Auditoría el procesamiento electrónico de datos (PED)

Auditoría el procesamiento electrónico de datos (PED)

El avance de la tecnología y el consecuente con abatimiento de los costos de los equipos de proceso electrónico de datos (PED), ha originado que cada vez sea mayor el número de empresas que utilizan estos equipos como una herramienta para el proceso de información.

Para efectos de este Boletín, el Centro de PED. Abarca, por lo menos, las siguientes

Actividades:

1. El manejo de archivos de datos grabados en un medio legible por El equipo de PED y la actualización de los mismos, en los sistemas que así lo requieran.

1. La condición de los datos incluidos en los reportes con la formación de los documentos fuente, cuando sea aplicable y la distribución de los reportes.

1. La identificación y control de las transacciones erróneas detectadas durante El proceso y el seguimiento de su corrección y reincorporación al proceso.

1. El desarrollo de nuevos sistemas susceptibles de automatizarse (o la conversión de
2. sistemas manuales o mecánicos), incluyendo el estudio preliminar, la definición de requerimientos y especificaciones técnicas.

1. El mantenimiento (modificaciones a los sistemas y programas existentes y el desarrollo de la documentación respectiva).

1. El desarrollo, establecimiento y documentación de política, procedimientos y estándares relacionados con las actividades del Centro.

AUDITORIA EN AMBIENTE INFORMÁTICO

Consiste en la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participa en el procesamiento de la información, a fin de que por medio de conocimientos profesionales se logre una utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones.

Mediante una revisión adecuada del sistema de procesamiento electrónico de datos y el uso de formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para el control del cliente.

PROCESAMIENTO ELECTRÓNICO DE DATOS

Al evaluar la información automática, el auditor debe revisar varios documentos, como diagramas de flujo y documentos de programación, para lograr un mejor entendimiento del sistema y los controles que se diseñaron en el sistema de procesamiento electrónico de datos, el auditor probablemente, encuentre nuevos controles, algunos de ellos necesarios para la automatización del proceso, y algunos que sustituyen aquellos que en los métodos manuales se basaron en juicios humanos y la división de labores.

Muchos de los controles en ambientes informáticos, pueden combinarse en los programas de computadoras con el proceso manual.

CARACTERÍSTICAS QUE DISTINGUEN AL PROCESAMIENTO CON COMPUTADORA DEL PROCESAMIENTO MANUAL.

• El sistema Procesamiento Electrónico de Datos (PED) puede producir una pista o huella de transacciones para fines de auditoría que tan solo sea aplicable por un breve periodo,(ventas por teléfono).
• Con frecuencia existe menos evidencia documental de los procedimientos del control del sistema computarizado que en sistemas manuales.
• La información dentro de los sistemas manuales es visible.
• la menor participación humana en el PED puede ocultar errores que si pueden observarse con los sistemas manuales.
• La información de los sistemas manuales puede ser más vulnerable a desastres físicos, manipulación no autorizada y mal funcionamiento mecánico.

AUDITORIA FÍSICA

La auditoría física, interna o externa, no es sino una auditoría parcial, por lo que no difiere de la auditoría general más que en el Alcance de la misma.

FUENTES DE LA AUDITORÍA FÍSICA

• Políticas, normas y planes sobre seguridad emitidos y distribuidos por la Dirección de la empresa como por el Dpto. de Seguridad.
• Auditorías anteriores, generales, parciales, referentes o relacionadas a la seguridad física
• Contratos de seguros, proveedores y de mantenimiento.
• Entrevistas con el personal de seguridad, personal informático, responsables de la seguridad dentro del edificio, personal de limpieza y mantenimiento.
• Actas e informes de técnicos y consultores, peritos que diagnostiquen el estado físico del edificio, electricidad, sistemas de seguridad, alarmas.
• Plan de contingencia.
• Informes sobre acceso y visitas, diferenciando áreas.
• Políticas de personal, inventarios de soportes.

OBJETIVOS DE LA AUDITORÍA FÍSICA

• Los datos son el primer objetivo de toda seguridad. La seguridad física es más amplia y alcanza otros conceptos entre los que puede haber alguno que supere en importancia a los propios datos.
• Edificio
• Instalaciones
• Equipamiento y telecomunicaciones
• Datos
• Personas

TÉCNICAS Y HERRAMIENTAS

Técnicas:

• Observación de las instalaciones, sistemas, cumplimiento de normas y procedimientos, etc., no sólo como espectador sino también como actor, comprobando por sí mismo el perfecto funcionamiento y utilización de los conceptos anteriores.
• Revisión analítica de: Documentación sobre construcción y preinstalaciones, sobre seguridad física; políticas y normas de actividad, normas y procedimientos sobre seguridad física de los datos, contratos de seguros y de mantenimiento.
• Entrevistas con directivos y personal, fijo o temporal.
• Consultas a técnicos y peritos de la empresa y/o contratados.

Herramientas

• Cuaderno de campo/grabadora de audio
• Máquina fotográfica/ cámara de video
• Su uso debe ser discreto y siempre con el consentimiento del personal si éste va a quedar identificado en cualquiera de las máquinas.

RESPONSABILIDADES DEL AUDITOR INFORMÁTICO INTERNO

• Revisar los controles relativos a seguridad física.
• Revisar el cumplimiento de los procedimientos
• Evaluar riesgos
• Participar sin perder independencia en: Selección, adquisición e implantación de equipos y materiales; planes de seguridad y de contingencia, seguimiento, actualización y pruebas.
• Efectuar auditorías programadas e imprevistas
• Emitir informes y efectuar el seguimiento de las recomendaciones.

RESPONSABILIDADES DEL AUDITOR INFORMÁTICO EXTERNO

• Revisar las funciones de los auditores internos.
• Mismas responsabilidades que los auditores internos.
• Revisar los planes de seguridad y contingencias. Efectuar pruebas.
• Emitir informes y recomendaciones.

FASES DE LA AUDITORÍA FÍSICA

1. Alcance de la auditoría
2. Adquisición de Información General
3. Administración y planificación
4. Plan de auditoría
5. Resultado de las pruebas
6. Conclusiones y comentarios
7. Borrador de informe
8. Discusión con los responsables de área
9. Informe final (Informe, Anexos, evidencias)
10. Seguimiento de las modificaciones acordadas.

AUDITORÍA DE LA EXPLOTACIÓN

• Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones.
• La Explotación Informática se divide en tres grandes áreas: Planificación, Producción y Soporte Técnico, en la que cada cual tiene varios grupos.

Control de Entrada de Datos:

• Se analizará la captura de la información en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisión de datos entre entornos diferentes. Se verificará que los controles de integridad y calidad de datos se realizan de acuerdo a Norma.

Planificación y Recepción de Aplicaciones:

• Se auditarán las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su cumplimiento y su calidad de interlocutor único.
• Deberán realizarse muestreos selectivos de la Documentación de las Aplicaciones explotadas.

• Se inquirirá sobre la anticipación de contactos con Desarrollo para la planificación a medio y largo plazo.

Centro de Control y Seguimiento de Trabajos:

• Se analizará cómo se prepara, se lanza y se sigue la producción  diaria.
•  Básicamente, la explotación Informática ejecuta procesos  por cadenas o lotes sucesivos (Batch*), o en tiempo  real (Tiempo Real*).
•  Mientras que las Aplicaciones de Teleproceso están permanentemente activas y la función de Explotación se limita a vigilar y recuperar incidencias,el trabajo Batch absorbe una buena parte de los efectivos de Explotación.
•  En muchos Centros de Proceso de Datos, éste órgano recibe el nombre de Centro de Control de Batch.
• Este grupo determina el éxito de la explotación, en cuanto que es uno de los factores más importantes en el mantenimiento de la producción.

Batch y Tiempo Real:

• Las Aplicaciones que son Batch son Aplicaciones que cargan mucha información durante el día y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la información, calcular cosas y obtener como salida, por ejemplo, reportes. O sea, recolecta información durante el día, pero todavía no procesa nada. Es solamente un tema de "Data Entry" que recolecta información, corre el proceso Batch (por lotes), y calcula todo lo necesario para arrancar al día siguiente.
• Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la información correspondiente, inmediatamente procesan y devuelven un resultado. Son Sistemas que tienen que responder en Tiempo Real.

Operación. Salas de Ordenadores:

• Se intentarán analizar las relaciones personales y la coherencia de cargos y salarios, así como la equidad en la asignación de turnos de trabajo.
• Se verificará la existencia de un responsable de Sala en cada turno de trabajo.
• Se analizará el grado de automatización de comandos.
• Se verificará la existencia y grado de uso de los Manuales de Operación.
• Se analizará no solo la existencia de planes de formación, sino el cumplimiento de los mismos y el tiempo transcurrido para cada Operador desde el último Curso recibido.
• Se estudiarán los montajes diarios y por horas de cintas o cartuchos, así como los tiempos transcurridos entre la petición de montaje por parte del Sistema hasta el montaje real.
• Se verificarán las líneas de papel impresas diarias y por horas, así como la manipulación de papel que comportan

Centro de Control de Red y Centro de Diagnosis (mesa ayuda):

• El Centro de Control de Red suele ubicarse en el área de producción de Explotación. Sus funciones se refieren exclusivamente al ámbito de las Comunicaciones, estando muy relacionado con la organización de Software de Comunicaciones de Técnicas de Sistemas.
•  Debe analizarse la fluidez de esa relación y el grado de coordinación entre ambos.
• Se verificará la existencia de un punto focal único, desde el cual sean perceptibles todos las líneas asociadas al Sistema.
• El Centro de Diagnosis es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufrido averías o incidencias, tanto de Software como de Hardware.
• El Centro de Diagnosis está especialmente indicado para informáticos grandes y con usuarios dispersos en un amplio territorio.
• Es uno de los elementos que más contribuyen a configurar la imagen de la Informática de la empresa.
• Debe ser auditada desde esta perspectiva, desde la sensibilidad del usuario sobre el servicio que se le dispone.
•  No basta con comprobar la eficiencia técnica del Centro, es necesario analizarlo simultáneamente en el ámbito de Usuario. 

AUDITORIA AL DESARROLLO

La auditoría de desarrollo, o "fundraising audit" en inglés, se refiere a un autoanálisis institucional para evaluar la eficacia de los esfuerzos actuales de procuración de fondos de la organización y para identificar capacidades y debilidades en sus sistemas de desarrollo (personal, junta directiva, políticas internas, y prácticas). La auditoría sirve para evaluar la preparación de la organización para emprender nuevas inciativas de desarrollo de fondos y recursos.

...