¿QUE ES AUDITORIA DE SISTEMAS?
La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
La auditoria en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
Objetivos Generales de una Auditoría de Sistemas
La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
La auditoria en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
Objetivos Generales de una Auditoría de Sistemas
·Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD
·Incrementar la satisfacción de los usuarios de los sistemas computarizados
·Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
·Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
·Seguridad de personal, datos, hardware, software e instalaciones
·Apoyo de función informática a las metas y objetivos de la organización
·Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
·Minimizar existencias de riesgos en el uso de Tecnología de información
·Decisiones de inversión y gastos innecesarios
·Capacitación y educación sobre controles en los Sistemas de Información
·Incrementar la satisfacción de los usuarios de los sistemas computarizados
·Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
·Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
·Seguridad de personal, datos, hardware, software e instalaciones
·Apoyo de función informática a las metas y objetivos de la organización
·Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
·Minimizar existencias de riesgos en el uso de Tecnología de información
·Decisiones de inversión y gastos innecesarios
·Capacitación y educación sobre controles en los Sistemas de Información
Cuando se cree que se debe efectuar una Auditoría de Sistemas
·Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos)
·Desconocimiento en el nivel directivo de la situación informática de la empresa
·Falta total o parcial de seguridades lógicas y fisicas que garanticen la integridad del personal, equipos e información.
·Descubrimiento de fraudes efectuados con el computador
·Falta de una planificación informática
·Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano
·Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados
·Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción
Planeación
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
Así por ejemplo se podrían seguir los siguientes pasos:
a.- Recopilación y análisis de datos
b.- Selección de datos idóneos a ingresarse o utilizarse
c.- Ingreso y manipulación de datos
d.- Procesamiento
e.- Análisis de resultados
a.- Recopilación y análisis de datos
b.- Selección de datos idóneos a ingresarse o utilizarse
c.- Ingreso y manipulación de datos
d.- Procesamiento
e.- Análisis de resultados
El informe contener lo siguiente debe:
· Motivos de la Auditoría
· Objetivos
· Alcance
· Estructura Orgánico-Funcional del área Informática
· Configuración del Hardware y Software instalado
· Control Interno
· Resultados de la Auditoría
ESTE ES UN EJEMPLO QUE DEBE TENER UNA EMPRESA COMO POLITICA O NORMA EN SU EMPRESA
· Motivos de la Auditoría
· Objetivos
· Alcance
· Estructura Orgánico-Funcional del área Informática
· Configuración del Hardware y Software instalado
· Control Interno
· Resultados de la Auditoría
ESTE ES UN EJEMPLO QUE DEBE TENER UNA EMPRESA COMO POLITICA O NORMA EN SU EMPRESA
POLÍTICAS EN INFORMÁTICA
TITULO I
DISPOSICIONES GENERALES
ARTICULO 1°.- El presente ordenamiento tiene por objeto estandarizar y contribuir al desarrollo informático de las diferentes unidades administrativas de la Empresa NN.
ARTICULO 2°.- Para los efectos de este instrumento se entenderá por:
Comité: Al equipo integrado por la Dirección , Subdirección, los Jefes departamentales y el personal administrativo de las diferentes unidades administrativas (Ocasionalmente) convocado para fines específicos como:
· Adquisiciones de Hardware y software
· Establecimiento de estándares de la Empresa NN tanto de hardware como de software
· Establecimiento de la Arquitectura tecnológica de grupo.
· Establecimiento de lineamientos para concursos de ofertas
Administración de Informática: Está integrada por la Dirección, Subdirección y Jefes Departamentales, las cuales son responsables de:
· Velar por el funcionamiento de la tecnología informática que se utilice en las diferentes unidades administrativas
· Elaborar y efectuar seguimiento del Plan Maestro de Informática
· Definir estrategias y objetivos a corto, mediano y largo plazo
· Mantener la Arquitectura tecnológica
· Controlar la calidad del servicio brindado
· Mantener el Inventario actualizado de los recursos informáticos
· Velar por el cumplimiento de las Políticas y Procedimientos establecidos.
ARTICULO 3°.- Para los efectos de este documento, se entiende por Políticas en Informática, al conjunto de reglas obligatorias, que deben observar los Jefes de Sistemas responsables del hardware y software existente en la Empresa NN, siendo responsabilidad de la Administración de Informática, vigilar su estricta observancia en el ámbito de su competencia, tomando las medidas preventivas y correctivas para que se cumplan.
ARTICULO 4°.- Las Políticas en Informática son el conjunto de ordenamientos y lineamientos enmarcados en el ámbito jurídico y administrativo de la Empresa NN. Estas normas inciden en la adquisición y el uso de los Bienes y Servicios Informáticos en la Empresa NN, las cuales se deberán de acatar invariablemente, por aquellas instancias que intervengan directa y/o indirectamente en ello.
ARTICULO 5°.- La instancia rectora de los sistemas de informática de la Empresa NN es la Administración, y el organismo competente para la aplicación de este ordenamiento, es el Comité.
ARTICULO 6°.- Las presentes Políticas aquí contenidas, son de observancia para la adquisición y uso de bienes y servicios informáticos, en la Empresa NN, cuyo incumplimiento generará que se incurra en responsabilidad administrativa; sujetándose a lo dispuesto en la sección Responsabilidades Administrativas de Sistemas.
ARTICULO 7°.- Las empresas de la Empresa NN deberán contar con un Jefe o responsable del Area de Sistemas, en el que recaiga la administración de los Bienes y Servicios, que vigilará la correcta aplicación de los ordenamientos establecidos por el Comité y demás disposiciones aplicables.
TITULO I
DISPOSICIONES GENERALES
ARTICULO 1°.- El presente ordenamiento tiene por objeto estandarizar y contribuir al desarrollo informático de las diferentes unidades administrativas de la Empresa NN.
ARTICULO 2°.- Para los efectos de este instrumento se entenderá por:
Comité: Al equipo integrado por la Dirección , Subdirección, los Jefes departamentales y el personal administrativo de las diferentes unidades administrativas (Ocasionalmente) convocado para fines específicos como:
· Adquisiciones de Hardware y software
· Establecimiento de estándares de la Empresa NN tanto de hardware como de software
· Establecimiento de la Arquitectura tecnológica de grupo.
· Establecimiento de lineamientos para concursos de ofertas
Administración de Informática: Está integrada por la Dirección, Subdirección y Jefes Departamentales, las cuales son responsables de:
· Velar por el funcionamiento de la tecnología informática que se utilice en las diferentes unidades administrativas
· Elaborar y efectuar seguimiento del Plan Maestro de Informática
· Definir estrategias y objetivos a corto, mediano y largo plazo
· Mantener la Arquitectura tecnológica
· Controlar la calidad del servicio brindado
· Mantener el Inventario actualizado de los recursos informáticos
· Velar por el cumplimiento de las Políticas y Procedimientos establecidos.
ARTICULO 3°.- Para los efectos de este documento, se entiende por Políticas en Informática, al conjunto de reglas obligatorias, que deben observar los Jefes de Sistemas responsables del hardware y software existente en la Empresa NN, siendo responsabilidad de la Administración de Informática, vigilar su estricta observancia en el ámbito de su competencia, tomando las medidas preventivas y correctivas para que se cumplan.
ARTICULO 4°.- Las Políticas en Informática son el conjunto de ordenamientos y lineamientos enmarcados en el ámbito jurídico y administrativo de la Empresa NN. Estas normas inciden en la adquisición y el uso de los Bienes y Servicios Informáticos en la Empresa NN, las cuales se deberán de acatar invariablemente, por aquellas instancias que intervengan directa y/o indirectamente en ello.
ARTICULO 5°.- La instancia rectora de los sistemas de informática de la Empresa NN es la Administración, y el organismo competente para la aplicación de este ordenamiento, es el Comité.
ARTICULO 6°.- Las presentes Políticas aquí contenidas, son de observancia para la adquisición y uso de bienes y servicios informáticos, en la Empresa NN, cuyo incumplimiento generará que se incurra en responsabilidad administrativa; sujetándose a lo dispuesto en la sección Responsabilidades Administrativas de Sistemas.
ARTICULO 7°.- Las empresas de la Empresa NN deberán contar con un Jefe o responsable del Area de Sistemas, en el que recaiga la administración de los Bienes y Servicios, que vigilará la correcta aplicación de los ordenamientos establecidos por el Comité y demás disposiciones aplicables.
Ejemplo 1 de algunos fraudes con su respectivas soluciones
El operador del turno de la noche, cuyos conocimientos de programación eran mayores de los que los demás suponían, modifico (por consola) al archivo maestro de remuneraciones a efectos de lograr que se abonara a una remuneración más elevada a un operario del área de producción con el cual estaba emparentado. El fraude fue descubierto accidentalmente varios meses después.
El operador del turno de la noche, cuyos conocimientos de programación eran mayores de los que los demás suponían, modifico (por consola) al archivo maestro de remuneraciones a efectos de lograr que se abonara a una remuneración más elevada a un operario del área de producción con el cual estaba emparentado. El fraude fue descubierto accidentalmente varios meses después.
Alternativas de Solución
· Preparación de totales de control del usuario y reconciliación con los acumulados del campo remuneraciones, por el computador.
· Preparación de totales de control del usuario y reconciliación con los acumulados del campo remuneraciones, por el computador.
Ejemplo 2
Una cobranza en efectivo a un cliente registrada claramente en el correspondiente recibo como de $ 18,01, fue ingresada al computador por $ 1.801 según surge del listado diario de cobranzas en efectivo.
Alternativas de Solución
· Contraloría/Auditoría debería preparar y conservar totales de control de los lotes de recibos por cobranzas en efectivo. Estos totales deberían ser luego comparados con los totales según el listado diario de cobranzas en efectivo.
· Un test de razonabilidad asumiendo que un pago de $361.300 está definido como no razonable.
· Comparación automática de los pagos recibidos con las facturas pendientes por el número de factura y rechazar o imprimir aquellas discrepancias significativas o no razonables.
· Efectuar la Doble digitación de campos críticos tales como valor o importe.
Una cobranza en efectivo a un cliente registrada claramente en el correspondiente recibo como de $ 18,01, fue ingresada al computador por $ 1.801 según surge del listado diario de cobranzas en efectivo.
Alternativas de Solución
· Contraloría/Auditoría debería preparar y conservar totales de control de los lotes de recibos por cobranzas en efectivo. Estos totales deberían ser luego comparados con los totales según el listado diario de cobranzas en efectivo.
· Un test de razonabilidad asumiendo que un pago de $361.300 está definido como no razonable.
· Comparación automática de los pagos recibidos con las facturas pendientes por el número de factura y rechazar o imprimir aquellas discrepancias significativas o no razonables.
· Efectuar la Doble digitación de campos críticos tales como valor o importe.
Ejemplo 3
XXXXX Inc. Es un mayorista de equipos de radio que comercializa sus equipos a través de una vasta red de representantes. Sus clientes son minoristas locales y del exterior; algunos son considerados " clientes especiales", debido al volumen de sus compras, y los mismos son atendidos directamente por los supervisores de ventas. Los clientes especiales no se incrementan por lo general, en la misma proporción que aquellas facturadas a los clientes especiales.
Al incrementarse los precios, el archivo maestro de precios y condiciones de venta a clientes especiales no es automáticamente actualizado; los propios supervisores estipulan qué porción del incremento se aplica a cada uno de los clientes especiales.
El 2 de mayo la compañía incrementó sus precios de venta en un 23%; el archivo maestro de precios y condiciones de venta a clientes comunes fue actualizado en dicho porcentaje.
En lo que atañe a los clientes especiales, algunos supervisores incrementaron los precios en el referido porcentaje, en tanto que otros -por razones comerciales- recomendaron incrementos inferiores que oscilaron entre un 10% y un 20%. Estos nuevos precios de venta fueron informados a la oficina central por medio de formularios de datos de entrada, diseñados al efecto, procediéndose a la actualización del archivo maestro.
En la oportunidad, uno de los supervisores acordó con uno de sus clientes especiales no incrementar los precios de venta (omitió remitir el citado formulario para su procesamiento) a cambio de una "comisión’’ del 5% de las ventas.
Ningún funcionario en la oficina central detectó la no actualización de los precios facturados a referido cliente razón por la cual la compañía se vio perjudicada por el equivalente a US$ 50.000. El fraude fue descubierto accidentalmente, despidiéndose al involucrado, pero no se interrumpió la relación comercial.
Al incrementarse los precios, el archivo maestro de precios y condiciones de venta a clientes especiales no es automáticamente actualizado; los propios supervisores estipulan qué porción del incremento se aplica a cada uno de los clientes especiales.
El 2 de mayo la compañía incrementó sus precios de venta en un 23%; el archivo maestro de precios y condiciones de venta a clientes comunes fue actualizado en dicho porcentaje.
En lo que atañe a los clientes especiales, algunos supervisores incrementaron los precios en el referido porcentaje, en tanto que otros -por razones comerciales- recomendaron incrementos inferiores que oscilaron entre un 10% y un 20%. Estos nuevos precios de venta fueron informados a la oficina central por medio de formularios de datos de entrada, diseñados al efecto, procediéndose a la actualización del archivo maestro.
En la oportunidad, uno de los supervisores acordó con uno de sus clientes especiales no incrementar los precios de venta (omitió remitir el citado formulario para su procesamiento) a cambio de una "comisión’’ del 5% de las ventas.
Ningún funcionario en la oficina central detectó la no actualización de los precios facturados a referido cliente razón por la cual la compañía se vio perjudicada por el equivalente a US$ 50.000. El fraude fue descubierto accidentalmente, despidiéndose al involucrado, pero no se interrumpió la relación comercial.
Alternativas de Solución
· La empresa debería actualizar el archivo maestro de precios y condiciones de venta aplicando la totalidad del porcentaje de incremento.
· Los supervisores de venta deberían remitir formularios de entrada de datos transcribiendo los descuentos propuestos para clientes especiales.
· Los formularios deberían ser prenumerados, controlados y aprobados, antes de su procesamiento, por funcionarios competentes en la oficina central.
· Debe realizarse una revisión critica de listados de excepción emitidos con la nómina de aquellos clientes cuyos precios de venta se hubiesen incrementado en menos de un determinado porcentaje.
· La empresa debería actualizar el archivo maestro de precios y condiciones de venta aplicando la totalidad del porcentaje de incremento.
· Los supervisores de venta deberían remitir formularios de entrada de datos transcribiendo los descuentos propuestos para clientes especiales.
· Los formularios deberían ser prenumerados, controlados y aprobados, antes de su procesamiento, por funcionarios competentes en la oficina central.
· Debe realizarse una revisión critica de listados de excepción emitidos con la nómina de aquellos clientes cuyos precios de venta se hubiesen incrementado en menos de un determinado porcentaje.
No hay comentarios:
Publicar un comentario