A finales del siglo XX, los Sistemas Informáticos se han constituido en
las herramientas más poderosas para materializar uno de los conceptos más
vitales y necesarios para cualquier organización empresarial, los Sistemas de
Información de la empresa.
La Informática hoy, está subsumida en la gestión
integral de la empresa, y por eso las normas y estándares propiamente
informáticos deben estar, por lo tanto, sometidos a los generales de la misma.
En consecuencia, las organizaciones nformáticas forman parte de lo que se ha
denominado el "management" o gestión de la empresa. Cabe aclarar que
la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones,
pero no decide por sí misma. Por ende, debido a su importancia en el
funcionamiento de una empresa, existe la Auditoría Informática.
El término de Auditoría se ha
empleado incorrectamente con frecuencia ya que se ha considerado como una
evaluación cuyo único fin es detectar errores y señalar fallas. A causa de
esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de que,
en dicha entidad, antes de realizarse la auditoría, ya se habían detectado
fallas.
El concepto de auditoría es mucho más
que esto. Es un examen crítico que se realiza con el fin de evaluar la eficacia
y eficiencia de una sección, un organismo, una entidad, etc.
La auditoría es un examen crítico pero no mecánico,
que no implica la preexistencia de fallas en la entidad auditada y que persigue
el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un
organismo.
Consiste en
verificar la exactitud de la información sobre los resultados que produce un
sistema nuevo que sustituye a uno ya auditado, el procedimiento se hace sobre
los mismos datos reales con los procedimientos actuales y con los
procedimientos nuevos para luego comparar los resultados y detectar
inconsistencia.
Las técnicas de
auditoría de sistemas para probar controles de aplicaciones en producción, se
orientan básicamente a verificar cálculos en aplicaciones complejas, comprobar
la exactitud del procesamiento en forma global y específica y verificar el
cumplimiento de los controles pre-establecidos, de acuerdo con el manual
correspondiente.
• Método
de datos de prueba.
•
Evaluación del sistema de caso base.
•
Operación paralela.
•
Facilidad de prueba integrada.
•
Simulación paralela.
Método de datos de prueba: esta
técnica es utilizada normalmente por el analista-programador antes de enviar
los programas a producción. Consiste en ingresar un conjunto de datos para que
sean verificados a través del procesamiento del sistema, esto sirve para
detectar la entrega de resultados inconsistentes o no válidos, analizando las
posibles combinaciones de archivos maestros, valores y lógica de procesamiento.
Evaluación del sistema de caso base (ESCB): esta
técnica también se utiliza para comprobar la lógica de los programas y
precisión de cálculos pero con la cooperación de los usuarios, auditores y
personal del sistema por esta razón se vuelve más completa que la técnica de
datos de prueba. Se utiliza para validar los sistemas antes de entrar a
producción y para la auditoria a aplicaciones en producción.
Operación paralela: esta
técnica es utilizada para probar nuevos sistemas y verificar su exactitud.
Consiste en probar los mismos datos entre el sistema actual y el nuevo, el
sistema antiguo no se desecha hasta que el sistema nuevo dé los resultados
esperados.
Facilidad de prueba integrada (ITF): es
una técnica para probar los sistemas de aplicación en producción con datos
reales evaluándolo en un ambiente normal de producción. Se procesan las
transacciones de prueba en una entidad ficticia junto con las transacciones
reales de producción. Por esta razón se llama prueba integrada.
Simulación en paralelo: esta
técnica consiste en crear una rutina de uno o varios módulos del sistema a
auditar. De esta forma las rutinas leen iguales datos de entrada que los
programas de aplicación, utilizan los mismos archivos y tratan de producir
idénticos resultados que se someten a evaluación y comparaciones para
determinar discrepancia o errores.
TÉCNICAS PARA SELECCIONAR Y MONITOREAR
TRANSACCIONES
Estas técnicas son las más relevantes dentro
del proceso de evaluación de un sistema.
Estas técnicas son las que
definen la forma, manera, cantidad y calidad de capturar una muestra del
sistema de información para ser evaluadas.
Generalmente el auditor utiliza pruebas de rangos,
técnicas de muestreo y condiciones de error. Esto lo hace en base a criterio y
experiencia profesional.
Dentro de las técnicas más importante tenemos:
• Selección de transacciones de entrada.
• Archivo de revisión de auditoría como control del
sistema (SCARF).
• Archivo de revisión de auditoría por muestreo
(SARF).
• Registros extendidos.
Selección de transacciones de entrada: esta
técnica se ejecuta mediante un software de auditoría, que es independiente al
sistema de producción. Consiste en seleccionar y separar datos de entrada que
son parte de las aplicaciones. Y se las hace en base al criterio
profesional y experimentado del auditor. Estas transacciones separadas
son sometidas a un riguroso examen establecido por una adecuada planificación
del auditor.
Cabe mencionar que esta técnica es muy segura ya
que no existe el riesgo de la alteración de los datos del sistema de
información.
Archivo de revisión de auditoría como control del
sistema (SCARF):esta técnica consiste en incorporar aplicaciones de
auditoría en el sistema de producción para que ejecute distintos tipos de
supervisiones y monitoreo de transacciones de forma permanente.
La aplicación de este software se conoce como
subrutina. Una vez que esta subrutina cargue las transacciones se procederá a
la selección mediante muestreo previamente definidos por el auditor.
Archivo de revisión de auditoría por muestreo
(SARF): esta técnica (SARF) es muy similar a la
anterior (SCARF). Lo único que cambia es la selección de las transacciones
mediante al software ya que no son en forma automática y no son predefinidas,
sino que la selección de las muestra se realiza al azar. Su objetivo es
capturar archivos representativos para proceder a evaluarlos, esta técnica es
muy utilizada por los auditores externos ya que permite analizar las
transacciones y seleccionar los archivos en forma aleatoria o apoyándose con el
muestreo estadístico.
Para realizar este tipo de muestra se requiere de
un analista de sistema o programador para que separen los módulos a decisión del
auditor.
Registros extendidos: esta
técnica consiste en la aplicación de pequeñas rutinas que permiten recoger
todos los datos que han afectado una transacción. Estas rutinas son conocidas
como pistas de auditorías completas que son instaladas por el
personal del sistema y programación al momento de preparar el sistema en
producción, estos tipos de registros permiten tener un historial de todas las
actividades, secuencias y/o fallos de sistema.
TÉCNICAS PARA
EL EXAMEN DE ARCHIVOS
Permiten al
auditor establecer el alcance de la revisión, definir las tareas de interés y
la metodología a seguir para la ejecución del examen.
Dentro de las técnicas más importantes
para el examen de archivo, tenemos las siguientes.
- Programas Generalizado
de auditoria
- Programa de utilería o
de servicios
- Programa de auditoria a la medida
- Vaciado de archivos
Programas generalizados de auditoria: esta
técnica para evaluar archivos es muy general, se basa en procesos y
procedimientos estándar para evaluar e investigar las deficiencias y falencias.
Programa de utilería o de servicios:consiste en un software que mucha de las instalaciones de procesamiento electrónico de datos PED lo poseen como parte de sus herramientas para CLASIFICAR, SELECCIONAR, INSERTAR, COPIAR, FUSIONAR, IMPRIMIR, BUSCAR, INTERCALAR.
En la actualidad la mayoría de los auditores
utilizan herramientas o utilitarios como parte de su apoyo informático que
cumplen y realizan funciones iguales en las PED pero así mismo a este tipo de
utilitarios o herramientas hay que ponerle mucho control debido a que muchos de
estos utilitarios pueden hacer gran cantidad de modificaciones y no dejar
rastro, pero así mismo existen otros programas que no alteran los datos de
prueba.
Programa de auditoria a la medida: son
rutinas diseñadas para evaluar los procesos sistematizados de la empresa. Se
dividen en dos tipos, la primera es diseñada por el departamento de
programación o sistema de la empresa para monitorear o diseñar medidas de
control y el segundo es realizado por el mismo auditor. Este programa es
diseñado a la necesidad de la empresa y disponibilidad del auditor.
Vaciado de archivos: esta
técnica permite al auditor examinar el contenido de los archivos mediante una
copia o vaciado de los datos a un medio de almacenamiento secundario, este
vaciado se lo puede realizar en cualquier medio de almacenamiento
computarizado. Generalmente el auditor realiza transacciones para hacerle el
respectivo seguimiento para luego verificar la secuencia y resultado lógico
en los archivos maestros.
TÉCNICAS PARA
EXAMINAR PROGRAMAS DE APLICACIÓN
Se
define a los programas de aplicación como aquellos que siendo estandarizados y
a la medida tiene como objetivo resolver problemas utilizando el computador.
·
Snapshot (Imagen Instantánea )
·
Mapping (Mapeo)
·
Tracing (Rastreo)
·
Flujogramas de control
(control flowcharting)
·
Comparaciones de
código
·
Control de bytes
·
Análisis de la lógica de los programas
Snapshot (Imagen Instantánea): es
la técnica que permite una copia o fotografía de la memoria del computador que
contiene todos los elementos de un proceso de decisión en el momento de su
ejecución. EL SNAPSHOT es un programa utilitario que opera en sistema de
producciones en los sistemas interactivos y de proceso Bacht. Esta técnica
describe los problemas de programas de las computadoras, además proporciona un
método para examinar la memoria de la computadora durante el procesamiento.
Mapping (Mapeo): es
una técnica ejecutada por una herramienta de medición de software que analiza
un programa de computador, durante su ejecución para determinar si son
utilizadas todas las instrucciones del programa.
Posee un contador de número de veces que es ejecutada cada instrucción y mide
el tiempo consumido de cada instrucción del computador. Esta técnica es la que
se encarga de aislar o deshabilitar funciones que pudieron haber sido ingresada
con propósitos ilícitos, además identifica instrucciones no utilizadas y
ejecuta procedimiento de depuración de software.
Tracing (Rastreo): esta
técnica se muestra en un lenguaje de programación y permite realizar un
seguimiento ya que identifica y muestra en forma secuencial las instrucciones
que han sido ejecutadas, como resultado nos arroja un listado de todas las
tracciones efectuadas que servirá como evidencia de todas las acciones y
transacciones realizadas para el auditor.
Flujogramas de control (control flowcharting): este
tipo de técnica permite evaluar de forma integral al sistema a su vez permite
relacionar e interpretar los controles lógicos con los controles manuales y
realizar un seguimiento para verificar la operación de los mismos controles.
Comparaciones de código: sirve
para comparar dos tipos de versiones de un mismo programa, también para revisar
la copia del sistema que va a ser entregado al auditor para que lo evalué o
para revisar las secuencias de las actualizaciones de un sistema; esto permite
verificar los procedimientos de mantenimientos y cambios de los programa. Esta
técnica no proporciona evidencia de la confiabilidad de los archivos de datos
ni sobre la eficiencia y eficacia de los programas. La ejecución de este
programa se lo puede realizar en código fuente y código objeto.
Análisis de la lógica de los Programas: esta
expresa que si los controles de los programas están funcionando de forma
eficiente y efectiva y que los procesos de los datos se encuentran de acuerdo a
las políticas establecidas basta con la revisión profunda de la lógica del
sistema mediante varios de los manuales y documentos del sistema tales como:
una narración descriptiva y detallada del programa, el diagrama de la lógica de
los programas detallados y los listados de los programas.
No hay comentarios.:
Publicar un comentario