Auditora de los sistemas

informticos
* Por: Dr. Cristian Yong Castaeda

l estudio, anlisis, verificacin y auditoria de los

"Sistemas de informacin" es
un campo multidiscipiinario en el que
intervienen materias como la
"Ingeniera del Software", "Las
Ciencias Contables" y "Ciencias de la
Computacin" entre otras. La
Auditora de Sistemas permite la
participacin de distintos profesionales del conocimiento que aplican un
conjunto de tcnicas que permiten
detectar deficiencias en las organizaciones de informtica y en los
sistemas que se desarrollan u operan
en ellas, las cuales permiten efectuar
acciones preventivas y correctivas
para eliminar las fallas y carencias que
se detecten; los profesionales
contables miden los impactos
econmicos/financieros; verifican la
existencia y aplicacin de todas las
normas y procedimientos requeridos
para minimizar las posibles causas de
riesgos tanto en las instalaciones y
equipos, como en los programas
computacionales y los datos, en
todo el mbito del sistema: usuarios,
instalaciones, equipos, etc.
Los "Sistemas de Informacin de la
Empresa" son conjuntos organizados
de elementos dirigidos a recoger,
procesar, almacenar y distribuir
informacin de manera que pueda ser
utilizada por las personas adecuadas
en ella a fin que desempeen sus
actividades de modo eficaz y
eficiente. Es por esta razn la
necesidad imperiosa de realizar una
verificacin auditada de los mismos;
las implicaciones que tiene un error en
el procesamiento automatizado son de
mayor magnitud que las que suelen
darse por una equivocacin en un
proceso manual. Por ende, el tipo de
evaluacin y los conocimientos que

requiere un auditor
tambin varan radicalmente. Un profesional contable especializado, est adiestrado y apto para
desarrollar este tipo de
exmenes en funcin a
certificar a las instituciones que se est
brindando informacin
completa, exacta y
oportuna, que cumple
con las disposiciones
legales vigentes, que
realiza un consumo de
recursos eficiente y
establece una proteccin adecuada de ios
activos bajo su responsabilidad.
Cuando se piensa en los grandes
avances que en los ltimos tiempos se
han dado en el mundo de la
computacin, las telecomunicaciones
y la ingeniera de sistemas, se toma
conciencia de la innumerable cantidad
de condiciones que estn cambiando
en estos campos y que implican
variaciones importantes en las
compaas por los nuevos controles,
cada vez ms complejos, que deben
plantearse. Por este motivo se requiere
de un gran esfuerzo de parte del
auditor para que realice una evaluacin satisfactoria de un ambiente
informtico y que a su vez desarrolle
nuevas tcnicas y procedimientos que
permitan establecer confiabilidad de
los controles implantados dentro del
rea informtica de la empresa y
determinar si stos son suficientes.
La rapidez con que los computadores
actuales pueden procesar grandes
volmenes de datos, ha transformado

los procesos de toma de decisiones en

los niveles jerrquicos, el impacto
que tiene un error en el procesamiento de los datos, en el funcionamiento
normal de las empresas es cada vez
mayor; por lo tanto, el producto ms
importante de un sistema automatizado es la informacin que emite y para
que tenga valor, los atributos de
exactitud, entereza y oportunidad
deben ser evaluados con el propsito
de establecer el grado de confianza
que se pueden depositar en ellos.
Estas razones son el sustento
primordial para la realizacin de una
verificacin auditada y certificada
por un profesional contable
especializado.
Planeamiento del trabajo a realizar
Consiste en la estrategia que
conduzca al logro de los objetivos
concretos de la auditora, para lo cual
debe tomar un conocimiento general

Alternativa Financiera 4 1

r'"^

de la empresa; levantando informacin en la visita previa, asignando

riesgos de las diferentes reas
involucradas en el trabajo. Se elabora
un plan de trabajo que permita medir el avance del trabajo en puntos
claves y administrar eficientemente
los recursos de tiempo y personal que
sean asignados.
Con la automatizacin han surgido
nuevas formas de crmenes de "cuello
blanco": falsificaciones de documentos usando scanners, alteracin de la
lgica de un sistema, robo de
informacin o fraudes con tarjetas de
crdito, entre otros.
Se hace necesario que el auditor se
dedique a investigar cules son los
puntos de riesgo que posee la
empresa, por medio de los cuales
podra presentarse un crimen computacional y que evale si se cuenta con
controles adecuados para contrarrestar los riesgos detectados.
En el documento de planeacin se
debe considerar lo siguiente:
* Objetivos del trabajo a realizar.
En forma concreta se plantea los
objetivos generales y especficos
del trabajo, basados en tiempo,
espacio y lugar.
; Alcances del trabajo a realizar. Se
marcan los escenarios de riesgos
que se van examinar en el
trabajo, pudiendo ser todos o
solamente algunos. Se determinan exactamente las reas involucradas y el tipo de informacin
prevista.
Puntos de inters para este
trabajo. Se registran los aspectos
que requieren especial atencin,
de acuerdo con los antecedentes
que se conozcan de la aplicacin o de otras similares y de la
informacin que se procesa con
ella. Reunin con el personal de
la empresa.
Auditores asignados. A travs de
la visita previa, la toma de conocimiento de la empresa y la
determinacin de las reas crticas, se asignar los grupos de

4 2 Alternativa Financiera

trabajo y la participacin de
especialistas
. Duracin estimada. Comprende
la suma de los tiempos estimados
asignados a cada una de las fases,
(planificacin, ejecucin e informe). Se prepara un cronograma
de tiempo por objetivos colocando el tiempo estimado de trabajo.
Ejecucin del trabajo de campo:
Evaluacin del control interno: El
auditor debe poner especial inters en
la forma en que se definen las
funciones de los programadores y sus
derechos en los equipos de desarrollo,
debe analizar los procedimientos de
mantenimiento y puesta en operacin
de cambios en los programas y evaluar
la forma en que se establece y controla
la separacin electrnica de funciones; la existencia de una separacin de funciones adecuada y una
asignacin clara de responsabilidades son elementos claves en la
evaluacin de un rea. La forma en
que estos se implementen en un
sistema automatizado es lindamental
para establecer un grado de confianza
razonable en el sistema de control
interno de una actividad que est
siendo auditada. De esto depender la
extensin y complejidad de las
pruebas que debe realizar. Verificar el
conjunto de disposiciones metdicas,
cuyo fin es vigilar las funciones y
actitudes de las empresas y por ello
permite verificar si todo se realiza
conforme a los programas adoptados,
rdenes impartidas y principios
admitidos.

1
Realizar controles:
Controles Preventivos: Son aquellos
que reducen la frecuencia con que
ocurren las causas del riesgo,
permitiendo cierto margen de violaciones. Ejemplos: Letrero "No
fumar" para salvaguardar las instalaciones. Sistemas de claves de acceso
u otros.
Controles detectivos: Son aquellos
que no evitan que ocurran las causas

del riesgo, sino que los detecta luego

de ocurridos; son los ms importantes
para el auditor. En cierta forma sirven
para evaluar la eficiencia de los
controles preventivos. Ejemplo:
archivos y procesos que sirvan como
pistas de auditora. Procedimientos de
validacin, etc.
Controles correctivos: Ayudan a la
investigacin y correccin de las
causas del riesgo. La correccin
adecuada puede resultar difcil e
ineficiente, siendo necesaria la
implantacin de controles detectivos
sobre los controles correctivos,
debido a que la correccin de errores
es en s una actividad altamente
propensa a enores.
Principales controles fsicos y
lgicos:
Autenticidad: Permiten verificar la
identidad: Passwords. Firmas
digitales. ,
,
Exactitud: Aseguran la coherencia de
los datos.
Totalidad: Evitan la omisin de
registros as como garantizan la
conclusin de un proceso de envo.
Contco de registros. Cifras de
control.
I
Redundancia. Evitan la duplicidad
de datos.
Privacidad: Aseguran la proteccin
de los datos.
Existencia: Aseguran la disponibilidad de los datos. Bitcora de
estados Mantenimiento de activos.
Proteccin de activos: Destruccin o
corrupcin de informacin o del
hardware. Extintores Passwords.
Efectividad: Aseguran el logro de los
objetivos . Encuestas de satisfaccin.
Medicin de niveles de servicio.
Eficiencia: Aseguran el uso ptimo
de los recursos. Programas monitores
Anlisis costo-beneficio.

Otros Controles a Evaluar:

Aplicacin de tcnicas :

Periodicidad de cambio de claves

de acceso: Los cambios de las
claves de acceso a los programas se
deben realizar peridicamente.
Normalmente los usuarios se
acostumbran a conservar la misma
clave que le asignaron inicialmente

Se debe verificar que se hayan

utilizado las tcnicas adecuadas
para cada etapa y sub,-etapas del
desarrollo
e implantacin del
Sistema.

Controles de Preinstalacin: Hacen

referencia a procesos y actividades
previas a la adquisicin e instalacin de un equipo de computacin y obviamente a la automatizacin de los sistemas existentes. Tiene como objetivo
garantizar que el hardware y
software se adquieran siempre y
cuando tengan la seguridad de que
los sistemas computarizados
proporcionarn
mayores beneficios que cualquier otra alternativa.
Controles de organizacin y
Planificacin: Se refiere a la
definicin ciara de funciones, lnea
de autoridad y responsabilidad de
las diferentes unidades del rea, en
labores tales como: Disear un
sistema. Elaborar los programas.
Operar el sistema, Control de
calidad, etc.
Controles de Procesamiento: Los
controles de procesamiento se
refieren al ciclo que sigue la
informacin desde la entrada hasta
la salida de la informacin, lo que
conlleva al establecimiento de una
serie de seguridades para: Asegurar que todos los datos sean
procesados. Garantizar la exactitud
de los datos procesados. Garantizar
que se grabe un archivo para uso de
la gerencia y con fines de auditoria.
Asegurar que los resultados sean
entregados a los usuarios en forma
oportuna y en las mejores condiciones.

1) Anlisis de sistemas:
- Entrevistas.
- Diagrama de Flujo de Datos
(D.F.D.).
- Modelizacion de Datos.
- Diagrama de Estructura de
Datos (D.E.D.).
- Historia de Vida de la Entidad
(H.E.V).
- Anlisis de Costo-Beneficio
(A.C.B.).
i
I

2) Programacin :
- Programacin Estructurada.
- Pruebas Unitarias.
- Pruebas de Integracin.
- Prueba del Sistema.
3) Implantacin de sistemas : '
- Capacitacin.
i
- Creacin de archivos iniciales.
- Proceso en paralelo.
Ejecucin del trabajo de campo:
Estructura
1. Denominacin: Informe No...
Ttulo general del tema abordado

acuerdo con las NAGAS, NIAS y

otras limitaciones encontradas en
el trabajo de campo.
5. Antecedentes y base legal de la
entidad: constitucin, resolucin
y otras.
6. Comunicaein de hallazgos: Se
ha cumplido con la norma de
comunicacin oportuna, se debe
incluir una relacin con el
personal involucrado en el
examen
7. Memorando de eontrol interno:
Se indicara la emisin del
meniorandun en el cual se informo
al titular la efectividad de los
controles internos implan-tados.
Dicho documento; as como el
reporte de las acciones correctivas
que en virtud del mismo se hallan
adoptado se debern adjuntar
como anexo.
8. O b s e r v a c i o n e s :

Sum illa,

condicin, criterio, efecto, causa,

comentarios del personal
involucrado y evaluacin de los
comentarios.
:
9. Conclusiones: Juicio de carcter
profesional basados en las
observaciones.
10. Recomendaciones: Medidas
especfcasy posibles.

2. Origen del examen: Razones del

examen por: plan anual, denuncia,
solicitud del titular, Contralora,
No deResolucin, Node folio de
Acta de Accionistas o Directorio.

11. Anexos: Documentos indispensables, concisos, importantes.

12. Firma: Jefe de comisin, supervisor, nivel gerencia! competente.

3. Naturaleza y objetivos del

examen: Auditora sistemas,
objetivos previstos.(generales y
especficos).

13. Sntesis gerencial: Contenido

breve y preciso, para uso del
Directorio.

4. Alcance del examen: Cobertura,

periodo, reas, geografa, de

* Docente de la Facultad de Cioicias Contables,

Eeonmicas y Financieras USMP

"Dara todo lo que s, por la mitad de lo

(Descartes)

Alternativa Financiera 4 3