jueves, 4 de julio de 2019

Tecnicas para la Auditoria de Sistemas


A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa.

     La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones nformáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática.

            El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas.

          El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.
      La auditoría es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo.

TÉCNICAS PARA PROBAR CONTROLES DE APLICACIONES EN PRODUCCIÓN

Consiste en verificar la exactitud de la información sobre los resultados que produce un sistema nuevo que sustituye a uno ya auditado, el procedimiento se hace sobre los mismos datos reales con los procedimientos actuales y con los procedimientos nuevos para luego comparar los resultados y detectar inconsistencia. 

Las técnicas de auditoría de sistemas para probar controles de aplicaciones en producción, se orientan básicamente a verificar cálculos en aplicaciones complejas, comprobar la exactitud del procesamiento en forma global y específica y verificar el cumplimiento de los controles pre-establecidos, de acuerdo con el manual correspondiente.

Entre este tipo de prueba se encuentra las siguientes:      
•        Método de datos de prueba.
•        Evaluación del sistema de caso base.
•        Operación paralela.
•        Facilidad de prueba integrada.
•        Simulación paralela.

Método de datos de prueba: esta técnica es utilizada normalmente por el analista-programador antes de enviar los programas a producción. Consiste en ingresar un conjunto de datos para que sean verificados a través del procesamiento del sistema, esto sirve para detectar la entrega de resultados inconsistentes o no válidos, analizando las posibles combinaciones de archivos maestros, valores y lógica de procesamiento.

Evaluación del sistema de caso base (ESCB): esta técnica también se utiliza para comprobar la lógica de los programas y precisión de cálculos pero con la cooperación de los usuarios, auditores y personal del sistema por esta razón se vuelve más completa que la técnica de datos de prueba. Se utiliza para validar los sistemas antes de entrar a producción y para la auditoria a aplicaciones en producción.

Operación paralela: esta técnica es utilizada para probar nuevos sistemas y verificar su exactitud. Consiste en probar los mismos datos entre el sistema actual y el nuevo, el sistema antiguo no se desecha hasta que el sistema nuevo dé los resultados esperados.

Facilidad de prueba integrada (ITF): es una técnica para probar los sistemas de aplicación en producción con datos reales evaluándolo en un ambiente normal de producción. Se procesan las transacciones de prueba en una entidad ficticia junto con las transacciones reales de producción. Por esta razón se llama prueba integrada.


Simulación en paralelo: esta técnica consiste en crear una rutina de uno o varios módulos del sistema a auditar. De esta forma las rutinas leen iguales datos de entrada que los programas de aplicación, utilizan los mismos archivos y tratan de producir idénticos resultados que se someten a evaluación y comparaciones para determinar discrepancia o errores.


TÉCNICAS PARA SELECCIONAR Y MONITOREAR TRANSACCIONES

Estas técnicas son las más relevantes  dentro del proceso de evaluación de un sistema.

      Estas técnicas son las que definen la forma,  manera, cantidad y calidad de capturar una muestra del sistema de información para ser evaluadas.
Generalmente el auditor utiliza pruebas de rangos, técnicas de muestreo y condiciones de error. Esto lo hace en base a criterio y experiencia profesional.
Dentro de las técnicas más importante tenemos:
• Selección de transacciones de entrada.
• Archivo de revisión de auditoría como control del sistema (SCARF).
• Archivo de revisión de auditoría por muestreo (SARF).
• Registros extendidos.

Selección de transacciones de entrada: esta técnica se ejecuta mediante un software de auditoría, que es independiente al sistema de producción. Consiste en seleccionar y separar datos de entrada que son parte de las aplicaciones. Y se las hace en base al criterio profesional  y experimentado del auditor. Estas transacciones separadas son sometidas a un riguroso examen establecido por una adecuada planificación del auditor.
Cabe mencionar que esta técnica es muy segura ya que no existe el riesgo de la alteración de los datos del sistema de información.

Archivo de revisión de auditoría como control del sistema (SCARF):esta técnica consiste en incorporar aplicaciones de auditoría en el sistema de producción para que ejecute distintos tipos de supervisiones y monitoreo de transacciones de forma permanente.
La aplicación de este software se conoce como subrutina. Una vez que esta subrutina cargue las transacciones se procederá a la selección mediante muestreo previamente definidos por el auditor.

Archivo de revisión de auditoría por muestreo (SARF): esta técnica (SARF) es muy similar a la anterior (SCARF). Lo único que cambia es la selección de las transacciones mediante al software ya que no son en forma automática y no son predefinidas, sino que la selección de las muestra se realiza al azar. Su objetivo es capturar archivos representativos para proceder a evaluarlos, esta técnica es muy utilizada por los auditores externos ya que permite analizar las transacciones y seleccionar los archivos en forma aleatoria o apoyándose con el muestreo estadístico.
Para realizar este tipo de muestra se requiere de un analista de sistema o programador para que separen los módulos a decisión del auditor.

Registros extendidos: esta técnica consiste en la aplicación de pequeñas rutinas que permiten recoger todos los datos que han afectado una transacción. Estas rutinas son conocidas como pistas de auditorías completas   que son instaladas por el personal del sistema y programación al momento de  preparar el sistema en producción, estos tipos de registros permiten tener un historial de todas las actividades, secuencias y/o fallos de sistema.
TÉCNICAS PARA EL EXAMEN DE ARCHIVOS

 Permiten al auditor establecer el alcance de la revisión, definir las tareas de interés y la metodología a seguir para la ejecución del examen.

Dentro de las técnicas más importantes para el examen de archivo, tenemos las siguientes. 

   - Programas Generalizado de auditoria
   - Programa de utilería o de servicios
             - Programa de auditoria a la medida
             - Vaciado de archivos

Programas generalizados de auditoria: esta técnica para evaluar archivos es muy general, se basa en procesos y procedimientos estándar para evaluar e investigar las deficiencias y falencias.


Programa de utilería o de servicios:consiste en un software que mucha de las instalaciones de procesamiento electrónico de datos PED lo poseen como parte de sus herramientas para CLASIFICAR, SELECCIONAR, INSERTAR, COPIAR, FUSIONAR, IMPRIMIR, BUSCAR, INTERCALAR. 

En la actualidad la mayoría de los auditores utilizan herramientas o utilitarios como parte de su apoyo informático que cumplen y realizan funciones iguales en las PED pero así mismo a este tipo de utilitarios o herramientas hay que ponerle mucho control debido a que muchos de estos utilitarios pueden hacer gran cantidad de modificaciones y no dejar rastro, pero así mismo existen otros programas que no alteran los datos de prueba.

Programa de auditoria a la medida: son rutinas diseñadas para evaluar los procesos sistematizados de la empresa. Se dividen en dos tipos, la primera es diseñada por el departamento de programación o sistema de la empresa para monitorear o diseñar medidas de control y el segundo es realizado por el mismo auditor. Este programa es diseñado a la necesidad de la empresa y disponibilidad del auditor.


Vaciado de archivos: esta técnica permite al auditor examinar el contenido de los archivos mediante una copia o vaciado de los datos a un medio de almacenamiento secundario, este vaciado se lo puede realizar en cualquier medio de almacenamiento computarizado. Generalmente el auditor realiza transacciones para hacerle el respectivo seguimiento  para luego verificar la secuencia y resultado lógico en los archivos maestros.


TÉCNICAS PARA EXAMINAR PROGRAMAS DE APLICACIÓN

         Se define a los programas de aplicación como aquellos que siendo estandarizados y a la medida tiene como objetivo resolver problemas utilizando el computador.


·           Snapshot (Imagen Instantánea ) 
·           Mapping (Mapeo)
·            Tracing (Rastreo)
·            Flujogramas de control (control flowcharting) 
·            Comparaciones de código
·            Control de bytes
·           Análisis de la lógica de los programas

Snapshot (Imagen Instantánea): es la técnica que permite una copia o fotografía de la memoria del computador que contiene todos los elementos de un proceso de decisión en el momento de su ejecución. EL SNAPSHOT es un programa utilitario que opera en sistema de producciones en los sistemas interactivos y de proceso Bacht. Esta técnica describe los problemas de programas de las computadoras, además proporciona un método para examinar la memoria de la computadora durante el procesamiento.

Mapping (Mapeo): es una técnica ejecutada por una herramienta de medición de software que analiza un programa de computador, durante su ejecución para determinar si son utilizadas todas las instrucciones del programa.

         Posee un contador de número de veces que es ejecutada cada instrucción y mide el tiempo consumido de cada instrucción del computador. Esta técnica es la que se encarga de aislar o deshabilitar funciones que pudieron haber sido ingresada con propósitos ilícitos, además identifica instrucciones no utilizadas y ejecuta procedimiento de depuración de software.

Tracing (Rastreo): esta técnica se muestra en un lenguaje de programación y permite realizar un seguimiento ya que identifica y muestra en forma secuencial las instrucciones que han sido ejecutadas, como resultado nos arroja un listado de todas las tracciones efectuadas que servirá como evidencia de todas las acciones y transacciones realizadas para el auditor.

Flujogramas de control (control flowcharting): este tipo de técnica permite evaluar de forma integral al sistema a su vez permite relacionar e interpretar los controles lógicos con los controles manuales y realizar un seguimiento para verificar la operación de los mismos controles.

Comparaciones de código: sirve para comparar dos tipos de versiones de un mismo programa, también para revisar la copia del sistema que va a ser entregado al auditor para que lo evalué o para revisar las secuencias de las actualizaciones de un sistema; esto permite verificar los procedimientos de mantenimientos y cambios de los programa. Esta técnica no proporciona evidencia de la confiabilidad de los archivos de datos ni sobre la eficiencia y eficacia de los programas. La ejecución de este programa se lo puede realizar en código fuente y código objeto.

Control de Bytes: es uno de los más seguros y adoptados por los auditores debido a que se somete al conteo de números de Bytes para detectar por medio de este, variaciones o alteraciones del sistema no autorizadas. Este control ofrece un alto grado de confidencialidad en materia de integridad e inviolabilidad.

Análisis de la lógica de los Programas: esta expresa que si los controles de los programas están funcionando de forma eficiente y efectiva y que los procesos de los datos se encuentran de acuerdo a las políticas establecidas basta con la revisión profunda de la lógica del sistema mediante varios de los manuales y documentos del sistema tales como: una narración descriptiva y detallada del programa, el diagrama de la lógica de los programas detallados y los listados de los programas. 

No hay comentarios.:

Publicar un comentario