Tema 2 Introducción a la Auditoría de Sistemas de Información

Transcripción

1 Bloque II EL PROCESO Y LOS ELEMENTOS DE LA AUDITORÍA DE SSII Tema 2 Introducción a la Auditoría de Sistemas de Información José F Vélez Serrano Francisco Nava Tema 1 Introducción a la auditoría de SSII 1/41

2 Índice Índice Breve historia de la auditoría de SSII Razones para auditar y controlar los SSII Definición de la Auditoría de Sistemas de Información Efectos del PED sobre los controles internos Efectos del PED sobre la Auditoría Fundamentos de la Auditoría de SSII Referencias Tema 1 Introducción a la auditoría de SSII 2/41

3 Breve historia de la auditoría de SSII Auditoría alrededor del ordenador. Auditoría convencional con un elemento exótico. El ordenador como caja negra. Auditoría del ordenador. Se adaptaron los criterios al centro de proceso de datos. Auditoría a través del ordenador. Se comienza a estudiar el tratamiento de la información en las aplicaciones. Auditoría con el ordenador. El auditor comienza a usar el ordenador para conseguir pruebas y evidencias. Auditoría operativa de proceso de datos. Basada en al auditoría operativa estudia la eficacia y la eficiencia del tratamiento automático de los datos. Tema 1 Introducción a la auditoría de SSII 3/41

4 Razones para auditar y controlar los SSII Las principales razones son: Toma de decisiones incorrectas Coste de los errores Control del uso de la tecnología Consecuencias de las pérdidas de datos Valor del hardware, del software y del personal Privacidad de los datos personales Fraude informático Tema 1 Introducción a la auditoría de SSII 4/41

5 Razones para auditar y controlar los SSII Toma de decisiones incorrectas Los datos inexactos pueden acarrear pérdidas económicas o perdida del control de los procesos. Factores a tener en cuenta: Los datos utilizados para las decisiones a corto plazo deben gozar de alta exactitud. Los datos utilizados para las decisiones a largo plazo tiene un margen de error mayor. Se debe evaluar el grado de precisión de los datos que se manejan en relación a las decisiones que sustentan. Tema 1 Introducción a la auditoría de SSII 5/41

6 Razones para auditar y controlar los SSII Coste de los errores Los errores tienen coste económico Factores a tener en cuenta: Errores inasumibles en funciones críticas: monitoreo de pacientes, pagos de intereses, dirección de barcos, diseño de satélites... Errores que reducen la credibilidad de la empresa: errores en informes, errores en plazos de entrega... Operar según normas, pruebas y revisiones evitan errores Tema 1 Introducción a la auditoría de SSII 6/41

7 Razones para auditar y controlar los SSII Control del uso de la tecnología La responsabilidad no puede desaparecer Factores a tener en cuenta: En que casos debe utilizarse y en que casos debe prohibirse el uso de tecnología: control aéreo, conducción de vehículos, operaciones médicas... Quién es responsable cuando un sistema falla: los sistemas, las compañías que los usan, las compañías que los proporcionan, las personas que los desarrollan... La normativa y los contratos deben explicar estos puntos Tema 1 Introducción a la auditoría de SSII 7/41

8 Razones para auditar y controlar los SSII Consecuencias de las pérdidas de datos Los datos son un recurso crítico para las operaciones de una organización Factores a tener en cuenta: Pérdida de histórico (pasado) Pérdida de los planes a corto plazo (presente) Operaciones deterioradas (presente) Pérdida de planes estratégicos (futuro) Pérdida de imagen respecto a terceros Pérdida de confianza en los sistemas Respaldos adecuados y controles de los mismos Tema 1 Introducción a la auditoría de SSII 8/41

9 Razones para auditar y controlar los SSII Valor del Hardware, del software y del personal La organización no puede detenerse Factores a tener en cuenta: El alto nivel de cualificación del personal informático lo hacen un recurso muy valioso. Tras la destrucción o corrupción del software la organización quizás no pueda continuar sus operaciones. El fallo del hardware también puede detener el funcionamiento de una organización. Prever las bajas, tener personal preparado por duplicado, tener sistemas duplicados, copias de seguridad... Tema 1 Introducción a la auditoría de SSII 9/41

10 Razones para auditar y controlar los SSII Privacidad El tratamiento informático de datos personales erosiona la privacidad de las personas Factores a tener en cuenta: Enfoque fuerte: La informática no debe permitir que los datos personales puedan ser integrados, procesados y recuperados rápidamente. Enfoque débil: Los datos solo deben usarse para el propósito para el que fueron recogidos. Y siempre pueden eliminarse bajo petición. Probar la imposibilidad del acceso a los datos privados Tema 1 Introducción a la auditoría de SSII 10/41

11 Razones para auditar y controlar los SSII Fraude Incidentes relacionados con la informática en el que un causante gana y una víctima pierde Factores a tener en cuenta: El control del fraude puede ser difícil debido a temas legales (privacidad, jurisdicción...) Solo las personas pueden ser defraudadas. Protección de los activos, uso de protocolos estándar, conocer la legislación aplicable Tema 1 Introducción a la auditoría de SSII 11/41

12 Definición de la Auditoría de Sistemas de Información La Auditoría de SSII es el proceso de: recoger y evaluar las evidencias para dar una opinión sobre: la salvaguarda de los activos, la integridad de los datos, la eficacia y la eficiencia en la consecución de los objetivos de la organización Tema 1 Introducción a la auditoría de SSII 12/41

13 Definición de la Auditoría de Sistemas de Información La Auditoría de Sistemas de Información ayuda a las organizaciones a conseguir esos objetivos Tema 1 Introducción a la auditoría de SSII 13/41

14 Definición de la Auditoría de Sistemas de Información Los activos son: La salvaguarda de los activos El hardware, y la documentación del sistema, que puede ser dañado físicamente. El software y los ficheros de datos, que pueden ser robados o espiados. El personal y los suministros. Todo debe estar protegido por un sistema de control interno Tema 1 Introducción a la auditoría de SSII 14/41

15 Definición de la Auditoría de Sistemas de Información La integridad de los datos El valor de un dato depende de su contribución a la reducción de incertidumbre y su valor debe incrementarse por cada usuario del dato. Aspectos: Exactitud (Accurazy), precisión de los datos. Completitud (Completeness), datos encontrados respecto al total. Fiabilidad (reliability), válida, sin errores, y representativa. La integridad tiene un coste, y los beneficios deben superar el coste de los procedimientos de control que se establezcan Tema 1 Introducción a la auditoría de SSII 15/41

16 Definición de la Auditoría de Sistemas de Información Aspectos: La eficacia Un sistema eficaz es el que consigue sus objetivos La auditoría de eficacia se realiza cuando el sistema ya lleva tiempo funcionando, para saber si cumple las necesidades de los usuarios. Cuando un sistema es difícil de construir, se puede realizar una auditoría del diseño, para averiguar si el resultado responderá a las necesidades. El auditor necesita conocer las características de los usuarios y su marco de toma de decisiones, para saber si el sistema las facilita Tema 1 Introducción a la auditoría de SSII 16/41

17 Definición de la Auditoría de Sistemas de Información La eficiencia Un sistema eficiente es el que minimiza los recursos para conseguir sus objetivos Aspectos: Los recursos siempre son escasos para la demanda: Tiempo, máquinas, comunicaciones, personas No se puede evaluar aisladamente debido a sus dependencias con otros sistemas (sistemas lentos que penalizan, líneas de comunicación, personas...).. La eficiencia es clave cuando el sistema informático tiene poca capacidad. Hay que decidir si ampliar la capacidad de los sistemas informáticos o mejorar el software. La auditoría detecta problemas de capacidad y los relaciona con cuellos de botella o con aplicaciones ineficientes. Tema 1 Introducción a la auditoría de SSII 17/41

18 Efectos del PED sobre los controles internos En un sistema de Proceso Electrónico de Datos (PED) el sistema de control interno sigue teniendo los mismos componentes que en uno clásico: Segregación de funciones Delegación de responsabilidad y autoridad Competencia del personal Sistema de autorizaciones Documentación y registros adecuados Control físico sobre activos y registros Adecuada supervisión de la gestión Verificación independiente de las operaciones Comparación periódica de los registros con los activos Tema 1 Introducción a la auditoría de SSII 18/41

19 Efectos del PED sobre los controles internos Segregación de funciones Previene y detecta errores e irregularidades. La segregación clásica no es válida: En un sistema manual distintas personas deben: Iniciar las transacciones, registrar las transacciones, custodiar activos... Un mismo programa puede: Reconciliar una factura de un proveedor contra el documento recibido e imprimir un talón por la cantidad adeudada al proveedor (funciones incompatibles en un sistema manual). En sistemas informatizados se deben verificar la segregación de: La capacidad de ejecutar el programa en el entorno de producción La capacidad de modificar el programa En entornos con miniordenadores y PCs la segregación de estas funciones puede ser difícil de conseguir. Deben existir: contraseñas, permisos de escritura, registro de cambios. Tema 1 Introducción a la auditoría de SSII 19/41

20 Efectos del PED sobre los controles internos Delegación de la responsabilidad y de la autoridad La especificación clara de la responsabilidad y de la autoridad es un control esencial Aspectos a considerar: En un sistema informatizado, puede ser difícil de conseguir una especificación no ambigua pues algunos recursos se comparten entre distintos usuarios. Por ejemplo, si varios usuarios acceden a los mismos datos y se viola la integridad de los datos puede ser difícil determinar la responsabilidad de: La corrupción de los datos Responsable de identificar y corregir el error. Se debe comprobar la existencia de traza adecuada en cada caso y la imposibilidad de suplantación y eliminación de rastro Tema 1 Introducción a la auditoría de SSII 20/41

21 Efectos del PED sobre los controles internos Personal competente y de confianza La existencia de personal competente y de confianza es cada vez más importante Aspectos a considerar: Como la tecnología informática es cada vez más compleja se necesita personal muy cualificado para: desarrollar, mantener y operar los sistemas informáticos. Un pequeño número de personas asumen la responsabilidad de la integridad de los datos. La alta rotación del personal hace difícil evaluar su adecuada cualificación. Se puede verificar la posibilidad de ausencias, la existencia de cuellos de botellas... Tema 1 Introducción a la auditoría de SSII 21/41

22 Efectos del PED sobre los controles internos Sistema de autorizaciones Los programas cumplen el sistema de autorizaciones Aspectos a considerar: Normalmente la dirección da dos tipos de autorización para ejecutar las transacciones: Generales establecen políticas a seguir (una lista fija de precios para el personal de ventas) Específicas aplican a transacciones específicas (las compras de valor muy elevado deben ser aprobadas por el comité de dirección) Cambia la forma de evaluar el seguimiento de las autorizaciones: En un sistema manual se examinan el trabajo de los empleados. En un sistema informático, el procedimiento de autorización suele estar imbuido en un programa, por lo que se debe verificar además la veracidad del programa. Verificar que los programas cumplen el sistema de autorizaciones Tema 1 Introducción a la auditoría de SSII 22/41

23 Efectos del PED sobre los controles internos Documentación y registros adecuados El sistema debe registrar todos los eventos y se debe poder acceder a esos registros Aspectos a considerar: En un sistema manual hay un soporte documental para permitir un rastreo de auditoría, mientras que en un sistema informático puede no haber soporte documental para iniciar, ejecutar y registrar algunas transacciones. Por ejemplo si los datos se introducen directamente en el sistema, o si las ordenes de compras se producen automáticamente cuando el inventario es muy bajo. La segregación (ejecución / modificación) debe funcionar para impedir problemas de control. Se debe revisar las existencia y el acceso a los registros de los sistemas Tema 1 Introducción a la auditoría de SSII 23/41

24 Efectos del PED sobre los controles internos Control físico sobre activos y registros Control crítico en sistemas manuales e informáticos Aspectos a considerar: Los sistemas informatizados tienden a concentrar sus activos y Registros, por lo que se incrementa la pérdida que puede suceder debido a un fraude informático o a un desastre. Por ejemplo un incendio que destruya archivos sin respaldo puede impedir que se continúen las operaciones. El auditor debe verificar la existencia de sistemas contingencias y sus controles Tema 1 Introducción a la auditoría de SSII 24/41

25 Efectos del PED sobre los controles internos Adecuada supervisión de la gestión Se deben implementar controles de supervisión en el sistema informático que compensen los controles que antes se hacían por observación y consulta. Aspectos a considerar: Antes, en un sistema manual los supervisores y los subordinados suelen estar cerca. Ahora, los SSII permite que los empleados estén cerca de sus clientes y lejos de los supervisores. El auditor debe verificar los controles de supervisión existentes (informes, registros...) Tema 1 Introducción a la auditoría de SSII 25/41

26 Efectos del PED sobre los controles internos Verificación independiente de las operaciones La verificación de las operaciones es innecesaria Aspectos a considerar: Antes, en un sistema manual se realizan pruebas independientes ya que los empleados pueden: olvidar los procedimientos, cometer errores... Ahora, el sistema siempre seguirá los procedimientos (si el código del programa está autorizado, es exacto y completo). El énfasis cambia a asegurar la veracidad del programa, evaluando los controles establecidos para el desarrollo y mantenimiento Tema 1 Introducción a la auditoría de SSII 26/41

27 Efectos del PED sobre los controles internos Comparación periódica de los registros contabilizados con los activos Periódicamente, hay que comparar los datos y los activos que los datos pretenden representar Aspectos a considerar: En un sistema manual personal independiente prepara los datos para realizar la comparación. En un sistema informático esta preparación la realiza un programa. Si se realizan modificaciones no autorizadas a los programas o a los ficheros, se podría no descubrir una irregularidad. El control cambia a asegurar la veracidad de los programas Tema 1 Introducción a la auditoría de SSII 27/41

28 Efectos del PED sobre la Auditoría Los auditores han de ser competentes e independientes para evaluar la correspondencia entre las actividades de una organización y los estándares o criterios establecidos. El PED ha impactado en las dos funciones básicas de la auditoría: La recogida de las evidencias La evaluación de las evidencias Tema 1 Introducción a la auditoría de SSII 28/41

29 Efectos del PED sobre la Auditoría Cambios en la recogida de las evidencias La recogida de evidencia es más compleja en un sistema informático. Los auditores tienen que evaluar un conjunto de controles tecnológicos variado y complejo no existente en un sistema manual. Tema 1 Introducción a la auditoría de SSII 29/41

30 Efectos del PED sobre la Auditoría Cambios en la recogida de las evidencias (2) Entender los controles tecnológicos no es fácil. La rápida evolución hardware y el software implica una continua evolución de los controles asociados. Tema 1 Introducción a la auditoría de SSII 30/41

31 Efectos del PED sobre la Auditoría Cambios en la recogida de las evidencias (3) Todo esto hace más difícil recoger la evidencia de forma manual, por lo que los auditores necesitan sistemas PED para poder recoger la evidencia. Por ello existe software general de auditoría. Tema 1 Introducción a la auditoría de SSII 31/41

32 Efectos del PED sobre la Auditoría Cambios en la evaluación de las evidencias Es más difícil evaluar las consecuencias de las fortalezas y debilidades de los controles en la fiabilidad global del sistema. El auditor debe: Entender cuando un control está funcionando bien o mal Rastrear las consecuencias de la debilidad o la fortaleza del control a través del sistema. En un entorno compartido, puede ser una tarea difícil. Por ejemplo, una transacción de entrada de datos puede actualizar múltiples datos utilizados por múltiples usuarios de distintas localizaciones. Tema 1 Introducción a la auditoría de SSII 32/41

33 Efectos del PED sobre la Auditoría Cambios en la evaluación de las evidencias (2) Si al evaluar las evidencias se descubren errores, hay que tener en cuenta que as consecuencias de los errores en un sistema informático suelen ser más graves que en uno manual. Los errores se generan a alta velocidad El coste de corregir un error y/o volver a ejecutar un programa puede ser muy alto. Los errores en los programas suelen requerir rediseño y reimplementación. El auditor debe verificar que existen controles que aseguren sistemas de alta calidad Tema 1 Introducción a la auditoría de SSII 33/41

34 Efectos del PED sobre la Auditoría Cambios en la evaluación de las evidencias (3) La localización de errores cambia debido a que: Los errores en los sistema manual suceden de una forma estocástica. Por ejemplo, un administrativo comete aleatoriamente un error al introducir un precio de un artículo. En un sistema informático tienden a presentarse de una forma determinista. Un programa erróneo siempre producirá el mismo error. Tema 1 Introducción a la auditoría de SSII 34/41

35 Fundamentos de la Auditoría de SSII La auditoría de los SSII no es una simple extensión de la auditoría tradicional. La necesidad de una función de Auditoría de SSII emana de dos direcciones: Los ordenadores han impactado en la habilidad de los auditores para dar una prueba clara La alta dirección y la de SSII consideran que estos son recursos valiosos que deben ser controlados Tema 1 Introducción a la auditoría de SSII 35/41

36 Fundamentos de la Auditoría de SSII Auditoría tradicional Gestión de SSII Auditoría de los SSII Ciencias del comportamiento Ciencias de la computación Tema 1 Introducción a la auditoría de SSII 36/41

37 Fundamentos de la Auditoría de SSII Auditoría tradicional La auditoría tradicional aporta un importante bagaje de conocimiento y experiencia de técnicas de control interno. Los trabajos administrativos, que soportan al sistema informático, (como las actividades de preparación de datos) deben estar sujetas a principios de control interno. Muchos controles de los sistemas manuales se han exportado a sistemas informáticos (como los totales de control). La auditoría tradicional resalta la importancia crítica que tienen La evidencia objetiva y verificable La evaluación independiente de los sistemas. Su aporte más importante es la filosofía del control. Tema 1 Introducción a la auditoría de SSII 37/41

38 Fundamentos de la Auditoría de SSII Gestión de SSII La rama de la gestión de los SSII ha realizado numerosos aportes que impactan en la Auditoría informática como los relativos a: La dirección de proyectos (Cascada, Scrum, XP...) Desarrollar e implementar SSII (Warnier, E/R, Objetos, UML...) Creación de estándares. Generación de documentación. Tema 1 Introducción a la auditoría de SSII 38/41

39 Fundamentos de la Auditoría de SSII Una de las razones para el fracaso de un Sistema Informático es la ignorancia de los problemas del comportamiento de las personas involucradas en su desarrollo e implementación. Además, se debe considerar el impacto de todo Sistema informático en: El cumplimiento de las tareas (sistema técnico) La calidad de vida en el trabajo (sistema social) La psicología, la sociología o la ciencia de la gerencia contribuyen a entender los problemas de las personas dentro de las organizaciones Ciencias del comportamiento Tema 1 Introducción a la auditoría de SSII 39/41

40 Fundamentos de la Auditoría de SSII Los objetivos de los controles también se han visto influenciados por los avances realizados en las ciencias de la computación Organización de la información Desarrollo de software sin errores Transmisión de información segura Pruebas automáticas Los auditores de SSII deben tener un alto nivel de informática para entender los sistemas. Ciencias de la computación Tema 1 Introducción a la auditoría de SSII 40/41

41 Referencias utilizadas Apuntes de Auditoría Informática, Francisco Javier Nava García. SpieceWorks. Wikipedia Tema 1 Introducción a la auditoría de SSII 41/41