Evaluación de auditoría de sistemas
Anuncio
Evaluación de las actividades de control. Elementos básicos de la evaluación • Características controladas: Operaciones del ente. Tiene su reflejo en los EE. CC. • Sensores: documentación que respalda las operaciones. remitos, FC, O. de compra, tanto el elemento físico como su registro en un S.A. • Grupo de control: auditor. • Grupo activante: usuarios y gerencia. Fallas Características controladas: • falta de representatividad • falta de consideración que ayude a precisar la característica Sensores: • inexistencia: se realiza un pago y no existe la orden de pago. • Incorrecta elección del sensor: quiero asegurarme que la mercadería entró en la empresa y utiliza la factura en lugar del remito. Grupo de control: • inexistencia • usar estándares o referencias inadecuadas. Verificar el procedimiento de compras: los importes de las facturas con listas de precios inadecuadas. • plenitud de relación respecto al trabajo del sensor. Grupo activante: • que se de prevalencia a los criterios políticos sobre los técnicos. Se detecta en un departamento cuestiones que alteran el funcionamiento normal pero por una cuestión de relación este gerente tiene la benevolencia del gerente gral. Por lo tanto se dificulta la tarea del auditor. • Ineficiencia: guiarse por criterios subjetivos. Determinación y evaluación del riesgo Riesgos de Auditoria Apuntan a que el auditor releve que nivel de eficiencia presentan los controles y determinar la confiabilidad del sistema, apunta a la evaluación de las actividades de control y a emitir un informe. Va a estar dirigido a tratar de que el sistema no tenga desvíos, a la detección de errores. El auditor al detectar errores puede ser muy bueno, pero debe ser mejor al corregirlos. 1 A mayor riesgo, menor confiabilidad, a través de los controles debe manifestar si el nivel de riesgos es aceptable o no. Entonces, un nivel de riesgo mínimo nos habla de un sistema confiable y viceversa. El riesgo no puede eliminarse pero puede acotarse −margen de riesgo− (que riesgo estamos dispuestos a soportar) Disminuyo el riesgo pero superado un mínimo aceptable comienzan a aumentar los costos. Riesgos Inherente (existente): Es el riego propio de las actividades o gestión, que se está controlando o se pretende controlar. • Controles de Entrada • Controles de procesamiento • Controles de almacenamiento pérdida o modificación de los datos registración, saldo. Porque involucra errores de saldo (procesamiento) Aumenta el cuidado de que los datos no sufran Ej. Gestión de ventas, entrega de mercaderías (de más), modificaciones físicas ni lógicas (integridad) mal facturado, etc. Control: que el esquema de control no sea capaz de detectar el riesgo de control. Se relaciona con el grupo de control ya que es responsable de que el control se realice; también el grupo activante, que debe tener medidas correctivas. • Sistema de control (control de procesamiento) o • Responsable del control • Mala imputación ( si no existe un control es un riesgo inherente) Detección: que el auditor no detecte los riesgos. En las distintas empresas el riesgo que tengan tendrán más o menos incidencia debido al tipo de actividades. En sistemas más complejos aumenta el riesgo de detección (por tener más pasos, más niveles de detección, etc.) El auditor debe ser conciente del sistema que audita y de la complejidad de los controles, etc. Riesgo de control externo (auditor) • Asiento: ♦ control del código de cuenta ♦ que exista la cuenta ♦ importe. Control de balanceo • Control de procesamiento ♦ Automático ◊ que balanceen las sumas. ◊ Controles cruzados. ♦ No automáticos: se debe planificar y ejecutar el control a realizar Auditoria ES Alrededor del sistema: El auditor puede verificar datos de entrada y de salida. 2 Puede darse fe de que la información generada responde a la documentación y a la situación de la empresa. Actualmente no se acepta este criterio. Auditoria a través del sistema: Se debe conocer el proceso. La auditoria trabaja selectivamente y por ello es importante analizar el procesamiento, de lo contrario no se tiene posibilidad de emitir un dictamen con respaldo razonable. Confiabilidad del Software En un sistema manual la confiabilidad va a estar asociada a los comprobantes y registraciones. Por lo tanto si la documentación es confiable y los resultados adecuados, la documentación generada será confiable. En un sistema informático los registros están volcados en soportes magnéticos, los procesos serán ejecutados en todos los pasos por programas. En auditoria de sistemas computarizados, cuando se habla de confiabilidad, se refiere a la confiabilidad del software (sist. o programas de aplicación fundamental). Para ingresar los datos se requiere un programa que le diga al computador como ingresar los datos, cómo realizar el proceso y cómo se devolverán (impresora, disco, memoria central) Si para hacer cualquier tarea se necesita de un programa. Entonces para saber su confiabilidad se lo debe evaluar. Al evaluar el sistema de control se debe determinar cuando se producen fallas del software ( consecuencia) y errores de software (causa). Error del software: es aquel que produce una falla en el sistema de manera que éste ni cumpla razonablemente con las expectativas del usuario, ponderado por el costo que tendrá para el usuario cada falla producida (y eliminar esa falla). Tipos de errores: Errores de lógica: Porque no está bien previsto o porque previsto no está bien especificado. Errores de sintaxis: Error formal al escribir el programa (del programador) El error provoca que no cumpla con las expectativas razonables del usuario y también se debe tener en cuenta el costo. $ Q ( casos y fallas detectadas) Al principio el costo de encontrar fallas es muy bajo pero a medida que se quiere encontrar fallas el costo se incrementa en forma más que proporcional. Llega un momento en que ya no conviene, porque hacer el control es árido, lento y altamente costoso. Causas de errores en la confección del software: errores de programación o que el programa no haga lo que el 3 usuario quiera. Falla en la comunicación entre usuario y analista (principal causa) Diseño de un software confiable (técnicas) • Técnicas preventivas: vinculadas a la especialidad informática. • Contar con un programador capaz (se evitan errores en la construcción). • Evitar errores al pasar de una etapa a otra (traslado de errores) • Técnicas de detección: si no se pueden prevenir los errores. • Técnicas de corrección: como corregir errores detectados. • Técnicas de errores: quien diseña y construye software debe saber esta tolerancia en función de las variables (costo y mínimo aceptable de errores del sist.). Proceso de detección de software: se hace a través de la prueba del software. Prueba del software: es el proceso de ejecución de un programa con la intención de encontrar errores. Consiste en ejecutar el software para encontrar errores. Tipos(se realizan todas): ⋅ Modular o unitaria: se prueba cada parte del programa (módulo) independientemente. ⋅ Integrada: se prueban los módulos en conjunto. ⋅ Sistema: incluye todos los programas del sistema. ⋅ Prueba de aceptación: es la que tiene el conforme del usuario. ⋅ Prueba de instalación: es la que se hace con el sistema en el hardware con dispositivos y archivos reales. ⋅ Prueba de escritorio: cuando se programaba con lenguajes de programación como cobol por ej., previamente se hacia un diagrama de lógica (especificación de la secuencia de la PC) que permitía que no se saltee ningún paso y en base a esto se hacía la instrucción del programa. ⋅ Prueba de compilación: el compilador es un interprete que transforma las órdenes en instrucciones ejecutables que quedan en la memoria del computador. ⋅ Prueba con datos: se suma lo que se tiene que sumar, se compara lo que se tiene que comparar, etc. Depuración de errores (debugging) Es la actividad que sigue a un resultado exitoso en la detección de errores. 4 • Determinar con precisión la característica y ubicación de la causa del error encontrado. • Corregir el error (se necesita saber la causa) Los errores de lógica son los más dificiles de corregir Los errores fórmales no tanto (sintaxis) Patch (parche) Es la forma más simple de resolver los problemas. Principios y axiomas (Glenford Myers) • Un buen conj. de datos de prueba es aquel que tiene una buena probabilidad de encontrar errores aún no descubiertos. • Saber cuando detenerse o parar de probar el software. Es difícil porque el programador sigue y sigue encontrando errores. ⋅ ponderar el costo ⋅ satisfacción del usuario ⋅ Quien confecciona el programa no lo prueba ⋅ La detección de errores debe encargarse a los programadores más creativos (requiere criterio, imaginación, actitud creativa) ⋅ Describir con precisión los resultados esperados. No puedo probar un programa o un conjunto de datos de prueba si no especifico el resultado del programa. ⋅ Evitar las pruebas no reproducibles o no documentadas. Cada prueba de ser documentada para poder repetirla. ⋅ Revisar y examinar cuidadosamente los resultados de cada prueba. ⋅ Se debe probar el sistema con datos válidos y también datos inválidos (falsos, ficticios o erróneos). ⋅ La estructura del programa debe facilitar la prueba. ⋅ No se debe modificar la estructura de un programa para lograr evitar un error. Ej. S/ Myers ejercicio del triangulo. El programa lee 3 números enteros que representan los lados de un triangulo. El programa escribe un mensaje que informa si es escaleno, isósceles o equilátero. Ejemplo: ♦ que no se ingresen datos alfabéticos ♦ valores negativos ♦ que tenga un valor decimal ♦ valores iguales a 0 ♦ menos de 3 datos, ni más de 5 3 ♦ que uno de los datos no sea igual al de los otros 2 ♦ un dato de prueba para un triangulo equilátero ♦ un dato de prueba para un triangulo escaleno ♦ un dato de prueba para un triangulo isósceles ♦ que uno de los datos sea mayor que los otros 2 ♦ probar permutaciones para el isósceles ♦ etc. 6 Luis Gonzalo Omar Molina P 6