PROGRAMA: CONTADURIA PBLICA ASIGNATURA: AUDITORIA DE SISTEMAS CONCEPTO DE AUDITORIA La auditoria puede conceptuarse en trminos generales como la revisin y la supervisin sistemtica de una actividad o grupos de actividades. De la palabra auditora proviene auditor, que tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que eistan, o bien mejorar la forma de actuacin. Algunos auto!s "o"o#$onan otos #on#!"tos "!o to%os #o$n#$%!n !n &a#! 'n(as$s !n la !)$s$*n+ !)alua#$*n , !la-oa#$*n %! un $n(o.! "aa !l !/!#ut$)o !n#a.$na%o a un o-/!t$)o !s"!#0($#o !n !l a.-$!nt! #o."uta#$onal , los s$st!.as1 La reali!acin de la auditoria no es privativa de una profesin especfica dado que en la funcin de la especiali!acin de las actividades de las actividades se requieren profesiones especiali!adas Au%$to$a %! Esta%os F$nan#$!os: "s la revisin de los libros y registros contables de una "ntidad, as como el estudio y la evaluacin del control interno y de los procedimientos contables administrativos de las misma, basados en tcnicas especificas #normas y procedimientos de $uditoria%, con el fin de omitir una opinin de la ra!onabilidad de las cifras presentadas con lo cual cubren los siguientes objetivos& '.( salvaguardar los activos de la empresa ).( *btencin de resultados. +.( ,romocin de eficiencia de operaciones. -.( $d.esin a polticas prescritas por la direccin de la "ntidad /.( 0umplimiento por parte de la entidad de las disposiciones legales que reglamentan las operaciones. Au%$to$a A%.$n$stat$)a: "s el eamen comprensivo y constructivo de la estructura de organi!acin de la empresa, institucin, seccin de gobierno o cualquier parte de una entidad, en cuanto a sus planes y objetivos, sus mtodos y controles, operacin y sus facilidades fsicas y .umanas. Au%$to$a O"!a#$onal: 0onsiste en el eamen de las reas de operaciones de una empresa, institucin, seccin de gobierno o cualquier parte de una entidad, para determinar si se tienen los controles para operar con eficiencia, teniendo a la disminucin de costos para incrementar la productividad. DIFERENCIAS ENTRE AUDITORIA OPERACIONAL Y ADMINISTRATIVA Au%$to$a O"!a#$onal Au%$to$a A%.$n$stat$)a '. 1e efect2a invariablemente revisando operaciones y no personal o departamentos '. 1e efect2a revisando cualquier operacin, persona o departamento, incluyendo los niveles jerrquicos. ). 3ormalmente se efectuara por el rea de auditoria 4nterna de una entidad ).( "s reali!ada por auditores eternos a la "ntidad +.( "s reali!ada por contadores p2blicos o por $dministradores de "mpresas +.( 5equiere los servicios de profesionales especialistas en diversas ramas, en virtud de la necesidad que surge por el amplio campo de accin que comprende Au%$to0a Int!na: "s aquella que se reali!a dentro del mbito de la organi!acin o entidad para dar servicio a la misma y es reali!ada por personal que depende econmicamente de dic.a entidad. $un cuando eista dependencia econmica es requisito indispensable para su buen funcionamiento que eista una absoluta independencia mental y jerrquica por parte de su personal. Dentro de este tipo de auditora se maneja normalmente la auditoria de los "stados 6inancieros, la auditoria de sistemas y la auditoria operacional. Au%$to0a E2t!na: "ste tipo de revisin es llevado a cabo por profesionales independientes de la entidad y que en consecuencia, no dependen jerrquicamente de la misma. 1u campo de accin es muy basto, ya que normalmente puede comprender todos los campos de la auditoria .asta a.ora mencionados. Funciones de los Tipos de Auditora "isten algunos tipos de auditora entre las que la $uditora de 1istemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la funcin informtica. "s necesario recalcar como anlisis de este cuadro que $uditora de 1istemas no es lo mismo que $uditora 6inanciera. "ntre los principales enfoques de $uditora tenemos los siguientes& La $uditoria 6inanciera 7eracidad de estados financieros, ,reparacin de informes de acuerdo a principios contables, "valuar la eficiencia, la *peracin de "ficacia $uditora 6iscal 1e dedica a observar el cumplimiento de las leyes fiscales $dministrativa $nali!a Logros de los objetivos de la $dministracin, Desempeo de funciones administrativas "sta auditora "val2a& 0alidad 8todos, 8ediciones, 0ontroles de los bienes y servicios, 5evisa la contribucin a la sociedad en lo social as como la participacin en actividades socialmente orientadas La Au%$to$a %! S$st!.as "s una rama especiali!ada de la auditoria que promueve y aplica conceptos de auditora en el rea de sistemas de informacin. "s un conjunto de procedimientos, normas, estndares, reglas que garanti!an el correcto proceso de informacin en un sistema computari!ado. Otos #on#!"tos La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la 9erencia. La actividad dirigida a verificar y ju!gar informacin. "l eamen y evaluacin de los procesos del :rea de ,rocesamiento automtico de Datos #,$D% y de la utili!acin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computari!ados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias eistentes y mejorarlas. "l proceso de recoleccin y evaluacin de evidencia para determinar si un sistema automati!ado tiene& daos, destruccin de activos, ;so no autori!ado, 5obo, 3o mantiene 4ntegridad de 4nformacin ,recisa, 0ompleta, *portuna, 0onfiable. Objetivos Generales de una Auditora de Sistemas <uscar una mejor relacin costo(beneficio de los sistemas automticos o computari!ados diseados e implantados por el ,$D. 4ncrementar la satisfaccin de los usuarios de los sistemas computari!ados $segurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. 0onocer la situacin actual del rea informtica y las actividades y esfuer!os necesarios para lograr los objetivos propuestos. 1eguridad de personal, datos, .ard=are, soft=are e instalaciones $poyo de funcin informtica a las metas y objetivos de la organi!acin 1eguridad, utilidad, confian!a, privacidad y disponibilidad en el ambiente informtico 8inimi!ar eistencias de riesgos en el uso de >ecnologa de informacin Decisiones de inversin y gastos innecesarios 0apacitacin y educacin sobre controles en los 1istemas de 4nformacin Justificacin para efectuar una Auditora de Sistemas $umento considerable e injustificado del presupuesto del ,$D #Departamento de ,rocesamiento de Datos%. Desconocimiento en el nivel directivo de la situacin informtica de la empresa 6alta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. Descubrimiento de fraudes efectuados con el computador. 6alta de una planificacin informtica. *rgani!acin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del 5ecurso ?umano Descontento general de los usuarios por incumplimiento de pla!os y mala calidad de los resultados 6alta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin La Importancia de la Auditora de Sistemas "s el eamen o revisin de carcter objetivo #independiente%, crtico#evidencia%, sistemtico #normas%, selectivo #muestras% de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computari!ados, con el fin de emitir una opinin profesional #imparcial% con respecto a& "ficiencia en el uso de los recursos informticos 7alide! de la informacin "fectividad de los controles establecidos La Au%$to0a %! los S$st!.as %! In(o.a#$*n y las .abilidades necesarias para llevar a cabo este tipo de auditoras, requieren el desarrollo y la promulgacin de 3ormas las cuales son& ( 3ormas 9enerales ( 3ormas relativas a la ejecucin del trabajo ( 3ormas relativas al informe No.as %! Au%$to$a G!n!al.!nt! A#!"ta%as1 Las normas de auditora difieren de los procedimientos en que estos se refieren a actos que .an de ejecutarse, en tanto que las normas tiene que ver con las medidas relativas a la calidad en la ejecucin de estos actos y los objetivos que .an de alcan!arse mediante el uso de los procedimientos adoptados y son& No.as G!n!al!s: '.("l eamen debe llevarse cabo por una persona o personas que tengan el entrenamiento tcnico y la capacidad profesional como auditores. ).( "n todos los asuntos relacionados con el trabajo encomendado, el o los auditores mantendrn una actitud mental independiente. +.( 1e ejecutara el cuidado profesional en la ejecucin del eamen y en la preparacin del informe. No.as R!lat$)as a la E/!#u#$*n %!l Ta-a/o '.( "l trabajo se planeara adecuadamente y se supervisara apropiadamente la labor de los ayudantes. ).( Deber .aber un estudio apropiado y evaluacin del sistema de control interno eistente, como base para confiar en el y para determinar la etensin necesaria de las pruebas a las que debern concentrase los procedimientos de auditoria +.( 1e obtendr material de prueba suficiente y adecuado por medio de la inspeccin, observacin, investigacin, indagacin y confirmacin para lograr una base ra!onable y as poder epresar una opinin en relacin con los estados financieros que se eaminan. No.as R!lat$)as al In(o.! '.( "l informe indicara si los estados financieros se presentan de acuerdo con principios de contabilidad generalmente aceptadas. ).( "l informe indicara si dic.os principios se .an seguido uniformemente en el periodo actual, en relacin con el periodo precedente. +.( Las revelaciones informativas contenidas en los estados financieros deben considerarse como ra!onablemente adecuadas, a menos que en el informe se indique lo contrario -.( "l informe contendr, ya sea una opinin en relacin con los estados financieros tomados en conjunto, o una aseveracin en el sentido de que no puede epresarse una opinin. 0uando no pueda epresarse una opinin sobre los estados financieros en conjunto, deben consignarse las ra!ones que eistan para ello. La Au%$to0a %! S$st!.as de informacin se define como el eamen que abarca la revisin y evaluacin de todos los aspectos o de acuerdo al rea de los s$st!.as auto.3t$#os de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes. "s una rama especiali!ada de la auditoria que promueve y aplica conceptos de auditoria en el rea de los sistemas de informacin. ,ara .acer una adecuada planeacin de la auditora en informtica, .ay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organi!acin y equipos "n el caso de la auditora en informtica, la planeacin es fundamental, pues .abr que .acerla desde el punto de vista de dos objetivos& E)alua#$*n %! los s$st!.as , "o#!%$.$!ntos1 E)alua#$*n %! los !4u$"os %! #*."uto1 ,ara .acer una planeacin efica!, lo primero que se requiere es obtener informacin general sobre la organi!acin y sobre la funcin de informtica a evaluar. ,ara ello es preciso .acer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auiliares a solicitar o formular durante el desarrollo de la misma. 0onsta de& 516 E)alua#$*n %! los S$st!.as: "n este objetivo se debe tener en cuenta "valuacin de los diferentes sistemas en operacin #flujo de informacin, procedimientos, documentacin, redundancia, organi!acin de arc.ivos, estndares de ,rogramacin, controles, utili!acin de los sistemas%. "valuacin del avance de los sistemas en desarrollo y congruencia con el diseo general "valuacin de prioridades y recursos asignados #.umanos y equipos de cmputo% 1eguridad fsica y lgica de los sistemas, su confidencialidad y respaldos. 716 E)alua#$*n %! los !4u$"os, en este objetivo se debe tener en cuenta trminos y parmetros que deben cumplir con la normatividad 41* como& 0apacidades ;tili!acin 3uevos ,royectos 1eguridad fsica y lgica "valuacin fsica y lgica. ESCENARIOS EN LOS CUALES DEBEN SOPORTAR EL TRABAJO DE AUDITORIA DE SISTEMAS Lo anterior se debe cumplir de acuerdo a los "squemas y $mbientes de proceso de 4nformacin+ la $uditoria en el $mbiente 4nformtico se debe soportar en escenarios en el ,rocesamiento de Datos, teniendo en cuenta el conocimiento de las diferentes reas de la "mpresa, donde se reali!a el proceso de 0ontrol y 1eguridad 4nformtica. "stos escenarios se agrupan de la siguiente forma& '.( $uditoria en la ,reinstalacin ).( $uditoria en la *rgani!acin y ,lanificacin +.( $uditoria en la "ntrada( 1alida de Datos -.( $uditoria en la *peracin /.( $uditoria en el ,rocesamiento @.( $uditoria en 1istemas en el Desarrollo y ,roduccin de $plicaciones. A.( $uditoria de Documentacin B.( $uditoria de 0entros de proceso eterno. C.( $uditoria en 1istemas 4ntegrados. 'D.( $uditoria en $plicaciones en 6uncionamiento. ''.( $uditoria en 5edes y >ransmisin de Datos. 516 Au%$to$a !n la P!$nstala#$*n ?acen referencia a procesos y actividades previas a la adquisicin e instalacin de recursos informticos de proceso de informacin, proceso de bases de Datos y ,roceso de 5edes y >ransmisin de datos, en la automati!acin de los procesos eistentes. O-/!t$)os: 9aranti!ar que el .ard=are y soft=are se adquieran siempre y cuando tengan la seguridad de que los sistemas computari!ados proporcionaran mayores beneficios que cualquier otra alternativa. $segurar la elaboracin de un plan de actividades previo a la instalacin 9aranti!ar la seleccin adecuada de equipos y sistemas de computacin Cono#$.$!nto %!l Es#!na$o "laboracin de un informe tcnico en el que se justifique la adquisicin del equipo, soft=are y servicios de computacin, incluyendo un estudio costo( beneficio. 6ormacin de un comit que coordine y se responsabilice de todo el proceso de adquisicin e instalacin. "laborar un plan de instalacin de equipo y soft=are #fec.as, actividades, responsables% el mismo que debe contar con la aprobacin de los proveedores el equipo. "laborar un instructivo con procedimientos a seguir para la seleccin y adquisicin de equipos, programas y servicios computacionales. "ste proceso debe enmarcarse en normas y disposiciones legales. "fectuar las acciones necesarias para una mayor participacin de proveedores. $segurar respaldo de mantenimiento y asistencia tcnica. "l proveedor de .ard=are y soft=are deber proporcionar lo siguiente& ( 8anual de operacin de equipos ( 8anual de lenguaje de programacin ( 8anual de utilitarios disponibles ( 8anual de 1istemas operativos. Las instalaciones deben contar con sistema de alarma por presencia de fuego, .umo, as como etintores de incendio, coneiones elctricas seguras, entre otras. 4nstalar equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje como& reguladores de voltaje, supresores pico, ;,1, generadores de energa. 0ontratar pli!as de seguros para proteger la informacin, equipos, personal y todo riesgo que se produ!ca por casos fortuitos o mala operacin. 716 Au%$to$a !n la Ogan$8a#$*n , Plan$($#a#$*n 1e refiere a la definicin clara de funciones, lnea de autoridad y responsabilidad de las diferentes unidades del rea ,"D, en labores tales como& O-/!t$)os: $segurar la organi!acin de los recursos informticos y logsticos, en los procedimientos y ,rocesos, del 1istema de 4nformacin, como soporte en las funciones del 5ecurso ?umano, en el Diseo de 1istemas. $lmacenamiento de arc.ivos de datos y programas, "laboracin de las actividades en el desarrollo de los 1istemas de 4nformacin, "laboracin de los programas, *peracin del 1istema desde los sitios donde se requieren y el 0ontrol de calidad de los Datos. A##$on!s a s!gu$ La unidad informtica debe estar al ms alto nivel de la pirmide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la direccin efectiva. Las funciones de operacin, programacin y diseo de sistemas deben estar claramente delimitadas. 1e debe evitar que una misma persona tenga el control de toda una operacin. Deben eistir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operacin del computador y los operadores a su ve! no cono!can la documentacin de programas y sistemas. Debe eistir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento. "l manejo y custodia de dispositivos y arc.ivos magnticos deben estar epresamente definidos por escrito. Las actividades del ,"D deben obedecer a planificaciones a corto, mediano y largo pla!o sujetos a evaluacin y ajustes peridicos E,lan 8aestro de 4nformticaE Debe eistir una participacin efectiva de directivos, usuarios y personal del ,"D en la planificacin y evaluacin del cumplimiento del plan. Las instrucciones deben impartirse por escrito. 916 Au%$to$a !n la Enta%a , Sal$%a %! Datos 1e refiere a la captura y a la distribucin de los Datos en el 1istema del 4nformacin. La mayora de los delitos por computador son cometidos en la captura, en modificaciones, en eliminaciones y la salida de informacin para los diferentes usuarios, en actividades como 1uprimir u omitir datos. $dicionar Datos. $lterar datos. Distribuir Datos O-/!t$)os1 $segurar que los datos de entrada sean validados y controlados, para un proceso de informacin confiable, seguro y oportuno. $segurar que los diferentes mtodos de entrada de informacin al 1istema en produccin sean validados y se obtengan cifras de control en los resultados generados. A##$on!s a s!gu$ Lo anterior es de vital importancia en caso de sistemas de informacin con equipos de cmputo y programas que cuentan con sistemas en lnea, en que los usuarios son los responsables de la captura, modificacin y distribucin, aqu lo mas importante es tener un adecuado control con sealamiento de responsables de los datos #uno de los usuarios debe ser el 2nico responsable de determinado dato%, con claves de acceso de acuerdo a niveles. "l primer nivel es el que puede .acer 2nicamente consultas. "l segundo nivel es aquel que puede .acer captura, modificaciones y consultas y el tercer nivel es el que solo puede .acer todos los anteriores e imprimir, distribuir informacin y adems puede reali!ar bajas. Lo primero que se debe evaluar es la !nta%a de informacin y que se tengan las cifras de control en la generacin y de informes y resultados los cuales determinan la veracidad de la informacin, para lo cual se utili!ar la siguiente evaluacin 4ndique el porcentaje de datos que se reciben en el rea de captacin 4ndique el contenido de la orden de trabajo que se recibe en el rea de captacin de datos& 32mero de folio, 32mero#s% de formato#s%, 6ec.a y .ora de 3ombre, Depto, 5ecepcin, ;suario, 3ombre del documento, 3ombre responsable, 7olumen aproimado 0lave de cargo, 32mero de cuenta. 32mero de registros, 6ec.a y .ora de entrega de 0lave de la persona que graba los datos, Documentos y registros captados, 6ec.a estimada de entrega. 4ndique cul#es% control#es% interno#s% eiste#n% en el rea de captacin de datos& 6irmas de autori!acin 5ecepcin de trabajos # % 0ontrol de trabajos atrasados # % 5evisin del documento # % $vance de trabajos # %fuente#legibilidad, verificacin de datos completos, etc.% # % ,rioridades de captacin # % "rrores por trabajo # % ,roduccin de trabajo # % 0orreccin de errores # % ,roduccin de cada operador # % "ntrega de trabajos # % 7erificacin de cifras 0osto 8ensual por trabajo # % 7erificacin los datos de "ntrada y 1alida La auditoria en sistemas debe evaluar los documentos y registros usados en la elaboracin del sistema, as como todas las sal$%as y la distribucin de la informacin generada, como tambin el almacenamiento de arc.ivos, su uso y la relacin de los usuarios que desean utili!arlos teniendo en cuenta los niveles de seguridad de acuerdo a los perfiles que otorga el $dministrador del 1istema definiendo la frecuencia de acceso, su conservacin, su seguridad y control lo mismo que la documentacin propuesta, las entradas y salidas del sistema y los documentos e informes que van a usarse. 0on lo anterior se debe tener en cuenta lo siguiente F1e est distribuyendo los informes en forma correcta a los diferentes usuariosG F1e debe colocar procedimientos de mejorar su generacin y distribucinG F1e debe tener una mayor interaccin con otros sistemasG F1e tiene propuesto un adecuado control y seguridad sobre los resultados generadosG F1e debe .acer un anlisis de los informes generados controlando su seguridadG :16 Au%$to$a !n la O"!a#$*n 1e establecen mtodos y procedimientos para la operacin de los 1istemas de 4nformacin con el fin de crear un medio ambiente y de dominio ideal para garanti!ar la efectividad en la produccin de las transacciones y operaciones y proporcionar la seguridad fsica con las <ases de Datos que estn en disposicin para el trabajo en el 1istema. $barcan todo el ambiente de la operacin del equipo central de computacin y dispositivos de almacenamiento, la administracin de la cintteca y la operacin de terminales y equipos de comunicacin por parte de los usuarios de los sistemas de informacin. La eficiencia y el costo de la operacin de un sistema de cmputo se ven fuertemente afectados por la calidad e integridad de la documentacin requerida para el proceso del computador. O-/!t$)os: 1ealar los procedimientos e instructivos formales de operacin, anali!ar su estandari!acin y evaluar el cumplimiento de los mismos. ,revenir o detectar errores accidentales en la operacin del 1istema de 4nformacin en produccin. ,revenir y detectar la manipulacin fraudulenta de los datos en sus procesos, teniendo en cuenta el mal uso de la informacin confidencial. "vitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del ,"D. 9aranti!ar la integridad de los recursos informticos. $segurar la utili!acin adecuada de equipos acorde a planes y objetivos A##$on!s a s!gu$:
"l acceso al centro de computo debe contar con las seguridades necesarias para reservar el ingreso al personal autori!ado. 4mplantar claves o pass=ord para garanti!ar operacin de consola y equipo central #mainframe%, a personal autori!ado. 6ormular polticas respecto a seguridad, privacidad y proteccin de las facilidades de procesamiento ante eventos como& incendio, vandalismo, robo y uso indebido, intentos de violacin y como responder ante esos eventos. 8antener un registro permanente #bitcora% de todos los procesos reali!ados, dejando constancia de suspensiones o cancelaciones de procesos. Los operadores del equipo central deben estar entrenados para recuperar o restaurar informacin en caso de destruccin de arc.ivos. Los bacHups no deben ser menores de dos #padres e .ijos% y deben guardarse en lugares seguros y adecuados, preferentemente en bvedas de bancos. 1e deben implantar calendarios de operacin a fin de establecer prioridades de proceso. >odas las actividades del 0entro de 0omputo deben normarse mediante manuales, instructivos, normas, reglamentos, etc. La integridad., eactitud y autori!acin en la operacin de los datos se registrar con la validacin de los datos en su captura para una optima operacin de los mismos. 1e debe identificar el ambiente del 1istema y los recursos informticos que integran la operacin del 1istema. 1e debe establecer la periodicidad y duracin de las diferentes transacciones en la ejecucin de los diferentes programas.
"specificar las formas especiales de la operacin, como tambin las
etiquetas de arc.ivos que estn en disposicin para el proceso de los sistemas en produccin. "stablecer las fec.as de creacin y epiracin de los procesos que se reali!an Disponer de instructivos especficos en la configuracin de los equipos como de los programas con el fin de evitar conflictos en la operacin que se esta reali!ando. De deben establecer instructivos de reinicio y procedimientos de recuperacin para la operacin y proceso de todos los requerimientos de los diferentes usuarios. ;16 Au%$to$a !n !l Po#!sa.$!nto La $uditoria de procesamiento se refiere al ciclo que sigue la informacin desde la entrada .asta la salida de la informacin, lo que conlleva al establecimiento de una serie de seguridades para& O-/!t$)os $segurar que todos los datos sean procesados. 9aranti!ar la eactitud de los datos procesados. 9aranti!ar que se grabe un arc.ivo para uso de la gerencia y con fines de auditoria $segurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones. A##$on!s a s!gu$: 7alidacin de datos de entrada previo procesamiento debe ser reali!ada en forma automtica& clave, dgito autoverificador, totales de lotes, etc. ,reparacin de datos de entrada debe ser responsabilidad de usuarios y consecuentemente su correccin. 5ecepcin de datos de entrada y distribucin de informacin de salida debe obedecer a un .orario elaborado en coordinacin con el usuario, reali!ando un debido control de calidad. $doptar acciones necesarias para correcciones de errores. $nali!ar conveniencia costo(beneficio de estandari!acin de formularios, fuente para agilitar la captura de datos y minimi!ar errores. Los procesos interactivos deben garanti!ar una adecuada interrelacin entre usuario y sistema. ,lanificar el mantenimiento del .ard=are y soft=are, tomando todas las seguridades para garanti!ar la integridad de la informacin y el buen servicio a usuarios. <16 Au%$to$a !n !l S$st!.a %! D!saollo , Po%u##$*n %! A"l$#a#$on!s 1e debe justificar que los sistemas .an sido la mejor opcin para la empresa, bajo una relacin costo(beneficio que proporcionen oportuna y efectiva informacin, que los sistemas se .an desarrollado bajo un proceso planificado y se encuentren debidamente documentados. A##$on!s a s!gu$: Los usuarios deben participar en el diseo e implantacin de los sistemas pues aportan conocimiento y eperiencia de su rea y esta actividad facilita el proceso de cambio "l personal de auditora internaIcontrol debe formar parte del grupo de diseo para sugerir y solicitar la implantacin de rutinas de control. "l desarrollo, diseo y mantenimiento de sistemas obedece a planes especficos, metodologas estndares, procedimientos y en general a normatividad escrita y aprobada. 0ada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores. Los programas antes de pasar a ,roduccin deben ser probados con datos que agoten todas las ecepciones posibles. >odos los sistemas deben estar debidamente documentados y actuali!ados. La %o#u.!nta#$*n %!-!3 #ont!n!& ( 4nforme de factibilidad ( Diagrama de bloque ( Diagrama de lgica del programa ( *bjetivos del programa ( Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobacin de modificaciones ( 6ormatos de salida ( 5esultados de pruebas reali!adas ( 4mplantar procedimientos de solicitud, aprobacin y ejecucin de cambios a programas, formatos de los sistemas en desarrollo. ( "l sistema concluido ser entregado al usuario previo entrenamiento y elaboracin de los manuales de operacin respectivos =16 Au%$to$a !n la Do#u.!nta#$*n: Los 1istemas de 4nformacin deben ser documentados la cual debe ser completa, adecuada y actuali!ada de acuerdo a los requerimientos de los usuarios La documentacin se utili!ara para& O-/!t$)os: $segurar que la documentacin adecuada eista y sea controlada con efectividad. $segurar que todos los sistemas sean documentados adecuadamente. $segurar que todas las actividades y procesos de los 1istemas de 4nformacin estn documentados adecuadamente. A##$on!s a s!gu$ ,roporcionar a la 9erencia el soporte para entender claramente los objetivos y resultados del 1istema con el fin de asegurar que se cumplan las polticas con el objeto de la *rgani!acin. 1ervir como base para la revisin de los registros contables y soportar los controles como soporte del 1istema contable para los auditores internos y eternos. ,roporcionar un soporte para los analistas y programadores de 1istemas, responsables del mantenimiento del proceso de informacin, bases de datos y redes de transmisin de datos de los 1istemas eistentes. >16 Au%$to$a %! C!ntos %! Po#!so E2t!no1 Las tareas del 0entro de ,roceso "terno son las ms difciles de establecer el 0ontrol 4nterno, ya que las actividades que soportan el proceso a diferentes *rgani!aciones son diferentes teniendo en cuenta el ambiente y dominio de procesamiento, de acuerdo a la configuracin de los recursos informticos en proceso de informacin, proceso de bases de datos y proceso de transmisin de datos. "l 5ango de los servicios que ofrecen estos 0entros de ,roceso "terno vara en forma considerable como& ( "n desarrollar sistemas de 0ontabilidad #como 4nventarios, almacn, tesorera, recursos .umanos, ventas% en empresas 0omerciales, 4ndustriales, de 1ervicios y manufactureras. ( 4mplementar los 1istemas de 4nformacin, desde la adquisicin de recursos informticos, configuracin e instalacin de equipos y programas de proceso de informacin, bases de datos y transmisin de datos en redes de teleproceso. ( $lgunos centros de proceso eterno ofrecen bloques de tiempo de computador, adems proporciona su propio personal de operacin y sus programas, a travs de terminales remotas, bien sea de tiempo compartido y actuali!acin inmediata con sistemas en lnea. ( >ambin prestan servicios de anlisis y programacin reali!ando consultoras reali!ando investigaciones acerca de las necesidades del cliente soportados con manuales de procedimientos y de procesamiento. O-/!t$)os: $segurar que se estable!ca un compromiso acerca de los servicios del procesamiento de datos, siempre y cuando produ!ca mayores beneficios que cualquier otra alternativa. $segurar los requerimientos de la organi!acin de sus procesos y procedimientos con el de dar seguridad a la organi!acin A##$on!s a s!gu$: Las empresas estn en necesidad de introducir procesamiento electrnico de datos soportados con las 2ltimas tecnologas. >ambin requieren capacitacin de personal eperimentado. 3ecesitan de la eperiencia y .abilidad en el desarrollo de aplicaciones complejas que requieren la utili!acin de recursos informticos de gran alcance "l centro de proceso eterno ofrecen de equipos de proteccin como supresores de pico, reguladores de voltaje y de ser posible ;,1 previo a la adquisicin del equipo. "stablecer el mantenimiento del proveedor de los recursos informticos de su operacin y proceso. "stablecer procedimientos para obtencin de bacHups de paquetes y de arc.ivos de datos. *frecen la revisin peridica y sorpresiva del contenido del disco para verificar la instalacin de aplicaciones no relacionadas a la gestin de la empresa. 8antener programas y procedimientos de deteccin e inmuni!acin de virus en copias no autori!adas o datos procesados en otros equipos. ,roponen la estandari!acin del 1istema *perativo, soft=are utili!ado como procesadores de palabras, .ojas electrnicas, manejadores de base de datos y mantener actuali!adas las versiones y la capacitacin sobre modificaciones incluidas. 5eali!an la revisin de los 0entros de 0mputo& el cual consiste en revisar los controles en las operaciones del centro de procesamiento de informacin en los siguientes aspectos& '.( 5evisin de controles en el equipo & 1e .ace para verificar si eisten formas adecuadas de detectar errores de procesamiento, prevenir accesos no autori!ados y mantener un registro detallado de todas las actividades del computador que debe ser anali!ado peridicamente. ).( 5evisin de programas de operacin & 1e verifica que el cronograma de actividades para procesar la informacin asegure la utili!acin efectiva del computador. +.( 5evisin de controles ambientales 1e .ace para verificar si los equipos tienen un cuidado adecuado, es decir si se cuenta con des.umidificadores, aire acondicionado, fuentes de energa continua, etintores de incendios, etc. -.( 5evisin del plan de mantenimiento &$qu se verifica que todos los equipos principales tengan un adecuado mantenimiento que garantice su funcionamiento continuo. /.( 5evisin del sistema de administracin de arc.ivos &1e .ace para verificar que eistan formas adecuadas de organi!ar los arc.ivos en el computador, que estn respaldados, as como asegurar que el uso que le dan es el autori!ado. @.( 5evisin del plan de contingencias& $qu se verifica si es adecuado el plan de recupero en caso de desastre, el cual se detalla ms adelante. ?16 Au%$to$a !n S$st!.as Int!ga%os1 La $uditoria en los 1istemas 4ntegrados constituye una etensin del concepto de continuidad 0uando nos referimos a los conceptos de continuidad debemos observar el funcionamiento de la aplicacin en su conjunto dentro de un proceso automati!ado, no deba eistir una operacin que sea interrumpida por un proceso manualJ es decir un resultado obtenido de un proceso automati!ado, alimenta a otro por diferentes ra!ones ya sea que no se .a construido la interface de los dos procesos automati!ados porque radican en maquinas diferentes y no estn comunicadas entre s, porque responden a diferentes niveles en la organi!acin empresarial etc. "n resumen podemos afirmar que si eisten mdulos de programas o subsistemas que se interconectan por procesos manuales que no responden a una verificacin visual o de otro tipo, podemos afirmar que el sistema carece de continuidad. "jemplo& ;n sistema con alto grado de integracin puede .acer el proceso de facturacin de un producto, ste se rebaja de inventario, se produce la factura, se actuali!aran las cuentas por cobrar del cliente y es elaborado el asiento contable que se necesita para actuali!ar las cuentas de ingresos, costos, inventarios y cuentas correspondientes por cobrar. 1in embargo, pudiera ser interrumpido en cualquiera de los puntos anteriores de dos formas o maneras distintas& ,roduciendo un $lmacenamiento de Datos y proceso de la informacin con el soporte eterno que sirva para alimentar otro sistema que se encargue del registro contable. "laborar la entrada y distribucin de los resultados a nivel automtico con el fin de entregar a los usuarios los resultados oportunos, confiables y seguros en el sitio donde se desea utili!ar. La falta de observacin del concepto de continuidad facilita la posibilidad de introducir errores por la intervencin de la mano del .ombre. 1e deben tener en cuenta las reglas de acceso de los datos en forma automtica con validacin de secuencia y c.equeo de contrapartidas para lograr la disminucin de errores, detalle ste muy complejo debido a que debe permitirse al sistema receptor a posibilidad de aceptar valores de forma bastante consecuente. La $uditoria en los 1istemas 4ntegrados constituye la posibilidad de que no eistan procesos aislados que produ!can salidas que alimentan a otro proceso. ;n ejemplo bastante frecuente de este concepto se observa en el entorno contable de una empresa, ya que resulta difcil de disponer de un sistema automati!ado que contenga los elementos necesarios para el control de dic.a empresa. $ pesar de que constituyen procesos regulares o comunes en el control de una empresa no aparecen integrados en un sistema 2nico, stos son& 3minas 8edios bsicos 0ostos ,roduccin 1i a estos procesos considerados comunes le agregamos aquellos que de forma particular pertenecen a la actividad fundamental de la empresa, el sistema ya se complica, como por ejemplo pudieran ser& $gencias de 7iajes >alleres 1ervicios en general que dependen de la conformacin de un producto. ,artimos del supuesto que queramos automati!ar la empresa, pero, no queremos invertir en un soft=are y con la supervisin de un personal profesional. ,ero terminamos enfrentndonos ante un monstruo de 'DD cabe!as donde cada mdulo tiene un fabricante distinto, con una filosofa diferente al concebir los programas y sistemas. "sto trae como consecuencia la posibilidad de que ocurran omisiones yIo errores en los puntos de conein entre una actividad y otra. 1i no observamos estos dos conceptos en el anlisis del sistema se pueden incorporar riesgos al sistema y fisuras en el control interno de la entidad que se revisa. A##$on!s a S!gu$ 9aranti!ar las relaciones entre los departamentos de la empresa. ,rimordial para una buena acogida de las evoluciones del sistema informtico. 0uidar la co.erencia del sistema de informacin con respecto a la organi!acin de la empresa y a su evolucin. "n el marco de la implantacin de sistemas integrados #"5,, 058 o de cualquier otra arquitectura que se plantee en el futuro%, garanti!a la puesta en marc.a de los cambios de procesos decididos por la Direccin 9eneral. Definir las polticas, caractersticas tcnicas y la adecuacin de los sistemas .ard=are y de red, as como las caractersticas de los sistemas de comunicaciones. "valuar los 5iesgos "mpresariales asociados a los 1istemas 4nformticos y establece las orientaciones y directrices para mitigarlos colocando la ejecucin en 1istemas 4ntegrados "stablecer las normativas y criterios de aceptacin de los desarrollos propios y adquiridos en forma 4ntegral. "stablecer las directrices sobre las mtricas e indicadores que sern utili!ados para permitir a la Direccin de la "mpresa la evaluacin y el seguimiento de los 1istemas 4nformticos con integracin en todas las areas. $dministrar un sistema de bases de datos, interpretando su diseo y estructura, y reali!ando la adaptacin del modelo a los requerimientos del sistema gestor de bases de datos #19<D%, as como la configuracin y administracin del mismo a nivel fsico y lgico, a fin de asegurar la integridad, disponibilidad y confidencialidad de la informacin almacenada. Desarrollo y construccin de las bases de datos. $segurar la co.erencia y la adaptacin a las necesidades de la empresa. 9estionar las autori!aciones de acceso para los usuarios. ,articipar en la instalacin de las .erramientas de Data=are.ouse, .erramientas de 14$D, Data 8ining y cualquiera futura. 5esponsabilidad de la integridad de los datos y de la eistencia de <acH(ups. "stimacin de vol2menes de las estructuras de datos, definiendo mecanismos de migracin y carga inicial de datos. "n produccin se ocupa de la gestin y operativa asociada a las bases de datos y al soft=are en el que estn implementadas. "ste perfil es independiente de la tecnologa de <ase de Datos, jerrquica, relacional, orientada a objetos, nativa K8L, o cualquier otra. "ste perfil normalmente eisten en las grandes empresas y en la $dministracin, y su responsabilidad es muy alta, ya que la seguridad de los datos es imprescindible. "jemplo& ?acienda, ?ospitales, Defensa, 4nterior, <anca, etc. "n una pequea y mediana empresa, no suele tener muc.o sentido y normalmente no eiste como tal. 5@16 Au%$to$a !n A"l$#a#$on!s !n Fun#$ona.$!nto1 0onsiste en verificar el funcionamiento de un sistema de informacin, aplicando una serie de conocimientos, tcnicas y mtodos con el propsito de eaminar la operatividad del sistema. "n el proceso de investigacin el auditor comprueba si en los sistemas se estn aplicando medidas de seguridad y de control apropiadas para asegurar la integridad de la informacin. "l auditor debe reali!ar un anlisis profundo de todos los componentes que integran el sistema informtico. La auditoria informtica en una empresa es esencial debido a que un sistema mal diseado resulta peligroso para la empresa. La informtica esta vinculada en las tareas o transacciones de la empresa debido a esto deben aplicarse las normas y procedimientos informticos. O-/!t$)os: Los principales objetivos se constituye en obtener la solucin optima que traiga mayores beneficios a un menor costo y aqu se establece la auditoria 4nformtica con controles para la eficiencia desde el anlisis, diseo y construccin del 1istema $plicativo de acuerdo a las necesidades de cada :rea de la *rgani!acin o "mpresa y as verificar el cumplimiento de las 3ormas 4nternas y "ternas que contribuyen la vida 2til de la "mpresa con la revisin efica! en la gestin de los recursos informticos, lgicos, fsicos y los recursos .umanos informticos. "s importante saber qu buscan los auditores en una auditoria de cumplimiento. Durante sta, los auditores buscan evidencias indicativas de& Lue la empresa .a diseado controles eficaces para resolver sus requisitos de cumplimiento y que no .ay errores en la construccin y el diseo de las aplicaciones que soportan la actividad de la "mpresa. Lue la empresa aplica consistentemente los controles diseados y que no eisten deficiencias operativas. "ntender los pasos del proceso de auditora del rea informtica permite a los administradores de informtica saber lo que deben esperar de la auditoria. De esta forma pueden lograr los objetivos de cumplimiento normativo de su empresa y optimi!ar el proceso de auditora para completarlo ms efica!mente. ,osteriormente entregar a la gerencia un informe final con relacin a lo auditado. En !su.!n los o-/!t$)os son: '. <uscar una mejor relacin costo(beneficio de los 1istemas automticos o computari!ados diseados e implantados por el ,"D ). 4ncrementar la satisfaccin de los usuarios de los 141>"8$1 computari!ados +. 0onocer la situacin actual del rea informtica y las actividades y esfuer!os necesarios para lograr los objetivos propuestos. -. 1eguridad de personal, datos, .ard=are, soft=are e instalaciones /. $poyo de funcin informtica a las metas y objetivos de la organi!acin @. 1eguridad, utilidad, confian!a, privacidad y disponibilidad en el ambiente informtico A. 8inimi!ar eistencias de riesgos en el uso de >ecnologa de informacin B. Decisiones de inversin y gastos innecesarios C. 0apacitacin y educacin sobre controles en los sistemas de 4nformacin. A##$on!s a s!gu$ La funcin de Desarrollo es una evolucin del llamado $nlisis y ,rogramacin de 1istemas y $plicaciones. $ su ve!, engloba muc.as reas, tantas como sectores informati!adles tiene la empresa. 8uy concisamente, una $plicacin recorre las siguientes fases& 5equisitos del ;suario #2nico o plural% y del entorno. $nlisis funcional. Diseo. $nlisis orgnico #5eprogramacin y ,rogramacin%. ,ruebas. >odas las $plicaciones que se desarrollan son muy parametri!adas, es decir, que tienen un montn de parmetros que permiten configurar cual va a ser el comportamiento del 1istema. ;na $plicacin va a usar para tal y tal cosa cierta cantidad de espacio en el disco. "l auditor debe conocer los equipos electrnicos que utilice su cliente para aprovec.arlos al practicar su auditoria. 3o es necesario que el auditor sea eperto en la programacin, pero si que cono!ca los programas de contabilidad que utili!a el cliente. Los sistemas ,"D se definen por su complejidad tcnica y el grado en que se utili!an en una organi!acin. ;na mejor medida de la complejidad es la capacidad de un sistema en comparacin con la capacidad de un sistema calificado como mejor norma, y se define como complejo. "l ,"D se utili!a en un sistema el cual esta relacionado con la complejidad. ,or lo general, cuando ms funciones de negocios y contabilidad se reali!an mediante computadora, el sistema tiene que irse .aciendo ms complejo para acomodar las necesidades de procesamiento. ;na forma en que un sistema puede .acerse ms complejo es incrementando el n2mero de ciclos de transacciones que se basan en la computadora. 0onsiste en verificar un sistema de informacin automati!ado que nos permita obtener una deduccin del funcionamiento de dic.o La auditoria informtica sistema. 0abe aclarar que la 4nformtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, desde el momento en que es una .erramienta adecuada de colaboracin. "n este sentido y debido a su importancia en el funcionamiento de una empresa, eiste la $uditoria 4nformtica. Los sistemas 4nformticos estn sometidos al control correspondiente. "l auditor informtico .a de velar por la correcta utili!acin de los amplios recursos que la empresa pone en juego para disponer de una eficiente y efica! .erramienta de colaboracin en el sistema de informacin. "ste tema relata sobre la auditoria informtica, y algunos aspectos que la engloban tales como& reas de aplicacin, que trata de los diferentes procedimientos que se van a emplear en el rea informtica, as como tambin el procesamiento electrnico de datos, puesto que el auditor debe conocer el programa que va a utili!ar. >ambin se observar cuales son los objetivos primordiales de una auditoria de sistemas, pues son de muc.a importancia centrarse en ellos debido a que se eval2a la operatividad del sistema y el control de la funcin informtica, que influyen muc.o en los resultados obtenidos #informe final%J los procedimientos que se reali!an en la auditoria consiste en la metodologa que se va a aplicar para reali!ar el anlisis correspondiente. "n la actualidad la informtica se encuentra evidentemente vinculada con la gestin de las empresas y es por esto que es de vital importancia que eista la auditoria informtica, para anali!ar el desempeo y funcionamiento de los sistemas de informacin, de los cuales depende la organi!acin. 5516 Au%$to$a !n R!%!s !n Tans.$s$*n $segurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. "valuar la forma de comunicacin entre los usuarios y los sistemas. "valuar cmo se afecta globalmente la seguridad de los datos, a medida en que las comunicaciones y procesamiento de datos contin2an epandindose, teniendo en cuenta el incremento en la proliferacin de computadores personales, terminales y porttiles que acceden a sistemas por redes. A##$on!s a s!gu$: "iste la infraestructura y el ambiente de un departamento de comunicaciones. 1e cuenta con una arquitectura total de la red de comunicaciones. "l protocolo de la red ejecuta funciones de verificacin automtica de errores, para asegurar la eactitud de la transmisin de mensajes entre nodos de la red. 7erificacin de n2mero de secuencia de los mensajes en la 5ed 4dentificacin de recibo yIo envo de los mensajes y transmisin de datos. 5econocimiento o acuse de recibo y envo de mensajes. 5econciliacin peridica de mensajes que retransmiten de acuerdo ala topologa de la 5ed. 7erificacin de las direcciones de mensajes. 0digo de deteccin Icorreccin de errores. 0digo de redundancia de claves. Login de errores. Login de usuarios 4nstalaciones y equipos de <acHup de acuerdo a la transmisin de los datos. ,rocedimientos de recuperacin de informacin. Deteccin de desconein de dispositivos. "ncriptacin ciframiento. 6acilidades de transmisin de baja tasa de errores. 8onitoreo de los controles que estn funcionando correctamente. 4ncluir requerimientos para la integridad y la complejidad de los datos cuando especifica un reempla!o nuevos elementos de .ard=are, soft=are medios de comunicaciones.( La seguridad del soft=are es parte indispensable para la proteccin de la informacin que viaja va red. La organi!acin de los datos deben estar protegidos con un programa formal de seguridad fsica de datos. Deben .aber funciones establecidas para el manejo de seguridad en las comunicaciones. "l departamento Murdico debe estar incluido en la planeacin y administracin de la seguridad, con programas normativos legales con relacin a la seguridad de las comunicaciones. La organi!acin debe llevar un anlisis de riesgo formal para las facilidades de comunicaciones respecto al impacto de acceso no autori!ado. Deben .aber medidas en los s!)$%o!s de los sitios remotos para proteger fsicamente las facilidades de comunicaciones contra acceso no autori!ado. "l soft=are debe ofrecer facilidades de login, reportes y vigilancia para proveer adecuadas pistas de auditoria de las actividades de la red y alertar a la Mefatura de potenciales penetraciones de la seguridad de la red. Las libreras y programas deben estar protegidos con normas y procedimientos de soft=are de comunicaciones. 1e deben usar dispositivos de seguridad en comunicaciones para la red #"ncriptacin%. Deben eistir controles entre las redes p2blicas y las de gate=ay, para garanti!ar la integridad y seguridad de los datos. "isten controles #"j. Dispositivos de autenticacin personal servicios%. 1e tiene un plan formal para el desarrollo de la arquitectura de la red de comunicaciones. Deben .aber procesos para que soporten la arquitectura de sistemas de comunicacin #vo! y datos% en los planes corporativos. Las definiciones de requerimiento funcionales y desarrollo deben eistir para los servicios en comunicaciones de vo! y datos. Deben estar identificadas y asignadas las responsabilidades en el departamento, el diseo, instalacin y funciones en las comunicaciones y operacin retransmisin. Debe eistir una metodologa estructurada para el diseo de los sistemas de comunicacin. 1e debe tener una cuenta con una .erramienta de soft=are para disear sistemas de comunicacin. Debe eistir un proceso formal para administrar los cambios en las comunicaciones. 1e debe ejecutar un anlisis preliminar para evaluar el impacto de los cambios propuestos en el ambiente eistente. La documentacin debe estar actuali!ada en la configuracin del .ard=are y soft=are de comunicacin. 1e encuentra asociacin entre los procesos de administracin de cambios y el control de inventarios de comunicaciones. "s obligatorio para ejecutar pruebas off(line antes de introducir un nuevo o modificado componente de comunicaciones en el ambiente de comunicacin. 1e deben reali!ar las revisiones post(implementacin de cambios en las comunicaciones. E)alua#$*n %! la S!gu$%a% %!l S$st!.a "l 0omputador es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utili!ada o divulgada a personas que .agan mal uso de esta. >ambin pueden ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. "sta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. "n la actualidad y principalmente en las computadoras personales, se .a dado otro factor que .ay que considerar& el llamado EvirusE de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autori!acin #EpiratasE% y borra toda la informacin que se tiene en un disco. $l auditar los sistemas se debe tener cuidado que no se tengan copias EpiratasE o bien que, al conectarnos en red con otras computadoras, no eista la posibilidad de transmisin del virus. "l uso inadecuado de la computadora comien!a desde la utili!acin de tiempo de mquina para usos ajenos de la organi!acin, la copia de programas para fines de comerciali!acin sin reportar los derec.os de autor .asta el acceso por va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos. La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica& La seguridad fsica, se refiere a la proteccin del ?ard=are y de los soportes de datos, as c como a la de los edificios e instalaciones que los albergan. 0ontempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. La seguridad lgica, se refiere a la seguridad de uso del soft=are, a la proteccin de los datos, procesos y programas, as como la del ordenado y autori!ado acceso de los usuarios a la informacin. ;n mtodo efica! para proteger sistemas de computacin es el soft=are de control de acceso. Dic.o simplemente, los paquetes de control de acceso protegen contra el acceso no autori!ado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial. Dic.os paquetes .an sido populares desde .ace muc.os aos en el mundo de las computadoras grandes, y los principales proveedores ponen a disposicin de clientes algunos de estos paquetes. Causas %! !al$8a#$*n %! una Au%$to0a %! S!gu$%a% "l equipo auditor debe conocer las ra!ones por las cuales el cliente desea reali!ar el 0iclo de 1eguridad. ,uede .aber muc.as causas& 5eglas internas del cliente, 4ncrementos no previstos de costes, *bligaciones legales, 1ituacin de ineficiencia global notoria, etc. De esta manera el auditor conocer el entorno inicial. $s, el equipo auditor elaborar el ,lan de >rabajo. C$#lo %! S!gu$%a% "l objetivo de la auditora de seguridad es revisar la situacin y las cuotas de eficiencia de la misma en los rganos ms importantes de la estructura informtica. ,ara ello, se fijan los supuestos de partida& "l rea auditada es la 1eguridad. "l rea a auditar se divide en& 1egmentos. Los segmentos se dividen en& 1ecciones. Las secciones se dividen en& 1ubsecciones. De este modo la auditora se reali!ara en + niveles. Los segmentos a auditar, son& 1egmento '& 1eguridad de cumplimiento de normas y estndares. 1egmento )& 1eguridad de 1istema *perativo. 1egmento +& 1eguridad de 1oft=are. 1egmento -& 1eguridad de 0omunicaciones. 1egmento /& 1eguridad de <ase de Datos. 1egmento @& 1eguridad de ,roceso. 1egmento A& 1eguridad de $plicaciones. 1egmento B& 1eguridad 6sica. 0onceptualmente la auditoria informtica en general y la de 1eguridad en particular, .a de desarrollarse en seis fases bien diferenciadas& 6ase D. 0ausas de la reali!acin del ciclo de seguridad. 6ase '. "strategia y logstica del ciclo de seguridad. 6ase ). ,onderacin de sectores del ciclo de seguridad. 6ase +. *perativa del ciclo de seguridad. 6ase -. 0lculos y resultados del ciclo de seguridad. 6ase /. 0onfeccin del informe del ciclo de seguridad. $ su ve!, las actividades auditoras se reali!an en el orden siguiente& 1. 0omien!o del proyecto de $uditora 4nformtica. ). $signacin del equipo auditor. +. $signacin del equipo interlocutor del cliente. -. 0umplementacin de formularios globales y parciales por parte del cliente. /. $signacin de pesos tcnicos por parte del equipo auditor. @. $signacin de pesos polticos por parte del cliente. A. $signacin de pesos finales a segmentos y secciones. B. ,reparacin y confirmacin de entrevistas. 9. "ntrevistas, confrontaciones y anlisis y repaso de documentacin. 'D. 0alculo y ponderacin de subsecciones, secciones y segmentos. ''. 4dentificacin de reas mejorables. '). "leccin de las reas de actuacin prioritaria. '+. ,reparacin de recomendaciones y borrador de informe '-. Discusin de borrador con cliente. '/. "ntrega del informe. Con#lus$*n La auditora en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informticaJ de los equipos de cmputo, su utili!acin, eficiencia y seguridad, de la organi!acin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utili!acin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. La auditora en informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems .abr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, arc.ivos, seguridad y obtencin de informacin. La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. $dems debe evaluar todo #informtica, organi!acin de centros de informacin, .ard=are y soft=are%.