FUNDACION UNIVERSITARIA SAN JOSE

FACULTAD: CIENCIAS ECONOMICAS Y CONTABLES

PROGRAMA: CONTADURIA PBLICA
ASIGNATURA: AUDITORIA DE SISTEMAS
CONCEPTO DE AUDITORIA
La auditoria puede conceptuarse en trminos generales como la revisin y la
supervisin sistemtica de una actividad o grupos de actividades.
De la palabra auditora proviene auditor, que tiene la virtud de oir y revisar
cuentas, pero debe estar encaminado a un objetivo especfico que es el de evaluar
la eficiencia y eficacia con que se est operando para que, por medio del
sealamiento de cursos alternativos de accin, se tomen decisiones que permitan
corregir los errores, en caso de que eistan, o bien mejorar la forma de actuacin.
Algunos auto!s "o"o#$onan otos #on#!"tos "!o to%os #o$n#$%!n !n
&a#! 'n(as$s !n la !)$s$*n+ !)alua#$*n , !la-oa#$*n %! un $n(o.! "aa !l
!/!#ut$)o !n#a.$na%o a un o-/!t$)o !s"!#0($#o !n !l a.-$!nt! #o."uta#$onal
, los s$st!.as1
La reali!acin de la auditoria no es privativa de una profesin especfica dado que
en la funcin de la especiali!acin de las actividades de las actividades se
requieren profesiones especiali!adas
Au%$to$a %! Esta%os F$nan#$!os: "s la revisin de los libros y registros
contables de una "ntidad, as como el estudio y la evaluacin del control interno y
de los procedimientos contables administrativos de las misma, basados en
tcnicas especificas #normas y procedimientos de $uditoria%, con el fin de omitir
una opinin de la ra!onabilidad de las cifras presentadas con lo cual cubren los
siguientes objetivos&
'.( salvaguardar los activos de la empresa
).( *btencin de resultados.
+.( ,romocin de eficiencia de operaciones.
-.( $d.esin a polticas prescritas por la direccin de la "ntidad
/.( 0umplimiento por parte de la entidad de las disposiciones legales que
reglamentan las operaciones.
Au%$to$a A%.$n$stat$)a: "s el eamen comprensivo y constructivo de la
estructura de organi!acin de la empresa, institucin, seccin de gobierno o
cualquier parte de una entidad, en cuanto a sus planes y objetivos, sus mtodos y
controles, operacin y sus facilidades fsicas y .umanas.
Au%$to$a O"!a#$onal: 0onsiste en el eamen de las reas de operaciones de
una empresa, institucin, seccin de gobierno o cualquier parte de una entidad,
para determinar si se tienen los controles para operar con eficiencia, teniendo a la
disminucin de costos para incrementar la productividad.
DIFERENCIAS ENTRE AUDITORIA OPERACIONAL Y ADMINISTRATIVA
Au%$to$a O"!a#$onal Au%$to$a A%.$n$stat$)a
'. 1e efect2a invariablemente
revisando operaciones y no personal
o departamentos
'. 1e efect2a revisando cualquier
operacin, persona o departamento,
incluyendo los niveles jerrquicos.
). 3ormalmente se efectuara por el
rea de auditoria 4nterna de una
entidad
).( "s reali!ada por auditores
eternos a la "ntidad
+.( "s reali!ada por contadores
p2blicos o por $dministradores de
"mpresas
+.( 5equiere los servicios de
profesionales especialistas en
diversas ramas, en virtud de la
necesidad que surge por el amplio
campo de accin que comprende
Au%$to0a Int!na: "s aquella que se reali!a dentro del mbito de la organi!acin
o entidad para dar servicio a la misma y es reali!ada por personal que depende
econmicamente de dic.a entidad. $un cuando eista dependencia econmica es
requisito indispensable para su buen funcionamiento que eista una absoluta
independencia mental y jerrquica por parte de su personal. Dentro de este tipo
de auditora se maneja normalmente la auditoria de los "stados 6inancieros, la
auditoria de sistemas y la auditoria operacional.
Au%$to0a E2t!na: "ste tipo de revisin es llevado a cabo por profesionales
independientes de la entidad y que en consecuencia, no dependen
jerrquicamente de la misma.
1u campo de accin es muy basto, ya que normalmente puede comprender todos
los campos de la auditoria .asta a.ora mencionados.
Funciones de los Tipos de Auditora
"isten algunos tipos de auditora entre las que la $uditora de 1istemas integra
un mundo paralelo pero diferente y peculiar resaltando su enfoque a la funcin
informtica.
"s necesario recalcar como anlisis de este cuadro que $uditora de 1istemas no
es lo mismo que $uditora 6inanciera.
"ntre los principales enfoques de $uditora tenemos los siguientes&
La $uditoria 6inanciera 7eracidad de estados financieros, ,reparacin de
informes de acuerdo a principios contables, "valuar la eficiencia, la
*peracin de "ficacia
$uditora 6iscal 1e dedica a observar el cumplimiento de las leyes fiscales
$dministrativa $nali!a Logros de los objetivos de la $dministracin,
Desempeo de funciones administrativas
"sta auditora "val2a& 0alidad 8todos, 8ediciones, 0ontroles de los
bienes y servicios, 5evisa la contribucin a la sociedad en lo social as
como la participacin en actividades socialmente orientadas
La Au%$to$a %! S$st!.as
"s una rama especiali!ada de la auditoria que promueve y aplica conceptos de
auditora en el rea de sistemas de informacin. "s un conjunto de
procedimientos, normas, estndares, reglas que garanti!an el correcto proceso de
informacin en un sistema computari!ado.
Otos #on#!"tos
La verificacin de controles en el procesamiento de la informacin,
desarrollo de sistemas e instalacin con el objetivo de evaluar su
efectividad y presentar recomendaciones a la 9erencia.
La actividad dirigida a verificar y ju!gar informacin.
"l eamen y evaluacin de los procesos del :rea de ,rocesamiento
automtico de Datos #,$D% y de la utili!acin de los recursos que en
ellos intervienen, para llegar a establecer el grado de eficiencia,
efectividad y economa de los sistemas computari!ados en una empresa
y presentar conclusiones y recomendaciones encaminadas a corregir las
deficiencias eistentes y mejorarlas.
"l proceso de recoleccin y evaluacin de evidencia para determinar si
un sistema automati!ado tiene& daos, destruccin de activos, ;so no
autori!ado, 5obo, 3o mantiene 4ntegridad de 4nformacin ,recisa,
0ompleta, *portuna, 0onfiable.
Objetivos Generales de una Auditora de Sistemas
<uscar una mejor relacin costo(beneficio de los sistemas automticos o
computari!ados diseados e implantados por el ,$D.
4ncrementar la satisfaccin de los usuarios de los sistemas computari!ados
$segurar una mayor integridad, confidencialidad y confiabilidad de la
informacin mediante la recomendacin de seguridades y controles.
0onocer la situacin actual del rea informtica y las actividades y
esfuer!os necesarios para lograr los objetivos propuestos.
1eguridad de personal, datos, .ard=are, soft=are e instalaciones
$poyo de funcin informtica a las metas y objetivos de la organi!acin
1eguridad, utilidad, confian!a, privacidad y disponibilidad en el ambiente
informtico
8inimi!ar eistencias de riesgos en el uso de >ecnologa de informacin
Decisiones de inversin y gastos innecesarios
0apacitacin y educacin sobre controles en los 1istemas de 4nformacin
Justificacin para efectuar una Auditora de Sistemas
$umento considerable e injustificado del presupuesto del ,$D
#Departamento de ,rocesamiento de Datos%.
Desconocimiento en el nivel directivo de la situacin informtica de la
empresa
6alta total o parcial de seguridades lgicas y fsicas que garanticen la
integridad del personal, equipos e informacin.
Descubrimiento de fraudes efectuados con el computador.
6alta de una planificacin informtica.
*rgani!acin que no funciona correctamente, falta de polticas, objetivos,
normas, metodologa, asignacin de tareas y adecuada administracin del
5ecurso ?umano
Descontento general de los usuarios por incumplimiento de pla!os y mala
calidad de los resultados
6alta de documentacin o documentacin incompleta de sistemas que
revela la dificultad de efectuar el mantenimiento de los sistemas en
produccin
La Importancia de la Auditora de Sistemas
"s el eamen o revisin de carcter objetivo #independiente%,
crtico#evidencia%, sistemtico #normas%, selectivo #muestras% de las
polticas, normas, prcticas, funciones, procesos, procedimientos e
informes relacionados con los sistemas de informacin computari!ados, con
el fin de emitir una opinin profesional #imparcial% con respecto a&
"ficiencia en el uso de los recursos informticos
7alide! de la informacin
"fectividad de los controles establecidos
La Au%$to0a %! los S$st!.as %! In(o.a#$*n y las .abilidades necesarias para
llevar a cabo este tipo de auditoras, requieren el desarrollo y la promulgacin de
3ormas las cuales son&
( 3ormas 9enerales
( 3ormas relativas a la ejecucin del trabajo
( 3ormas relativas al informe
No.as %! Au%$to$a G!n!al.!nt! A#!"ta%as1
Las normas de auditora difieren de los procedimientos en que estos se refieren a
actos que .an de ejecutarse, en tanto que las normas tiene que ver con las
medidas relativas a la calidad en la ejecucin de estos actos y los objetivos que
.an de alcan!arse mediante el uso de los procedimientos adoptados y son&
No.as G!n!al!s:
'.("l eamen debe llevarse cabo por una persona o personas que tengan el
entrenamiento tcnico y la capacidad profesional como auditores.
).( "n todos los asuntos relacionados con el trabajo encomendado, el o los
auditores mantendrn una actitud mental independiente.
+.( 1e ejecutara el cuidado profesional en la ejecucin del eamen y en la
preparacin del informe.
No.as R!lat$)as a la E/!#u#$*n %!l Ta-a/o
'.( "l trabajo se planeara adecuadamente y se supervisara apropiadamente la
labor de los ayudantes.
).( Deber .aber un estudio apropiado y evaluacin del sistema de control interno
eistente, como base para confiar en el y para determinar la etensin necesaria
de las pruebas a las que debern concentrase los procedimientos de auditoria
+.( 1e obtendr material de prueba suficiente y adecuado por medio de la
inspeccin, observacin, investigacin, indagacin y confirmacin para lograr una
base ra!onable y as poder epresar una opinin en relacin con los estados
financieros que se eaminan.
No.as R!lat$)as al In(o.!
'.( "l informe indicara si los estados financieros se presentan de acuerdo con
principios de contabilidad generalmente aceptadas.
).( "l informe indicara si dic.os principios se .an seguido uniformemente en el
periodo actual, en relacin con el periodo precedente.
+.( Las revelaciones informativas contenidas en los estados financieros deben
considerarse como ra!onablemente adecuadas, a menos que en el informe se
indique lo contrario
-.( "l informe contendr, ya sea una opinin en relacin con los estados
financieros tomados en conjunto, o una aseveracin en el sentido de que no
puede epresarse una opinin. 0uando no pueda epresarse una opinin sobre
los estados financieros en conjunto, deben consignarse las ra!ones que eistan
para ello.
La Au%$to0a %! S$st!.as de informacin se define como el eamen que abarca
la revisin y evaluacin de todos los aspectos o de acuerdo al rea de los
s$st!.as auto.3t$#os de procesamiento de la informacin, incluidos los
procedimientos no automticos relacionados con ellos y las interfaces
correspondientes. "s una rama especiali!ada de la auditoria que promueve y
aplica conceptos de auditoria en el rea de los sistemas de informacin.
,ara .acer una adecuada planeacin de la auditora en informtica, .ay que
seguir una serie de pasos previos que permitirn dimensionar el tamao y
caractersticas de rea dentro del organismo a auditar, sus sistemas, organi!acin
y equipos
"n el caso de la auditora en informtica, la planeacin es fundamental, pues
.abr que .acerla desde el punto de vista de dos objetivos&
E)alua#$*n %! los s$st!.as , "o#!%$.$!ntos1
E)alua#$*n %! los !4u$"os %! #*."uto1
,ara .acer una planeacin efica!, lo primero que se requiere es obtener
informacin general sobre la organi!acin y sobre la funcin de informtica a
evaluar.
,ara ello es preciso .acer una investigacin preliminar y algunas entrevistas
previas, con base en esto planear el programa de trabajo, el cual deber incluir
tiempo, costo, personal necesario y documentos auiliares a solicitar o formular
durante el desarrollo de la misma.
0onsta de&
516 E)alua#$*n %! los S$st!.as: "n este objetivo se debe tener en cuenta
"valuacin de los diferentes sistemas en operacin #flujo de informacin,
procedimientos, documentacin, redundancia, organi!acin de arc.ivos,
estndares de ,rogramacin, controles, utili!acin de los sistemas%.
"valuacin del avance de los sistemas en desarrollo y congruencia con el
diseo general
"valuacin de prioridades y recursos asignados #.umanos y equipos de
cmputo%
1eguridad fsica y lgica de los sistemas, su confidencialidad y respaldos.
716 E)alua#$*n %! los !4u$"os, en este objetivo se debe tener en cuenta
trminos y parmetros que deben cumplir con la normatividad 41* como&
0apacidades
;tili!acin
3uevos ,royectos
1eguridad fsica y lgica
"valuacin fsica y lgica.
ESCENARIOS EN LOS CUALES DEBEN SOPORTAR EL TRABAJO DE
AUDITORIA DE SISTEMAS
Lo anterior se debe cumplir de acuerdo a los "squemas y $mbientes de proceso
de 4nformacin+ la $uditoria en el $mbiente 4nformtico se debe soportar en
escenarios en el ,rocesamiento de Datos, teniendo en cuenta el conocimiento de
las diferentes reas de la "mpresa, donde se reali!a el proceso de 0ontrol y
1eguridad 4nformtica. "stos escenarios se agrupan de la siguiente forma&
'.( $uditoria en la ,reinstalacin
).( $uditoria en la *rgani!acin y ,lanificacin
+.( $uditoria en la "ntrada( 1alida de Datos
-.( $uditoria en la *peracin
/.( $uditoria en el ,rocesamiento
@.( $uditoria en 1istemas en el Desarrollo y ,roduccin de $plicaciones.
A.( $uditoria de Documentacin
B.( $uditoria de 0entros de proceso eterno.
C.( $uditoria en 1istemas 4ntegrados.
'D.( $uditoria en $plicaciones en 6uncionamiento.
''.( $uditoria en 5edes y >ransmisin de Datos.
516 Au%$to$a !n la P!$nstala#$*n
?acen referencia a procesos y actividades previas a la adquisicin e instalacin de
recursos informticos de proceso de informacin, proceso de bases de Datos y
,roceso de 5edes y >ransmisin de datos, en la automati!acin de los procesos
eistentes.
O-/!t$)os:
9aranti!ar que el .ard=are y soft=are se adquieran siempre y cuando
tengan la seguridad de que los sistemas computari!ados proporcionaran
mayores beneficios que cualquier otra alternativa.
$segurar la elaboracin de un plan de actividades previo a la instalacin
9aranti!ar la seleccin adecuada de equipos y sistemas de computacin
Cono#$.$!nto %!l Es#!na$o
"laboracin de un informe tcnico en el que se justifique la adquisicin del
equipo, soft=are y servicios de computacin, incluyendo un estudio costo(
beneficio.
6ormacin de un comit que coordine y se responsabilice de todo el
proceso de adquisicin e instalacin.
"laborar un plan de instalacin de equipo y soft=are #fec.as, actividades,
responsables% el mismo que debe contar con la aprobacin de los
proveedores el equipo.
"laborar un instructivo con procedimientos a seguir para la seleccin y
adquisicin de equipos, programas y servicios computacionales. "ste
proceso debe enmarcarse en normas y disposiciones legales.
"fectuar las acciones necesarias para una mayor participacin de
proveedores.
$segurar respaldo de mantenimiento y asistencia tcnica.
"l proveedor de .ard=are y soft=are deber proporcionar lo siguiente&
( 8anual de operacin de equipos
( 8anual de lenguaje de programacin
( 8anual de utilitarios disponibles
( 8anual de 1istemas operativos.
Las instalaciones deben contar con sistema de alarma por presencia de
fuego, .umo, as como etintores de incendio, coneiones elctricas
seguras, entre otras.
4nstalar equipos que protejan la informacin y los dispositivos en caso de
variacin de voltaje como& reguladores de voltaje, supresores pico, ;,1,
generadores de energa.
0ontratar pli!as de seguros para proteger la informacin, equipos,
personal y todo riesgo que se produ!ca por casos fortuitos o mala
operacin.
716 Au%$to$a !n la Ogan$8a#$*n , Plan$($#a#$*n
1e refiere a la definicin clara de funciones, lnea de autoridad y responsabilidad
de las diferentes unidades del rea ,"D, en labores tales como&
O-/!t$)os:
$segurar la organi!acin de los recursos informticos y logsticos, en los
procedimientos y ,rocesos, del 1istema de 4nformacin, como soporte en
las funciones del 5ecurso ?umano, en el Diseo de 1istemas.
$lmacenamiento de arc.ivos de datos y programas,
"laboracin de las actividades en el desarrollo de los 1istemas de
4nformacin,
"laboracin de los programas,
*peracin del 1istema desde los sitios donde se requieren y el 0ontrol de
calidad de los Datos.
A##$on!s a s!gu$
La unidad informtica debe estar al ms alto nivel de la pirmide
administrativa de manera que cumpla con sus objetivos, cuente con el
apoyo necesario y la direccin efectiva.
Las funciones de operacin, programacin y diseo de sistemas deben
estar claramente delimitadas. 1e debe evitar que una misma persona
tenga el control de toda una operacin.
Deben eistir mecanismos necesarios a fin de asegurar que los
programadores y analistas no tengan acceso a la operacin del computador
y los operadores a su ve! no cono!can la documentacin de programas y
sistemas.
Debe eistir una unidad de control de calidad, tanto de datos de entrada
como de los resultados del procesamiento.
"l manejo y custodia de dispositivos y arc.ivos magnticos deben estar
epresamente definidos por escrito.
Las actividades del ,"D deben obedecer a planificaciones a corto, mediano
y largo pla!o sujetos a evaluacin y ajustes peridicos E,lan 8aestro de
4nformticaE
Debe eistir una participacin efectiva de directivos, usuarios y personal del
,"D en la planificacin y evaluacin del cumplimiento del plan.
Las instrucciones deben impartirse por escrito.
916 Au%$to$a !n la Enta%a , Sal$%a %! Datos
1e refiere a la captura y a la distribucin de los Datos en el 1istema del
4nformacin.
La mayora de los delitos por computador son cometidos en la captura, en
modificaciones, en eliminaciones y la salida de informacin para los diferentes
usuarios, en actividades como
1uprimir u omitir datos.
$dicionar Datos.
$lterar datos.
Distribuir Datos
O-/!t$)os1
$segurar que los datos de entrada sean validados y controlados, para un
proceso de informacin confiable, seguro y oportuno.
$segurar que los diferentes mtodos de entrada de informacin al 1istema
en produccin sean validados y se obtengan cifras de control en los
resultados generados.
A##$on!s a s!gu$
Lo anterior es de vital importancia en caso de sistemas de informacin con
equipos de cmputo y programas que cuentan con sistemas en lnea, en
que los usuarios son los responsables de la captura, modificacin y
distribucin, aqu lo mas importante es tener un adecuado control con
sealamiento de responsables de los datos #uno de los usuarios debe ser el
2nico responsable de determinado dato%, con claves de acceso de acuerdo
a niveles.
"l primer nivel es el que puede .acer 2nicamente consultas. "l segundo
nivel es aquel que puede .acer captura, modificaciones y consultas y el
tercer nivel es el que solo puede .acer todos los anteriores e imprimir,
distribuir informacin y adems puede reali!ar bajas.
Lo primero que se debe evaluar es la !nta%a de informacin y que se
tengan las cifras de control en la generacin y de informes y resultados los
cuales determinan la veracidad de la informacin, para lo cual se utili!ar la
siguiente evaluacin
4ndique el porcentaje de datos que se reciben en el rea de captacin
4ndique el contenido de la orden de trabajo que se recibe en el rea de
captacin de datos&
32mero de folio,
32mero#s% de formato#s%,
6ec.a y .ora de 3ombre, Depto,
5ecepcin, ;suario,
3ombre del documento,
3ombre responsable, 7olumen aproimado 0lave de cargo,
32mero de cuenta.
32mero de registros,
6ec.a y .ora de entrega de 0lave de la persona que graba los datos,
Documentos y registros captados,
6ec.a estimada de entrega.
4ndique cul#es% control#es% interno#s% eiste#n% en el rea de captacin de
datos&
6irmas de autori!acin
5ecepcin de trabajos # % 0ontrol de trabajos atrasados # %
5evisin del documento # % $vance de trabajos # %fuente#legibilidad,
verificacin de datos completos, etc.% # %
,rioridades de captacin # % "rrores por trabajo # %
,roduccin de trabajo # % 0orreccin de errores # %
,roduccin de cada operador # % "ntrega de trabajos # %
7erificacin de cifras 0osto 8ensual por trabajo # %
7erificacin los datos de "ntrada y 1alida
La auditoria en sistemas debe evaluar los documentos y registros usados en la
elaboracin del sistema, as como todas las sal$%as y la distribucin de la
informacin generada, como tambin el almacenamiento de arc.ivos, su uso y la
relacin de los usuarios que desean utili!arlos teniendo en cuenta los niveles de
seguridad de acuerdo a los perfiles que otorga el $dministrador del 1istema
definiendo la frecuencia de acceso, su conservacin, su seguridad y control lo
mismo que la documentacin propuesta, las entradas y salidas del sistema y los
documentos e informes que van a usarse.
0on lo anterior se debe tener en cuenta lo siguiente
F1e est distribuyendo los informes en forma correcta a los diferentes usuariosG
F1e debe colocar procedimientos de mejorar su generacin y distribucinG
F1e debe tener una mayor interaccin con otros sistemasG
F1e tiene propuesto un adecuado control y seguridad sobre los resultados
generadosG
F1e debe .acer un anlisis de los informes generados controlando su seguridadG
:16 Au%$to$a !n la O"!a#$*n
1e establecen mtodos y procedimientos para la operacin de los 1istemas de
4nformacin con el fin de crear un medio ambiente y de dominio ideal para
garanti!ar la efectividad en la produccin de las transacciones y operaciones y
proporcionar la seguridad fsica con las <ases de Datos que estn en disposicin
para el trabajo en el 1istema.
$barcan todo el ambiente de la operacin del equipo central de computacin y
dispositivos de almacenamiento, la administracin de la cintteca y la operacin
de terminales y equipos de comunicacin por parte de los usuarios de los sistemas
de informacin.
La eficiencia y el costo de la operacin de un sistema de cmputo se ven
fuertemente afectados por la calidad e integridad de la documentacin requerida
para el proceso del computador.
O-/!t$)os:
1ealar los procedimientos e instructivos formales de operacin, anali!ar su
estandari!acin y evaluar el cumplimiento de los mismos.
,revenir o detectar errores accidentales en la operacin del 1istema de
4nformacin en produccin.
,revenir y detectar la manipulacin fraudulenta de los datos en sus
procesos, teniendo en cuenta el mal uso de la informacin confidencial.
"vitar o detectar el manejo de datos con fines fraudulentos por parte de
funcionarios del ,"D.
9aranti!ar la integridad de los recursos informticos.
$segurar la utili!acin adecuada de equipos acorde a planes y objetivos
A##$on!s a s!gu$:

"l acceso al centro de computo debe contar con las seguridades necesarias
para reservar el ingreso al personal autori!ado.
4mplantar claves o pass=ord para garanti!ar operacin de consola y equipo
central #mainframe%, a personal autori!ado.
6ormular polticas respecto a seguridad, privacidad y proteccin de las
facilidades de procesamiento ante eventos como& incendio, vandalismo,
robo y uso indebido, intentos de violacin y como responder ante esos
eventos.
8antener un registro permanente #bitcora% de todos los procesos
reali!ados, dejando constancia de suspensiones o cancelaciones de
procesos.
Los operadores del equipo central deben estar entrenados para recuperar o
restaurar informacin en caso de destruccin de arc.ivos.
Los bacHups no deben ser menores de dos #padres e .ijos% y deben
guardarse en lugares seguros y adecuados, preferentemente en bvedas
de bancos.
1e deben implantar calendarios de operacin a fin de establecer prioridades
de proceso.
>odas las actividades del 0entro de 0omputo deben normarse mediante
manuales, instructivos, normas, reglamentos, etc.
La integridad., eactitud y autori!acin en la operacin de los datos se
registrar con la validacin de los datos en su captura para una optima
operacin de los mismos.
1e debe identificar el ambiente del 1istema y los recursos informticos que
integran la operacin del 1istema.
1e debe establecer la periodicidad y duracin de las diferentes
transacciones en la ejecucin de los diferentes programas.

"specificar las formas especiales de la operacin, como tambin las

etiquetas de arc.ivos que estn en disposicin para el proceso de los
sistemas en produccin.
"stablecer las fec.as de creacin y epiracin de los procesos que se
reali!an
Disponer de instructivos especficos en la configuracin de los equipos
como de los programas con el fin de evitar conflictos en la operacin que se
esta reali!ando.
De deben establecer instructivos de reinicio y procedimientos de
recuperacin para la operacin y proceso de todos los requerimientos de
los diferentes usuarios.
;16 Au%$to$a !n !l Po#!sa.$!nto
La $uditoria de procesamiento se refiere al ciclo que sigue la informacin desde la
entrada .asta la salida de la informacin, lo que conlleva al establecimiento de una
serie de seguridades para&
O-/!t$)os
$segurar que todos los datos sean procesados.
9aranti!ar la eactitud de los datos procesados.
9aranti!ar que se grabe un arc.ivo para uso de la gerencia y con fines de
auditoria
$segurar que los resultados sean entregados a los usuarios en forma
oportuna
y en las mejores condiciones.
A##$on!s a s!gu$:
7alidacin de datos de entrada previo procesamiento debe ser reali!ada en
forma automtica& clave, dgito autoverificador, totales de lotes, etc.
,reparacin de datos de entrada debe ser responsabilidad de usuarios y
consecuentemente su correccin.
5ecepcin de datos de entrada y distribucin de informacin de salida debe
obedecer a un .orario elaborado en coordinacin con el usuario, reali!ando
un debido control de calidad.
$doptar acciones necesarias para correcciones de errores.
$nali!ar conveniencia costo(beneficio de estandari!acin de formularios,
fuente para agilitar la captura de datos y minimi!ar errores.
Los procesos interactivos deben garanti!ar una adecuada interrelacin
entre usuario y sistema.
,lanificar el mantenimiento del .ard=are y soft=are, tomando todas las
seguridades para garanti!ar la integridad de la informacin y el buen
servicio a usuarios.
<16 Au%$to$a !n !l S$st!.a %! D!saollo , Po%u##$*n %! A"l$#a#$on!s
1e debe justificar que los sistemas .an sido la mejor opcin para la empresa, bajo
una relacin costo(beneficio que proporcionen oportuna y efectiva informacin,
que los sistemas se .an desarrollado bajo un proceso planificado y se encuentren
debidamente documentados.
A##$on!s a s!gu$:
Los usuarios deben participar en el diseo e implantacin de los sistemas
pues aportan conocimiento y eperiencia de su rea y esta actividad facilita
el proceso de cambio
"l personal de auditora internaIcontrol debe formar parte del grupo de
diseo para sugerir y solicitar la implantacin de rutinas de control.
"l desarrollo, diseo y mantenimiento de sistemas obedece a planes
especficos, metodologas estndares, procedimientos y en general a
normatividad escrita y aprobada.
0ada fase concluida debe ser aprobada documentadamente por los
usuarios mediante actas u otros mecanismos a fin de evitar reclamos
posteriores.
Los programas antes de pasar a ,roduccin deben ser probados con datos
que agoten todas las ecepciones posibles.
>odos los sistemas deben estar debidamente documentados y
actuali!ados.
La %o#u.!nta#$*n %!-!3 #ont!n!&
( 4nforme de factibilidad
( Diagrama de bloque
( Diagrama de lgica del programa
( *bjetivos del programa
( Listado original del programa y versiones que incluyan los cambios
efectuados con antecedentes de pedido y aprobacin de modificaciones
( 6ormatos de salida
( 5esultados de pruebas reali!adas
( 4mplantar procedimientos de solicitud, aprobacin y ejecucin de cambios
a programas, formatos de los sistemas en desarrollo.
( "l sistema concluido ser entregado al usuario previo entrenamiento y
elaboracin de los manuales de operacin respectivos
=16 Au%$to$a !n la Do#u.!nta#$*n:
Los 1istemas de 4nformacin deben ser documentados la cual debe ser completa,
adecuada y actuali!ada de acuerdo a los requerimientos de los usuarios
La documentacin se utili!ara para&
O-/!t$)os:
$segurar que la documentacin adecuada eista y sea controlada con
efectividad.
$segurar que todos los sistemas sean documentados adecuadamente.
$segurar que todas las actividades y procesos de los 1istemas de
4nformacin estn documentados adecuadamente.
A##$on!s a s!gu$
,roporcionar a la 9erencia el soporte para entender claramente los
objetivos y resultados del 1istema con el fin de asegurar que se cumplan
las polticas con el objeto de la *rgani!acin.
1ervir como base para la revisin de los registros contables y soportar los
controles como soporte del 1istema contable para los auditores internos y
eternos.
,roporcionar un soporte para los analistas y programadores de 1istemas,
responsables del mantenimiento del proceso de informacin, bases de
datos y redes de transmisin de datos de los 1istemas eistentes.
>16 Au%$to$a %! C!ntos %! Po#!so E2t!no1
Las tareas del 0entro de ,roceso "terno son las ms difciles de establecer el
0ontrol 4nterno, ya que las actividades que soportan el proceso a diferentes
*rgani!aciones son diferentes teniendo en cuenta el ambiente y dominio de
procesamiento, de acuerdo a la configuracin de los recursos informticos en
proceso de informacin, proceso de bases de datos y proceso de transmisin de
datos.
"l 5ango de los servicios que ofrecen estos 0entros de ,roceso "terno vara en
forma considerable como&
( "n desarrollar sistemas de 0ontabilidad #como 4nventarios, almacn,
tesorera, recursos .umanos, ventas% en empresas 0omerciales,
4ndustriales, de 1ervicios y manufactureras.
( 4mplementar los 1istemas de 4nformacin, desde la adquisicin de recursos
informticos, configuracin e instalacin de equipos y programas de
proceso de informacin, bases de datos y transmisin de datos en redes
de teleproceso.
( $lgunos centros de proceso eterno ofrecen bloques de tiempo de
computador, adems proporciona su propio personal de operacin y sus
programas, a travs de terminales remotas, bien sea de tiempo compartido
y actuali!acin inmediata con sistemas en lnea.
( >ambin prestan servicios de anlisis y programacin reali!ando
consultoras reali!ando investigaciones acerca de las necesidades del
cliente soportados con manuales de procedimientos y de procesamiento.
O-/!t$)os:
$segurar que se estable!ca un compromiso acerca de los servicios
del procesamiento de datos, siempre y cuando produ!ca mayores
beneficios que cualquier otra alternativa.
$segurar los requerimientos de la organi!acin de sus procesos y
procedimientos con el de dar seguridad a la organi!acin
A##$on!s a s!gu$:
Las empresas estn en necesidad de introducir procesamiento
electrnico de datos soportados con las 2ltimas tecnologas.
>ambin requieren capacitacin de personal eperimentado.
3ecesitan de la eperiencia y .abilidad en el desarrollo de
aplicaciones complejas que requieren la utili!acin de recursos
informticos de gran alcance
"l centro de proceso eterno ofrecen de equipos de proteccin como
supresores de pico, reguladores de voltaje y de ser posible ;,1
previo a la adquisicin del equipo.
"stablecer el mantenimiento del proveedor de los recursos
informticos de su operacin y proceso.
"stablecer procedimientos para obtencin de bacHups de paquetes y
de arc.ivos de datos.
*frecen la revisin peridica y sorpresiva del contenido del disco
para verificar la instalacin de aplicaciones no relacionadas a la
gestin de la empresa.
8antener programas y procedimientos de deteccin e inmuni!acin
de virus en copias no autori!adas o datos procesados en otros
equipos.
,roponen la estandari!acin del 1istema *perativo, soft=are
utili!ado como procesadores de palabras, .ojas electrnicas,
manejadores de base de datos y mantener actuali!adas las
versiones y la capacitacin sobre modificaciones incluidas.
5eali!an la revisin de los 0entros de 0mputo& el cual consiste en
revisar los controles en las operaciones del centro de procesamiento
de informacin en los siguientes aspectos&
'.( 5evisin de controles en el equipo & 1e .ace para verificar si
eisten formas adecuadas de detectar errores de
procesamiento, prevenir accesos no autori!ados y mantener un
registro detallado de todas las actividades del computador que
debe ser anali!ado peridicamente.
).( 5evisin de programas de operacin & 1e verifica que el
cronograma de actividades para procesar la informacin asegure
la utili!acin efectiva del computador.
+.( 5evisin de controles ambientales 1e .ace para verificar si los
equipos tienen un cuidado adecuado, es decir si se cuenta con
des.umidificadores, aire acondicionado, fuentes de energa
continua, etintores de incendios, etc.
-.( 5evisin del plan de mantenimiento &$qu se verifica que todos
los equipos principales tengan un adecuado mantenimiento que
garantice su funcionamiento continuo.
/.( 5evisin del sistema de administracin de arc.ivos &1e .ace
para verificar que eistan formas adecuadas de organi!ar los
arc.ivos en el computador, que estn respaldados, as como
asegurar que el uso que le dan es el autori!ado.
@.( 5evisin del plan de contingencias& $qu se verifica si es
adecuado el plan de recupero en caso de desastre, el cual se
detalla ms adelante.
?16 Au%$to$a !n S$st!.as Int!ga%os1
La $uditoria en los 1istemas 4ntegrados constituye una etensin del concepto de
continuidad 0uando nos referimos a los conceptos de continuidad debemos
observar el funcionamiento de la aplicacin en su conjunto dentro de un proceso
automati!ado, no deba eistir una operacin que sea interrumpida por un proceso
manualJ es decir un resultado obtenido de un proceso automati!ado, alimenta a
otro por diferentes ra!ones ya sea que no se .a construido la interface de los dos
procesos automati!ados porque radican en maquinas diferentes y no estn
comunicadas entre s, porque responden a diferentes niveles en la organi!acin
empresarial etc.
"n resumen podemos afirmar que si eisten mdulos de programas o subsistemas
que se interconectan por procesos manuales que no responden a una verificacin
visual o de otro tipo, podemos afirmar que el sistema carece de continuidad.
"jemplo&
;n sistema con alto grado de integracin puede .acer el proceso de facturacin
de un producto, ste se rebaja de inventario, se produce la factura, se actuali!aran
las cuentas por cobrar del cliente y es elaborado el asiento contable que se
necesita para actuali!ar las cuentas de ingresos, costos, inventarios y cuentas
correspondientes por cobrar.
1in embargo, pudiera ser interrumpido en cualquiera de los puntos anteriores de
dos formas o maneras distintas&
,roduciendo un $lmacenamiento de Datos y proceso de la informacin con
el soporte eterno que sirva para alimentar otro sistema que se encargue
del registro contable.
"laborar la entrada y distribucin de los resultados a nivel automtico con el
fin de entregar a los usuarios los resultados oportunos, confiables y seguros
en el sitio donde se desea utili!ar.
La falta de observacin del concepto de continuidad facilita la posibilidad de
introducir errores por la intervencin de la mano del .ombre.
1e deben tener en cuenta las reglas de acceso de los datos en forma automtica
con validacin de secuencia y c.equeo de contrapartidas para lograr la
disminucin de errores, detalle ste muy complejo debido a que debe permitirse al
sistema receptor a posibilidad de aceptar valores de forma bastante consecuente.
La $uditoria en los 1istemas 4ntegrados constituye la posibilidad de que no
eistan procesos aislados que produ!can salidas que alimentan a otro proceso.
;n ejemplo bastante frecuente de este concepto se observa en el entorno
contable de una empresa, ya que resulta difcil de disponer de un sistema
automati!ado que contenga los elementos necesarios para el control de dic.a
empresa.
$ pesar de que constituyen procesos regulares o comunes en el control de una
empresa no aparecen integrados en un sistema 2nico, stos son&
3minas
8edios bsicos
0ostos
,roduccin
1i a estos procesos considerados comunes le agregamos aquellos que de forma
particular pertenecen a la actividad fundamental de la empresa, el sistema ya se
complica, como por ejemplo pudieran ser&
$gencias de 7iajes
>alleres
1ervicios en general que dependen de la conformacin de un producto.
,artimos del supuesto que queramos automati!ar la empresa, pero, no queremos
invertir en un soft=are y con la supervisin de un personal profesional.
,ero terminamos enfrentndonos ante un monstruo de 'DD cabe!as donde cada
mdulo tiene un fabricante distinto, con una filosofa diferente al concebir los
programas y sistemas. "sto trae como consecuencia la posibilidad de que ocurran
omisiones yIo errores en los puntos de conein entre una actividad y otra.
1i no observamos estos dos conceptos en el anlisis del sistema se pueden
incorporar riesgos al sistema y fisuras en el control interno de la entidad que se
revisa.
A##$on!s a S!gu$
9aranti!ar las relaciones entre los departamentos de la empresa. ,rimordial
para una buena acogida de las evoluciones del sistema informtico.
0uidar la co.erencia del sistema de informacin con respecto a la organi!acin
de la empresa y a su evolucin. "n el marco de la implantacin de sistemas
integrados #"5,, 058 o de cualquier otra arquitectura que se plantee en el
futuro%, garanti!a la puesta en marc.a de los cambios de procesos decididos
por la Direccin 9eneral.
Definir las polticas, caractersticas tcnicas y la adecuacin de los sistemas
.ard=are y de red, as como las caractersticas de los sistemas de
comunicaciones.
"valuar los 5iesgos "mpresariales asociados a los 1istemas 4nformticos y
establece las orientaciones y directrices para mitigarlos colocando la ejecucin
en 1istemas 4ntegrados
"stablecer las normativas y criterios de aceptacin de los desarrollos propios y
adquiridos en forma 4ntegral.
"stablecer las directrices sobre las mtricas e indicadores que sern utili!ados
para permitir a la Direccin de la "mpresa la evaluacin y el seguimiento de los
1istemas 4nformticos con integracin en todas las areas.
$dministrar un sistema de bases de datos, interpretando su diseo y
estructura, y reali!ando la adaptacin del modelo a los requerimientos del
sistema gestor de bases de datos #19<D%, as como la configuracin y
administracin del mismo a nivel fsico y lgico, a fin de asegurar la integridad,
disponibilidad y confidencialidad de la informacin almacenada.
Desarrollo y construccin de las bases de datos. $segurar la co.erencia y la
adaptacin a las necesidades de la empresa.
9estionar las autori!aciones de acceso para los usuarios.
,articipar en la instalacin de las .erramientas de Data=are.ouse,
.erramientas de 14$D, Data 8ining y cualquiera futura.
5esponsabilidad de la integridad de los datos y de la eistencia de <acH(ups.
"stimacin de vol2menes de las estructuras de datos, definiendo mecanismos
de migracin y carga inicial de datos.
"n produccin se ocupa de la gestin y operativa asociada a las bases de
datos y al soft=are en el que estn implementadas.
"ste perfil es independiente de la tecnologa de <ase de Datos, jerrquica,
relacional, orientada a objetos, nativa K8L, o cualquier otra.
"ste perfil normalmente eisten en las grandes empresas y en la
$dministracin, y su responsabilidad es muy alta, ya que la seguridad de los
datos es imprescindible. "jemplo& ?acienda, ?ospitales, Defensa, 4nterior,
<anca, etc. "n una pequea y mediana empresa, no suele tener muc.o
sentido y normalmente no eiste como tal.
5@16 Au%$to$a !n A"l$#a#$on!s !n Fun#$ona.$!nto1
0onsiste en verificar el funcionamiento de un sistema de informacin, aplicando
una serie de conocimientos, tcnicas y mtodos con el propsito de eaminar la
operatividad del sistema. "n el proceso de investigacin el auditor comprueba si
en los sistemas se estn aplicando medidas de seguridad y de control apropiadas
para asegurar la integridad de la informacin. "l auditor debe reali!ar un anlisis
profundo de todos los componentes que integran el sistema informtico. La
auditoria informtica en una empresa es esencial debido a que un sistema mal
diseado resulta peligroso para la empresa.
La informtica esta vinculada en las tareas o transacciones de la empresa debido
a esto deben aplicarse las normas y procedimientos informticos.
O-/!t$)os:
Los principales objetivos se constituye en obtener la solucin optima que
traiga mayores beneficios a un menor costo y aqu se establece la auditoria
4nformtica con controles para la eficiencia desde el anlisis, diseo y
construccin del 1istema $plicativo de acuerdo a las necesidades de cada
:rea de la *rgani!acin o "mpresa y as verificar el cumplimiento de las
3ormas 4nternas y "ternas que contribuyen la vida 2til de la "mpresa con
la revisin efica! en la gestin de los recursos informticos, lgicos, fsicos
y los recursos .umanos informticos.
"s importante saber qu buscan los auditores en una auditoria de
cumplimiento. Durante sta, los auditores buscan evidencias indicativas de&
Lue la empresa .a diseado controles eficaces para resolver sus requisitos
de cumplimiento y que no .ay errores en la construccin y el diseo de las
aplicaciones que soportan la actividad de la "mpresa.
Lue la empresa aplica consistentemente los controles diseados y que no
eisten deficiencias operativas.
"ntender los pasos del proceso de auditora del rea informtica permite a
los administradores de informtica saber lo que deben esperar de la
auditoria. De esta forma pueden lograr los objetivos de cumplimiento
normativo de su empresa y optimi!ar el proceso de auditora para
completarlo ms efica!mente. ,osteriormente entregar a la gerencia un
informe final con relacin a lo auditado.
En !su.!n los o-/!t$)os son:
'. <uscar una mejor relacin costo(beneficio de los 1istemas automticos o
computari!ados diseados e implantados por el ,"D
). 4ncrementar la satisfaccin de los usuarios de los 141>"8$1
computari!ados
+. 0onocer la situacin actual del rea informtica y las actividades y
esfuer!os necesarios para lograr los objetivos propuestos.
-. 1eguridad de personal, datos, .ard=are, soft=are e instalaciones
/. $poyo de funcin informtica a las metas y objetivos de la organi!acin
@. 1eguridad, utilidad, confian!a, privacidad y disponibilidad en el ambiente
informtico
A. 8inimi!ar eistencias de riesgos en el uso de >ecnologa de informacin
B. Decisiones de inversin y gastos innecesarios
C. 0apacitacin y educacin sobre controles en los sistemas de 4nformacin.
A##$on!s a s!gu$
La funcin de Desarrollo es una evolucin del llamado $nlisis y
,rogramacin de 1istemas y $plicaciones. $ su ve!, engloba muc.as
reas, tantas como sectores informati!adles tiene la empresa. 8uy
concisamente, una $plicacin recorre las siguientes fases&
5equisitos del ;suario #2nico o plural% y del entorno.
$nlisis funcional.
Diseo.
$nlisis orgnico #5eprogramacin y ,rogramacin%.
,ruebas.
>odas las $plicaciones que se desarrollan son muy parametri!adas, es
decir, que tienen un montn de parmetros que permiten configurar cual va
a ser el comportamiento del 1istema. ;na $plicacin va a usar para tal y tal
cosa cierta cantidad de espacio en el disco.
"l auditor debe conocer los equipos electrnicos que utilice su cliente para
aprovec.arlos al practicar su auditoria. 3o es necesario que el auditor sea
eperto en la programacin, pero si que cono!ca los programas de
contabilidad que utili!a el cliente.
Los sistemas ,"D se definen por su complejidad tcnica y el grado en que
se utili!an en una organi!acin.
;na mejor medida de la complejidad es la capacidad de un sistema en
comparacin con la capacidad de un sistema calificado como mejor norma,
y se define como complejo.
"l ,"D se utili!a en un sistema el cual esta relacionado con la complejidad.
,or lo general, cuando ms funciones de negocios y contabilidad se
reali!an mediante computadora, el sistema tiene que irse .aciendo ms
complejo para acomodar las necesidades de procesamiento.
;na forma en que un sistema puede .acerse ms complejo es
incrementando el n2mero de ciclos de transacciones que se basan en la
computadora.
0onsiste en verificar un sistema de informacin automati!ado que nos
permita obtener una deduccin del funcionamiento de dic.o La auditoria
informtica sistema.
0abe aclarar que la 4nformtica no gestiona propiamente la empresa, ayuda
a la toma de decisiones, desde el momento en que es una .erramienta
adecuada de colaboracin. "n este sentido y debido a su importancia en el
funcionamiento de una empresa, eiste la $uditoria 4nformtica.
Los sistemas 4nformticos estn sometidos al control correspondiente. "l
auditor informtico .a de velar por la correcta utili!acin de los amplios
recursos que la empresa pone en juego para disponer de una eficiente y
efica! .erramienta de colaboracin en el sistema de informacin.
"ste tema relata sobre la auditoria informtica, y algunos aspectos que la
engloban tales como& reas de aplicacin, que trata de los diferentes
procedimientos que se van a emplear en el rea informtica, as como
tambin el procesamiento electrnico de datos, puesto que el auditor debe
conocer el programa que va a utili!ar.
>ambin se observar cuales son los objetivos primordiales de una
auditoria de sistemas, pues son de muc.a importancia centrarse en ellos
debido a que se eval2a la operatividad del sistema y el control de la funcin
informtica, que influyen muc.o en los resultados obtenidos #informe final%J
los procedimientos que se reali!an en la auditoria consiste en la
metodologa que se va a aplicar para reali!ar el anlisis correspondiente.
"n la actualidad la informtica se encuentra evidentemente vinculada con la
gestin de las empresas y es por esto que es de vital importancia que
eista la auditoria informtica, para anali!ar el desempeo y funcionamiento
de los sistemas de informacin, de los cuales depende la organi!acin.
5516 Au%$to$a !n R!%!s !n Tans.$s$*n
$segurar una mayor integridad, confidencialidad y confiabilidad de la
informacin mediante la recomendacin de seguridades y controles.
"valuar la forma de comunicacin entre los usuarios y los sistemas.
"valuar cmo se afecta globalmente la seguridad de los datos, a medida en
que las comunicaciones y procesamiento de datos contin2an
epandindose, teniendo en cuenta el incremento en la proliferacin de
computadores personales, terminales y porttiles que acceden a sistemas
por redes.
A##$on!s a s!gu$:
"iste la infraestructura y el ambiente de un departamento de comunicaciones.
1e cuenta con una arquitectura total de la red de comunicaciones.
"l protocolo de la red ejecuta funciones de verificacin automtica de errores, para
asegurar la eactitud de la transmisin de mensajes entre nodos de la red.
7erificacin de n2mero de secuencia de los mensajes en la 5ed
4dentificacin de recibo yIo envo de los mensajes y transmisin de datos.
5econocimiento o acuse de recibo y envo de mensajes.
5econciliacin peridica de mensajes que retransmiten de acuerdo ala topologa
de la 5ed.
7erificacin de las direcciones de mensajes.
0digo de deteccin Icorreccin de errores.
0digo de redundancia de claves.
Login de errores.
Login de usuarios
4nstalaciones y equipos de <acHup de acuerdo a la transmisin de los datos.
,rocedimientos de recuperacin de informacin.
Deteccin de desconein de dispositivos.
"ncriptacin ciframiento.
6acilidades de transmisin de baja tasa de errores.
8onitoreo de los controles que estn funcionando correctamente.
4ncluir requerimientos para la integridad y la complejidad de los datos cuando
especifica un reempla!o nuevos elementos de .ard=are, soft=are medios de
comunicaciones.(
La seguridad del soft=are es parte indispensable para la proteccin de la
informacin que viaja va red.
La organi!acin de los datos deben estar protegidos con un programa formal de
seguridad fsica de datos.
Deben .aber funciones establecidas para el manejo de seguridad en las
comunicaciones.
"l departamento Murdico debe estar incluido en la planeacin y administracin de
la seguridad, con programas normativos legales con relacin a la seguridad de
las comunicaciones.
La organi!acin debe llevar un anlisis de riesgo formal para las facilidades de
comunicaciones respecto al impacto de acceso no autori!ado.
Deben .aber medidas en los s!)$%o!s de los sitios remotos para proteger
fsicamente las facilidades de comunicaciones contra acceso no autori!ado.
"l soft=are debe ofrecer facilidades de login, reportes y vigilancia para proveer
adecuadas pistas de auditoria de las actividades de la red y alertar a la Mefatura de
potenciales penetraciones de la seguridad de la red.
Las libreras y programas deben estar protegidos con normas y procedimientos de
soft=are de comunicaciones.
1e deben usar dispositivos de seguridad en comunicaciones para la red
#"ncriptacin%.
Deben eistir controles entre las redes p2blicas y las de gate=ay, para garanti!ar
la integridad y seguridad de los datos.
"isten controles #"j. Dispositivos de autenticacin personal servicios%.
1e tiene un plan formal para el desarrollo de la arquitectura de la red de
comunicaciones.
Deben .aber procesos para que soporten la arquitectura de sistemas de
comunicacin #vo! y datos% en los planes corporativos.
Las definiciones de requerimiento funcionales y desarrollo deben eistir para los
servicios en comunicaciones de vo! y datos.
Deben estar identificadas y asignadas las responsabilidades en el departamento,
el diseo, instalacin y funciones en las comunicaciones y operacin
retransmisin.
Debe eistir una metodologa estructurada para el diseo de los sistemas de
comunicacin.
1e debe tener una cuenta con una .erramienta de soft=are para disear sistemas
de comunicacin.
Debe eistir un proceso formal para administrar los cambios en las
comunicaciones.
1e debe ejecutar un anlisis preliminar para evaluar el impacto de los cambios
propuestos en el ambiente eistente.
La documentacin debe estar actuali!ada en la configuracin del .ard=are y
soft=are de comunicacin.
1e encuentra asociacin entre los procesos de administracin de cambios y el
control de inventarios de comunicaciones.
"s obligatorio para ejecutar pruebas off(line antes de introducir un nuevo o
modificado componente de comunicaciones en el ambiente de comunicacin.
1e deben reali!ar las revisiones post(implementacin de cambios en las
comunicaciones.
E)alua#$*n %! la S!gu$%a% %!l S$st!.a
"l 0omputador es un instrumento que estructura gran cantidad de informacin, la
cual puede ser confidencial para individuos, empresas o instituciones, y puede ser
mal utili!ada o divulgada a personas que .agan mal uso de esta. >ambin pueden
ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de
la actividad computacional. "sta informacin puede ser de suma importancia, y el
no tenerla en el momento preciso puede provocar retrasos sumamente costosos.
"n la actualidad y principalmente en las computadoras personales, se .a dado
otro factor que .ay que considerar& el llamado EvirusE de las computadoras, el cual,
aunque tiene diferentes intenciones, se encuentra principalmente para paquetes
que son copiados sin autori!acin #EpiratasE% y borra toda la informacin que se
tiene en un disco.
$l auditar los sistemas se debe tener cuidado que no se tengan copias EpiratasE o
bien que, al conectarnos en red con otras computadoras, no eista la posibilidad
de transmisin del virus. "l uso inadecuado de la computadora comien!a desde la
utili!acin de tiempo de mquina para usos ajenos de la organi!acin, la copia de
programas para fines de comerciali!acin sin reportar los derec.os de autor .asta
el acceso por va telefnica a bases de datos a fin de modificar la informacin con
propsitos fraudulentos.
La seguridad en la informtica abarca los conceptos de seguridad fsica y
seguridad lgica&
La seguridad fsica, se refiere a la proteccin del ?ard=are y de los soportes de
datos, as c como a la de los edificios e instalaciones que los albergan. 0ontempla
las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc.
La seguridad lgica, se refiere a la seguridad de uso del soft=are, a la proteccin
de los datos, procesos y programas, as como la del ordenado y autori!ado acceso
de los usuarios a la informacin.
;n mtodo efica! para proteger sistemas de computacin es el soft=are de control
de acceso.
Dic.o simplemente, los paquetes de control de acceso protegen contra el acceso
no autori!ado, pues piden del usuario una contrasea antes de permitirle el
acceso a informacin confidencial.
Dic.os paquetes .an sido populares desde .ace muc.os aos en el mundo de las
computadoras grandes, y los principales proveedores ponen a disposicin de
clientes algunos de estos paquetes.
Causas %! !al$8a#$*n %! una Au%$to0a %! S!gu$%a%
"l equipo auditor debe conocer las ra!ones por las cuales el cliente desea reali!ar
el 0iclo de 1eguridad.
,uede .aber muc.as causas&
5eglas internas del cliente,
4ncrementos no previstos de costes,
*bligaciones legales,
1ituacin de ineficiencia global notoria, etc.
De esta manera el auditor conocer el entorno inicial. $s, el equipo auditor
elaborar el ,lan de >rabajo.
C$#lo %! S!gu$%a%
"l objetivo de la auditora de seguridad es revisar la situacin y las cuotas de
eficiencia de la misma en los rganos ms importantes de la estructura
informtica.
,ara ello, se fijan los supuestos de partida&
"l rea auditada es la 1eguridad.
"l rea a auditar se divide en& 1egmentos.
Los segmentos se dividen en& 1ecciones.
Las secciones se dividen en& 1ubsecciones.
De este modo la auditora se reali!ara en + niveles.
Los segmentos a auditar, son&
1egmento '& 1eguridad de cumplimiento de normas y estndares.
1egmento )& 1eguridad de 1istema *perativo.
1egmento +& 1eguridad de 1oft=are.
1egmento -& 1eguridad de 0omunicaciones.
1egmento /& 1eguridad de <ase de Datos.
1egmento @& 1eguridad de ,roceso.
1egmento A& 1eguridad de $plicaciones.
1egmento B& 1eguridad 6sica.
0onceptualmente la auditoria informtica en general y la de 1eguridad en
particular, .a de desarrollarse en seis fases bien diferenciadas&
6ase D. 0ausas de la reali!acin del ciclo de seguridad.
6ase '. "strategia y logstica del ciclo de seguridad.
6ase ). ,onderacin de sectores del ciclo de seguridad.
6ase +. *perativa del ciclo de seguridad.
6ase -. 0lculos y resultados del ciclo de seguridad.
6ase /. 0onfeccin del informe del ciclo de seguridad.
$ su ve!, las actividades auditoras se reali!an en el orden siguiente&
1. 0omien!o del proyecto de $uditora 4nformtica.
). $signacin del equipo auditor.
+. $signacin del equipo interlocutor del cliente.
-. 0umplementacin de formularios globales y parciales por parte del cliente.
/. $signacin de pesos tcnicos por parte del equipo auditor.
@. $signacin de pesos polticos por parte del cliente.
A. $signacin de pesos finales a segmentos y secciones.
B. ,reparacin y confirmacin de entrevistas.
9. "ntrevistas, confrontaciones y anlisis y repaso de documentacin.
'D. 0alculo y ponderacin de subsecciones, secciones y segmentos.
''. 4dentificacin de reas mejorables.
'). "leccin de las reas de actuacin prioritaria.
'+. ,reparacin de recomendaciones y borrador de informe
'-. Discusin de borrador con cliente.
'/. "ntrega del informe.
Con#lus$*n
La auditora en informtica es la revisin y la evaluacin de los controles,
sistemas, procedimientos de informticaJ de los equipos de cmputo, su
utili!acin, eficiencia y seguridad, de la organi!acin que participan en el
procesamiento de la informacin, a fin de que por medio del sealamiento de
cursos alternativos se logre una utili!acin ms eficiente y segura de la
informacin que servir para una adecuada toma de decisiones.
La auditora en informtica deber comprender no slo la evaluacin de los
equipos de cmputo, de un sistema o procedimiento especfico, sino que adems
.abr de evaluar los sistemas de informacin en general desde sus entradas,
procedimientos, controles, arc.ivos, seguridad y obtencin de informacin.
La auditora en informtica es de vital importancia para el buen desempeo de los
sistemas de informacin, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. $dems debe evaluar
todo #informtica, organi!acin de centros de informacin, .ard=are y soft=are%.