por:
– Departamento de auditoría interna técnicamente calificado
– Un supervisor técnicamente apto
– La gerencia del departamento usuario
d. Los procedimientos de prueba para modificaciones de programas deben ser los mismos que para programas nuevos.
12. Se deberá prevenir o detectar la entrada sin autorización de cambios de programas y los datos implementados un sistema de seguridad.
3.2.2.3. Operación del Equipo
a. Control de Supervisión adecuado y suficiente para que los operadores cumplan con los procedimientos de supervisión establecidos.
b. Mantener registro de control de uso de consolas y sub-consolas indicando tipo de trabajo del mismo y fecha.
c. El registro de control de consola deberá detallar separadamente además:
• Tiempo de corrida
• Tiempo de preparación de equipo
• Tiempo down (pendiente o espera imprevista)
• Tiempo de mantenimiento
d. Se deberá mantener reporte escrito de tiempos de parada que puedan ocurrir durante el procesamiento y estos deben contener:
• Descripción completa de la situación y acción tomada.
• Vo.Bo. o calificación de la persona supervisora responsable.
e. Se deberán rotar los operadores entre turnos y trabajos a fin de evitar asignación permanente a trabajos específicos.
f. Exigir al personal de operación a tomar sus vacaciones periódicas.
g. Proporcionar a los operadores las instrucciones operativas del sistema para procedimientos adecuados a las medidas a tomar en caso de situaciones de error y/o paradas en proceso.
h. Tener manuales de operación ordenados y adecuados a fin de servir de guía de procesos, asimismo deberán haber copias adicionales en poder del bibliotecario.
i. Uso de etiquetas internas y externas de archivos a procesar y estas ser reconocidas por los procedimientos de proceso de aplicaciones.
j. Establecer sistema de seguridad mediante contraseñas (user y password) a fin de evitar procedimientos no autorizados.
k. Control supervisor sobre rendimiento de máquinas mediante registros adecuados por escrito.
l. Mantener registro de control del sistema operativo del computador tipificando:
• Control de alteraciones
• Actualización del sistema
• Creación de archivos de sistemas
• Performance
ll) Verificación de supervisión de control de operaciones en los diferentes turnos.
m) Elaboración de cronograma de tiempo de proceso con las áreas usuarias y vigilar que estos se cumplan estrictamente.
3.2.2.4. Bibliotecas
1. El bibliotecario dentro de un departamento de procesamiento electrónico de datos deberá ser responsable por:
a. Control de documentos delicados (cheques, planillas, etc.) y todos los archivos y programas tanto de usuario como del sistema.
b. Entregar a operación lo necesario para cada trabajo específico de procesamiento.
c. Control de archivos, bibliotecas, fuente y objeto que son producidas por cada trabajo de proceso (archivos originales y archivos copias de respaldo).
d. Conservación adecuada de diskettes y packs.
e. Revisión periódica de estado físico de archivos.
f. Mantenimiento de un programa adecuado de retención de archivos, que exijan conservación de archivos hasta de tercera generación.
g. Mantener stocks adecuados y suficientes de cintas de impresión y formularios continuos.
2. Mantener archivos maestros y de transacciones en prevención de tener que efectuar reconstrucción (Recovery).
3. Los archivos mencionados en el párrafo anterior deberán ser guardados en un ambiente adecuado a prueba de fuego, robo, terremoto u otro desastre.
4. Usar etiquetas externas en todos los archivos a fin de identificar:
• Fecha
• Aplicación
• Volumen
5. Asignar mediante procedimiento adecuado y supervisado que esté disponible una copia al día del último programa fuente u objeto operativo y su documentación correspondiente.
6. Mantener una biblioteca técnica de manuales del sistema a fin de hacer las consultas del caso si hubieren problemas.
7. Mantener un inventario adecuado de archivos bibliotecas, manuales, etc.
3.2.2.5. Flujo de Datos
a. Procedimiento de control de entrada de datos para asegurar que estos estén completo y correctos (cantidad de documentos, totales de control) de la fuente de datos, asimismo que estos sean verificados por programas de consistencia, vale decir que estos procedimientos estén por escrito.
b. Emisión de reportes de validación de datos (Consistencias) a fin de devolver los documentos fuentes errados a su lugar de origen a fin de efectuar las correcciones del caso.
c. Procedimiento de corrección de datos defectuosos previamente chequeados por la fuente de origen, validación secundaria o alternativa, asimismo rutinas para obtener oportunamente las correcciones a fin de que el procedimiento de la aplicación sea hecha en el tiempo previsto y con veracidad adecuada.
d. Procedimiento adecuado para distribuir la información necesaria en las áreas usuarias.
4. Comentarios o pautas para evaluación de auditoria de sistemas de información mediante un equipo electrónico de datos
a. Nuestras pruebas de la función de procesamiento electrónico de datos estarán influenciadas por la habilidad de la gerencia para hacer cumplir los controles y procedimientos establecidos. Normalmente hay una relación directa entre el grado de participación de la alta gerencia en la supervisión de la función y el grado de cumplimiento de los procedimientos de control interno.
b. La revisión y la aprobación deberían de ser preferiblemente un esfuerzo común de la gerencia, los representantes de los departamentos que lo usan y los de EDP y cada uno de los cuales debería conocer las funciones de los otros.
c. Pruebas periódicas bajo circunstancias reales aseguran que no hay habido mayores cambios en equipos o en programas en el sitio alternativo, los cuales impedirían un procesamiento adecuado.
d. Los programas de computadora gobiernan todo el procesamiento. Las operaciones son ejecutadas y serán repetidas siempre que el programa no sea alterado, pero pueden producirse cambios y pasar inadvertidos. Por lo tanto el sistema de control interno debería proteger la integridad de los programas, es decir éstos no deben ser susceptibles a alteraciones accidentales erróneas o no autorizadas.
e. La posibilidad de determinar, hacer el recorrido a través, evaluar y probar el sistema es aumentada considerablemente por la presencia de documentación del cliente que esté actualizada y detallada. La existencia de estándares estrictos de documentación es una indicación de que el cliente emplee buenos procedimientos de control interno.
Los flujogramas, descripciones narrativas y otra documentación del cliente pueden utilizarse como documentación de la auditoría y se debe poner énfasis en obtener copias.
f. Los operadores debería tener acceso a los programas fuente solamente cuando están compilando un programa; y a los programas objeto solamente cuando están operando un programa.
g. Como quiera que puede haber errores en la lógica de programa, en programas nuevos o modificados, deben de ser probados para asegurarse de que funcionan como se había planeado.
Las pruebas deberían de hacerse usando datos reales bajo condiciones reales de operación en el mayor grado posible.
También deberían de incluirse datos erróneos de manera que todas las secciones y todas las rutinas de revisión de los programas sean probadas adecuadamente. La revisión y evaluación del cliente de los resultados de las pruebas deberían ser hechas por representantes capaces de todos los departamentos interesados (incluyendo los auditores internos) para asegurarse de que todas las implicaciones de los resultados de las pruebas se han tomado en cuenta.
h. El auditor debe de estar pendiente de la posibilidad de que los controles de operaciones varíen entre turno y turno.
i. Los listados de programas normalmente indicarán si se usan las etiquetas internas de archivo.
j. El uso de un programa supervisor provisto por el fabricante (sistema operativo) evita la necesidad de mucha intervención humana durante el procesamiento.
k. Un sistema adecuado de control interno debería de incluir procedimiento, para proteger a compañía contra destrucción accidental o alteraciones erróneas o no autorizadas de los archivos maestros o de datos. Estos archivos requieren controles más estrictos que los registros preparados manualmente porque pueden ser destruidos o dañados más fácilmente y la no visibilidad de sus contenidos hace que un mal uso o abuso sean difíciles de detectar.
l. El procesamiento normal de archivos de cinta provee una duplicación automática. Sin embargo, los archivos de discos deben ser copiados (normalmente en cinta) para hacer posible una eventual reconstrucción.
m. Cierto respaldo del programa es proporcionado por los diagramas de bloque, las hojas de codificación y otra documentación del programa, si están al día, pero las copias duplicadas de los programas fuente y objeto permiten una reconstrucción mucho más rápida.
5. Desarrollo de programas de auditoria para computadora
La computadora ofrece una serie de recursos al auditor a fin de determinar la calidad de la información generada por el sistema de procesamiento, a fin de evaluar y analizarla.
Es necesario contemplar cuatro elementos básicos en el desarrollo de programas de auditoría para computadora:
5.1. Determinación de objetivos y procedimiento de Auditoría
El Auditor con el soporte de programación es quién define los objetivos y procedimientos de acuerdo a las normas legales de auditoría generalmente aceptadas, él es quien de determina los datos en los registros maestros o transacciones que desee verificar.
5.2. Elaboración de Diagramas de recorrido de sistema
Habiendo definido los procedimientos y objetivos se preparan los diagramas de recorrido de sistema indicando archivos de entradas y salidas resultantes que se desee obtener a través del programa de auditoría.
5.3. Elaboración de Diagramas de recorrido de programas
A través de estos de indican cómo van a procesarse los datos indicando operaciones y decisiones especificas y la secuencia que han de seguir dentro del programa. Asimismo este diagrama mostrará la lógica y las funciones del programa. Este diagrama proporcionará esencialmente:
5.3.1. Una imagen gráfica de la solución del problema
5.3.2. Guía para codificar y probar el programa determinando si se han considerado todas las condiciones posibles
5.3.3. Documentación para su explicación y modificación del programa
El diagrama de recorrido de programa puede completarse mediante tablas de decisión a fin de evaluar alternativas de acción que pueden tomarse dadas las condiciones.
5.4. Codificación, Compilado y Prueba de Programa
Ésta fase no requiere mayor comentario porque se procede al igual que un programa común y corriente.
6. Uso de programas de auditoria para computadora
Esencialmente existen tres maneras de usar programas de auditoría para computadora:
6.1. Análisis e Informes de Excepción
El auditor puede elaborar programas para:
• Analizar detalles de archivos
• Explorar aspectos o atributos que le interesen
• Búsqueda de irregularidades en archivos
Las excepciones a las normas y criterios contemplados por el programa se imprimirán como salida.
6.2. Selección de Muestras
El auditor puede elaborar programas para seleccionar muestras, ya sea al azar o de acuerdo a los criterios que consideren conveniente.
6.3. Computaciones y Pruebas Detalladas
El auditor puede elaborar programas para efectuar pruebas o computaciones (cálculos) que antes se realizaban manualmente.
7. Análisis final
7.1. Ventajas del uso de la Computadora por el Auditor
7.1.1. Mejor conocimiento del sistema de procedimiento y controles del cliente.
7.1.2. Área de actividad profesional mucho más extensa.
7.1.3. El más elemental logro de Auditoría continúa.
7.1.4. Mejor uso del principio de excepción.
7.2. Problemas
7.2.1. Costos
El uso de datos de pruebas y programas de auditoría tienen que justificarse en base a la reducción del tiempo en comparación la auditoría manual así como la obtención con una auditoría más cualitativa. Deberán analizar: costo de elaboración de datos de prueba y programa, costo de operación frente al valor de los beneficios obtenidos.
7.2.2. Requerimientos técnicos
La nueva tecnología que se necesita para valorar un sistema de información soportado por computadora y elaborar un programa de auditoría requiere de una planeación detallada, lógica y explícita en las etapas de procesamiento.
7.2.3. Necesidad de Planeación anticipada
El auditor debe estar consciente de la gran cantidad de tiempo que requiere inicialmente para efectuar una auditoría en una instalación de computadora, lo cual debe saber el cliente antes de efectuar el trabajo, asimismo deberá informarle al cliente el tiempo que requiere para evaluar el sistema y desarrollar los programas de auditoría.
7.2.4. Conversión
Por efecto de alguna conversión en el transcurso de su tiempo de auditoría este puede enfrentarse a:
• Falta de documentación significativa
• Sobrecarga de trabajo de los programadores que dificultan su acceso a ellos.
• Cambios frecuentes de programas que entorpecen la evaluación y revisión del sistema.
7.3. Conclusiones
a. Las técnicas de auditoría se ven afectadas significativamente por el papel que cumple la computadora dentro de los sistemas de información en la empresa.
