Universidad Tecnolgica Nacional

F.R.C.
Auditora de Explotacin y Aplicaciones
INTRODUCCIN
A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms
poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier
organizacin empresarial, los Sistemas de Informacin de la empresa.
La Informtica hoy, est integrada en la gestin integral de la misma, y por eso las normas y
estndares propiamente informticos deen estar, por lo tanto, sometidos a los generales de la
empresa. !n consecuencia, las organizaciones informticas forman parte de lo que se ha
denominado el "management" o gestin de la empresa. #ae aclarar que la Informtica no gestiona
propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s$ misma. %or ende,
deido a su importancia en el funcionamiento de una empresa, e&iste la Auditor$a Informtica.
'sta, realizada peridicamente es uno de los instrumentos ms eficaces con que cuentan las
empresas para asegurar su e&istencia y superar a los competidores.
A continuacin, desarrollaremos algunos conceptos sore un mito de la Auditor$a
Informtica, como lo son la Auditor$a de !&plotacin y de Aplicaciones. (ami)n se determinarn
los o*etivos de las mismas y los controles a realizar en una Auditor$a de ese tipo.
#urso +,-
.
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
Auditoria de Explotacin
La !&plotacin Informtica se ocupa de producir resultados informticos de todo tipo/ listados
impresos, archivos soportados magn)ticamente, rdenes automatizadas para lanzar o modificar
procesos industriales, etc. %ara realizar la !&plotacin informtica se dispone de una materia prima,
los 0atos, que es necesario transformar, y que se someten previamente a controles de integridad y
calidad. !&plotacin dee recepcionar solamente programas fuente, los cuales hayan sido aproados
por 0esarrollo.
Qu es la Auditora de Explotacin
La Auditoria de e&plotacin es el control que se realiza sore las funciones del Sistema de
Informacin para asegurar que las mismas se efect1en de forma regular, ordenada y que satisfagan
los requisitos empresariales.
!or "u es necesaria la Auditora de Explotacin
!l nivel de competencia que e&iste, hoy en d$a, entre las empresas les oliga a tomar decisiones
rpidas y acertadas. !s necesario, para ello el funcionamiento adecuado de los sistemas
informticos 2mediante la incorporacin de las nuevas tecnolog$as3 y su continua actualizacin.
!ara "u se utili#a la Auditora de Explotacin
#ominando los nuevos avances tecnolgicos con una adecuada organizacin y una gestin
eficiente, las empresas podrn alcanzar sus o*etivos de manera satisfactoria. La auditoria
informtica peridica es uno de los instrumentos mas eficaces con que cuentan las empresas para
asegurar su e&istencia y superar a sus competidores. La deteccin oportuna de las deilidades del
sistema permite me*orarlo racionalizando los recursos.
O$%eti&os de la Auditoria de Explotacin
#ontrolar los manuales de instrucciones y procedimientos de e&plotacin.
#ontrolar los inicios de los procesos y otra documentacin de funcionamiento.
4evisar la agenda de traa*o.
5erificar la continuidad del proceso.
4ealizar controles sore la e&plotacin remota.
#omproar que en ning1n caso los operadores acceden a documentacin de programas que no
sea la e&clusiva para su e&plotacin.
4evisar que e&isten procedimientos que impidan que puedan correrse versiones de programas
no activos.
#urso +,-
6
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
5erificar los procedimientos seg1n los cuales se incorporan nuevos programas a las lirer$as
productivas.
!&aminar los lugares en donde se almacenan cintas y discos, as$ como la perfecta y visile
identificacin de estos medios.
5erificar los planes de mantenimiento preventivo de la instalacin.
#omproar que e&isten normas escritas que regulen perfectamente todo lo relativo a copias de
seguridad/ mane*o, autorizacin de otencin de datos, destruccin, etc.
Co'ponentes del (iste'a de In)or'acin se*+n el pro,ecto CO-IT.
0atos/ !n general se consideraran datos tanto los estructurados como los no estructurados, las
imgenes y los sonidos.
Aplicaciones/ Se incluyen las aplicaciones manuales y las informticas.
(ecnolog$a/ !l soft7are y el hard7are, los sistemas operativos, los sistemas de gestin de ase
de datos, los sistemas de red, etc.
Instalaciones/ !n ellas se uican y se mantienen los sistemas de informacin.
%ersonal/ Los conocimientos espec$ficos que h de tener el personal de los sistemas de
informacin para planificarlos, organizarlos, administrarlos y gestionarlos.
!stos recursos de los sistemas de informacin se han de utilizar de forma que
permitan la eficacia y la eficiencia de la empresa8 que los datos elaorados por su sistema de
informacin muestren una imagen fiel de la misma y que la empresa cumpla la legislacin vigente.
!rocedi'iento de la Auditora
Carta de Encargo
!n este documento dee quedar refle*ado de la forma mas clara posile, entre otros aspectos, cual
ser el alcance del traa*o del auditor.
Planificacin Estratgica
!s una revisin gloal que permite conocer la empresa, el sistema de informacin y su control
interno con la intencin de hacer una primera evaluacin de riesgos. Seg1n los resultados de esa
evaluacin se estalecern los o*etivos de la auditor$a y se podr determinar su alcance y las
prueas que hayan de aplicarse, as$ como el momento de realizarla. %ara llevar a cao esta tarea es
necesario conocer entre otros aspectos los siguientes/
Las caracter$sticas de los equipos informticos
!l sistema o los sistemas operativos
#urso +,-
-
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
#aracter$sticas de los ficheros o de las ase de datos
La organizacin de la empresa
La organizacin del servicio de e&plotacin.
Las aplicaciones que el Sistema de informacin de la empresa que se est) auditando o que se
vaya a auditar est)n en e&plotacin.
!l sector donde opera la empresa.
Informacin comercial.
La instalacin de un sistema informtico introduce nuevos elementos de control y origina camios
en los procedimientos tradicionales de control de procesamiento de datos. !stos camios pueden ser
clasificados como/
9uevos controles necesarios para la automatizacin del procesamiento.
#ontroles que sustituyen a aquellos que en los sistemas manuales estn asados en el
criterio humano y en la divisin de laores.
Se necesitan nuevos controles deido a la automatizacin. Su o*eto es detectar y controlar errores
derivados del uso del equipo informtico y de los m)todos de procesamiento del equipo.
Si estos controles no e&isten, el sistema puede quedar e&puesto a un riesgo indeido de error.
!n un sistema manual, el control interno depende de factores como la vigilancia humana, el
cuidado, la aceptacin de responsailidad y la divisin de laores. !n vista de que la actividad de
procesamiento de informacin est concentrada desaparecen muchos controles asados en el
criterio humano y la divisin mencionada.
Los controles en un sistema informtico deen proporcionar una seguridad razonale de que el
procesamiento est siendo efectuado correctamente. 0ee detectar errores e irregularidades
rpidamente y asegurar una accin correctiva apropiada.
Los controles necesarios en este tipo de sistema pueden dividirse en aquellos relacionados con las
actividades de procesamiento, para prevenir y detectar errores, y aquellos relacionados con la
organizacin y administracin.
#on respecto a la organizacin y administracin/
!ste aspecto se refiere a la asignacin de responsailidades y autoridad para las
diversas funciones a realizar dentro de la organizacin.
%ara estalecer responsailidades se deen preparar descripciones de los traa*os a a efectuar por
todo el personal que interviene en el procesamiento de informacin. !stas descripciones deern
incluir los t$tulos de los puestos y descriir claramente las funciones.
(ami)n se dee considerar la Separacin de Laores la cual constituye un elemento de control
interno que se aplica, en nuestro caso, en las funciones sicas del sistema de informacin.
:;9#I<9 0!
%4<#!SA=I!9(<
%;!S(<
Anlisis y 0ise>o de Sistemas Analista de Sistemas
%rogramacin %rogramador
<peracin del !quipo <perador
#urso +,-
?
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
#ontrol !ncargado de #ontrol, @rupo de
#ontrol, Auditor, etc.
!l control interno estar fortalecido si estas cuatro funciones quedan separadas. !sta separacin
tami)n puede dar por resultado mayor eficiencia en la operacin deido a que las cuatro requieren
diferentes niveles de hailidad y entrenamiento.
!n la mayor$a de los casos no es deseale cominar actividades de preparacin de programas con la
operacin, a1n cuando solamente esto ocurre en organizaciones muy peque>as.
;n plan de organizacin adecuado con la consiguiente divisin de laores es importante en vista e
la concentracin de la actividad de procesamiento de informacin en un menor n1mero de personas
del que requiere en un sistema manual.
!l menor n1mero de empleados y el alto grado de informatizacin e&ponen al sistema a
manipulaciones y fraudes si una sola persona tiene tanto el conocimiento operacional como acceso
fcil a los procedimientos.
#lasificacin de los controles
.3 #ontroles generales
%lanificacin y 4ecepcin de Aplicaciones/
Se auditarn las normas de entrega de Aplicaciones por parte de 0esarrollo,
verificando su cumplimiento y su calidad de interlocutor 1nico. 0eern realizarse
muestreos selectivos de la 0ocumentacin de las Aplicaciones e&plotadas. Se
inquirir sore la anticipacin de contactos con 0esarrollo para la planificacin a
medio y largo plazo.
#ontroles operativos y de organizacin/
Se intentarn analizar las relaciones personales y la coherencia de cargos, as$ como la
equidad en la asignacin de turnos de traa*o. Se verificar la e&istencia de un responsale
de Sala en cada turno de traa*o. Se analizar el grado de automatizacin de comandos, se
verificara la e&istencia y grado de uso de los =anuales de <peracin. Se analizar no solo
la e&istencia de planes de formacin, sino el cumplimiento de los mismos y el tiempo
transcurrido para cada <perador desde el 1ltimo #urso reciido.
#ontroles sore los %rogramas y los !quipos.
#aracter$sticas para detectar, de manera automtica, errores.
Aacer mantenimientos preventivos peridicos
%rocedimientos para salir de los errores de los equipos 2Aard7are3
#ontrol y autorizacin Adecuada en la implementacin de sistemas y en las
modificaciones de los mismos.
#ontroles de acceso
Sirven para detectar yBo prevenir errores accidentales o delierados, causados por el
uso o la manipulacin inadecuada de los ficheros de datos y por el uso incorrecto o
no autorizado de los programas
#ontroles sore los procedimientos y los datos.
=anuales escritos como soporte de los procedimientos y los sistemas de
aplicacin.
#urso +,-
+
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
#ontroles de las conciliaciones entre los datos fuente y los datos informticos.
#apacidad para restaurar ficheros perdidos, deteriorados o incorrectos.
63 #ontroles de aplicaciones
#ontrol de !ntrada de 0atos/
Se analizar la captura de la informacin en soporte compatile con los Sistemas, el
cumplimiento de plazos y calendarios de tratamientos y entrega de datos8 la correcta
transmisin de datos entre entornos diferentes. Se verificar que los controles de
integridad y calidad de datos se realizan de acuerdo a las 9ormas.
#ontroles sore la captura de 0atos
Altas de movimientos
=odificaciones de movimientos.
#onsultas de movimientos
=antenimiento de ficheros
#ontroles de %roceso
9ormalmente se incluyen en los programas. Se dise>an para detectar o prevenir los
siguientes tipos de errores.
!ntradas de datos repetidos.
%rocesamiento y actualizacin de fichero o ficheros equivocados.
!ntrada de datos ilgicos
%)rdida o distorsin de datos durante el proceso.
#ontroles de salida y distriucin
Los controles de salida se dise>an para asegurarse de que el resultado del proceso es
e&acto y que los informes y dems salidas los recien slo las personas que est)n
autorizadas.
!valuacin de los controles internos/
%ara hacer el seguimiento y comproar que el sistema de informacin est actuando como
es preceptivo, )ste har de disponer de un control int-erno que prevenga los eventos no
deseados o en su defecto los detecte y los corri*a.
!s funcin del auditor evaluar el nivel de control interno8 tami)n es de responsailidad
*uzgar si los procedimientos estalecidos son los adecuados para salvaguardar el sistema
de informacin.
%ara evaluar los controles es necesario uscar evidencia sore/
La terminacin completa de todos los procesos.
La separacin f$sica y lgica de los programas fuentes y o*etos de las iliotecas
de desarrollo, de prueas y de produccin.
Las estad$sticas de funcionamiento, donde al menos se incluya/
#apacidad y utilizacin del equipo central y de los perif)ricos.
;tilizacin de la memoria.
#urso +,-
C
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
;tilizacin de las telecomunicaciones.
Las normas del nivel de servicios de los proveedores.
Los estndares de funcionamiento interno.
!l mantenimiento y revisin de los diarios de e&plotacin.
La realizacin del mantenimiento peridico de todos los equipos.
La evidencia de la rotacin de los turnos de los operadores y de las vacaciones
tomadas.
Planificacin Administrativa
!n esta fase se asignan los recursos de personal, tiempo y se determina la documentacin que se
utilizara.
Planificacin Tcnica
!n esta fase se indican los m)todos, los procedimiento, las herramientas y las t)cnicas que se
utilizaran para alcanzar los o*etivos de la auditoria.
Reali#acin del tra$a%o
Pruebas de Cumplimiento
Si se confirma que realmente no e&isten manuales, no se pueden hacer prueas de cumplimiento,
pues las prueas de cumplimiento consisten en comproar que se estn cumpliendo las normas
estalecidas.
!l o*etivo de las prueas de cumplimiento consiste en analizar el nivel de cumplimiento de las
normas de control que tiene estalecidas el auditado . Se supone que esas normas de control
estalecidas son eficientes y efectivas.
Pruebas Sustantivas
!ste tipo de prueas se realizan cuando no e&isten normas o manuales, por lo cual es necesario
realizar clculos y utilizar t)cnicas para comprender y evaluar los riesgos.
!l o*etivo de las prueas sustantivas consiste en realizar las prueas necesarias sore los datos para
que proporcionen la suficiente seguridad a la direccin sore si se ha alcanzado su o*etivo
empresarial.
Aar que realizar el m&imo numero de prueas sustantivas si/
9o e&isten instrumentos de medida de los controles.
Los instrumentos de medida que e&isten se considera que no son los adecuados.
Las prueas de cumplimiento indican que los instrumentos de medida de los controles no se han
aplicado de manera consistente y continua.
#urso +,-
D
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
Auditoria de Aplicaciones
Que es la Auditoria de Aplicaciones
!l o*etivo de la Auditoria de aplicaciones es analizar y evaluar la eficacia de los controles
e&istentes, estos controles deen asegurar que solo se ingresan y actualizan datos completos,
e&actos y vlidos en un sistema, que el procesamiento de estos datos sea el correcto, que los
resultados del procesamiento cumplen las e&pectativas8 y que los datos se mantengan seguros.
!n resumen podemos enunciar que el o*etivo de la auditor$a de aplicaciones es /
!valuar la efectividad de los controles e&istentes y sugerir nuevos controles con el fin de minimizar
riesgos y fortalecer el control de dichas aplicaciones.
!or "ue se reali#a la Auditoria de Aplicaciones
porque se presentan muchos riesgo que deen ser eliminados. Los posiles riesgos son, errores
voluntarios e involuntarios y la posiilidad de fallos de cualquiera de los elementos que intervienen
en el proceso informatico. (ami)n, la cone&in de la empresa a entornos aiertos como a Internet
multiplica los riesgos que amenazan la condifencialidad e integridad de la informacin de los
sistemas de la empresa.
(odas estas amenazas y cualquier otra que pueda ser identificada contra el correcto funcionamiento
de las aplicaciones y la consecucin de los o*etivos han de ser o*eto de un anlisis minucioso.
!ara "ue se reali#a la Auditoria de Aplicaciones
La auditoria de aplicaciones se realiza para tomar medidas que eliminen o al menos reduzcan los
riegos a las que estn e&puestas las aplicaciones. 0ichas medidas consisten en procedimientos para
verificar, evaluar y tratar de garantizar que todo funcione como se espera, de acuerdo con las
pol$ticas, normas y procedimientos estalecidos.
O$%eti&o de la Auditoria de Aplicaciones
!valuar la efectividad de los controles e&istentes y sugerir nuevos controles con el fin de
minimizar riesgos y fortalecer el control de dichas aplicaciones.
#ontrolar los ingresos de datos
0etectan posiles errores en la digitacin
Ingresos de datos incompletos
Ingresos repetidos u omisiones
#urso +,-
E
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
#ontroles en el procesamiento de datos
/
Los controles en el procesamiento de datos permiten identificar las transacciones que son
actualizadas en forma incorrecta o incompleta
#ontroles en la salida / Los controles en la salida sirven para verificar la e&actitud,
funcionalidad, adems del adecuado uso y distriucin de los reportes
Controles /anuales , Auto'0ticos
!n el terreno de una aplicacin informtica, el control interno se materializa fundamentalmente en
controles de dos tipos/
#ontroles manuales / a realizar normalmente por parte del personal del rea usuaria/ actuaciones
previstas para asegurar que Fen su casoF se preparan, autorizan y procesan todas las operaciones, se
susanan adecuadamente todos los errores, son coherentes los resultados de salida respectos a
referencias disponiles sore los datos de entrada, y las ases de datos que dan soporte a la
aplicacin mantienen en los niveles deido diferentes indicadores de medicin de su integridad y
totalidad 2n1meros de registros en ficheros yBo talas, de relaciones o $ndices, totales de magnitudes
num)ricas, conciliaciones, etc. 3
#ontroles Automticos/ incorporados a los programas de la aplicacin que sirvan de ayuda para
tratar de asegurar que la informacin se registre y mantenga completa y e&acta, los procesos de todo
tipo sore la misma sean correctos y su utilizacin por parte de los usuarios respete los mitos de
confidencialidad estalecidos y permita poner en prctica principios generales de control interno
como el referente a la segregacin de funciones.
Seg1n su finalidad estos controles se suelen clasificar en /
#ontroles preventivos/ (ratan de ayudar e evitar la produccin de errores a ase de e&igir el
a*uste de los datos introducidos a patrones de formato y estructura 2dato num)rico, fecha vlida,
etc.3, pertenencia a una lista de valores vlidos , rango entre l$mites determinados, incorporacin
de d$gitos de control en datos clave 2cdigos de identificacin, referencias de documentos,
nomenclaturas, etc.3 y , en general, cualquier criterio que ayude a asegurar la correccin formal
de y verosimilitud de los datos 2la e&actitud slo puede garantizarla el usuario3.
#ontroles detectivos/ (ratan de descurir a posteriori errores que no hay sido posile evitar.
#ontroles correctivos/ (ratan de asegurar que se susanen todos los errores identificados
mediante controles detectivos.
G pueden ser utilizados/
!n las transacciones de recogida o toma de datos.
!n todos los procesos de informacin que la aplicacin realiza.
!n la generacin de informes y resultados de salida.
Etapas de la Auditoria de una Aplicacin In)or'0tica.
#urso +,-
H
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
Programa de Revisin
.. Identificar el rea a revisar 2por e*emplo a partir del calendario de revisiones3 notificar al
responsale del rea y prepararse utilizando papeles de traa*o de auditorias anteriores.
6. Identificar y otener informacin necesaria para la auditoria y para las prueas. !n esta
etapa, se definen los o*etivos y el alcance de la auditoria y se identifican los usuarios
espec$ficos que estar$an afectados por la auditoria 2plan de entrevistas3.
-. Identificar los puntos de control cr$ticos del sistema, esto se realiza mediante entrevistas con
los usuarios. !l auditor dee identificar los peligros y los riesgos que podr$an aparecer en
cada punto. Los puntos de control critico son aquellos en donde el riesgo es mas grave, es
decir, donde la necesidad de un control es mas importante.
?. !*ecucin de prueas en los puntos cr$ticos de control. !stas prueas pueden ser/
a. %rueas de #onformidad/ !stas prueas son orientada espec$ficamente a comproar
que determinados procedimientos, normas o controles internos se cumplen o
funcionan de acuerdo con lo previsto y esperado, seg1n lo descrito en la
documentacin oportuna.
. %rueas sustantivas o de 5alidacin/ <rientadas a detectar la presencia o ausencia
de errores o irregularidades en procesos, actividades, transacciones o controles
internos. !stn especialmente indicadas en situaciones en las que no hay evidencia
de que e&istan controles internos relevantes, suficientes como para garantizar el
correcto funcionamiento del proceso o elemento considerado.
Controles de Entrada de datos.
#uando sea necesario, verificar que todos los datos de entrada en un sistema pasan por
validacin antes de su tratamiento.
4evisar los procedimientos de correccin de errores.
%ara sistemas interactivos, verificar el uso de m)todos preventivos para evitar la entrada
incorrecta de datos, por medio de funciones de ayuda en pantalla, formatos fi*os, el uso de
men1s y mensa*es para el operador.
0eterminar la graacin de datos de entrada con fecha y hora actual, as$ como la identificacin
del usuarioBterminal y uicacin.
4evisar los programas para determinar si contiene procesos internos de validacin de datos y as$
evaluar su e&actitud.
5erificar que los datos se verifican en el momento de su entrada en el sistema.
#ontrol de secuencia/ Los registros de las transacciones llevan un n1mero que los identifica y
son consecutivos, por lo que no pueden haer duplicidades ni intervalos vac$os de secuencia.
#urso +,-
.I
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
#ontrol de l$mite/ Se verifican los l$mites de valores que puede asumir una variale de entrada y
que se rechazara o advertir en caso no cumpla con los l$mites estalecidos.
#ontrol de validez/ #onsiste en considerar como vlidos aquellos campos codificados con
valores predeterminados
J1squedas en talas/ Se valida un campo con el contenido de una tala de datos, por e*emplo
una tala de cdigos de pa$ses y los nomres de pa$ses se utiliza para validar el campo pa$s de
una pantalla de ingreso de datos.
#ontrol de integridad/ consiste en que un campo siempre dee contener datos, no puede estar
vac$o, etc. 0$gito de control/ #onsiste en agregar al dato ingresado un d$gito, el que se calcula
matemticamente por un algoritmo sore los d$gitos del dato ingresado, los ms comunes son el
mdulo .I o mdulo ...
5erificar que las aproaciones corresponden al personal responsale y autorizados.
5erificar que se registra la estacin y el operador que ingresa los datos.
#omproar que una persona no realice mas de una de estas tareas/
@eneracin de datos.
!ntrada de datos.
%rocesamiento de datos.
0istriucin de datos.
0eterminar que las terminales asignadas al Ingreso de datos sean perfectamente identificales y
supervisados.
!fectuar un control sore todas las claves asignadas.
!alidacin y edicin de datos
#omproar la validacin de datos de entrada /
#digo de aproacin de autorizacin.
5alidacin de cdigos.
5alores num)ricos o alfanum)ricos.
(ama>o de los campos.
4ango.
#ote*o de registros.
4evisar la documentacin relacionada con los procedimientos de identificacin , correccin y
entrada de datos rechazados y determinar si los errores son listados inmediatamente despu)s de
detectados y registrados en el archivo de asuntos pendientes.
0eterminar si los supervisores revisan y apruean las correcciones antes de su reentrada.
4ealizar un control estad$stico de los errores de entrada.
#urso +,-
..
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
Control del procesamiento de datos
"ntegridad del procesa#iento de datos
5erificar que el procesamiento de datos esta adecuadamente documentado.
Identificar el personal involucrado y verificar que no intervengan en la generacin entrada
y distriucin de datos.
0eterminar si e&isten itcoras que permiten la reconstruccin de archivos.
5erificar si se llevan a cao actividades de control como/
#ontrol de la actividad de las terminales.
Investigar cualquier intervencin del operados en la desviacin.
Asegurarse que los reinicios se realicen adecuadamente.
Jalance de los contadores de lotes y datos procesados.
0eterminar si los programas de aplicacin /
Impiden la actualizacin concurrente de datos.
Identifican los tipos de datos de entrada.
@eneran totales de control y llevan a cao el proceso.
KSi verifican las etiquetas de archivos antes de su procesamiento.
Los errores y el operador
4evisar los procedimientos de control de errores de procesamientos y verificar que los
errores se registren en el archivo de pendientes.
0eterminar que los procedimientos estndar especifiquen las limitaciones de la
intervencin de un operador en cuanto a las condiciones de errores.
5erificar el registro del sistema para controlar las intervenciones del operador.
#erciorarse que solo los operadores tiene acceso a la documentacin de los sistemas,
programas , datos y soft7are del sistema.
Controles de salidas de datos
0eterminar si el control de datos revisa los informes de salida 2listados3 para detectar errores
evidentes tales como campos de datos que faltan, valores no razonales o datos incorrectos.
5erificar que se hace una identificacin adecuada de los informes como por e*emplo, nomre y
numero de informe, fecha de salida, nomre del reaB departamento, etc.
#ompara la lista de distriucin de informes con los usuarios que los recien en realidad.
5erificar que los informes que pasan de aplicailidad se destruyen, y que no pasan simplemente
a la asura, sin seguridad de destruccin.
#urso +,-
.6
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
4evisar la *ustificacin de informes, que e&iste una peticin escrita para cada uno y que se
utilizan realmente, as$ como que esta autorizada la peticin.
4evisar los procedimientos de correccin de datos de salida.
Revisin de las salidas
Se deen revisar los procedimientos relacionados con el alance y conciliacin de salidas.
5erificar que el control de salida se realice antes de que la informacin sea distriuida.
4evisar si las transacciones pueden rastrearse tanto hacia las salidas finales, como hacia
los documentos fuentes.
!stalecer si se reportan las e&cepciones en las salidas.
$istriucin de los resultados
Se deen revisar los m)todos de distriucin de las salidas.
0etectar errores de distriucin.
5erificar el control de acceso a los informes de salida que esperan ser distriuidos.
Controles de Documentacin
5erificar que dentro de las actividades de desarrollo y mantenimiento de aplicaciones se
produce la documentacin de sistemas, programas, operaciones, funciones y procedimientos de
usuario.
!&istencia de una persona especifica encargada de la documentacin y que mantiene un archivo
de documentos ya distriuidos y a quienes.
#omproar que los *efes de ara se informen de faltas de documentacin adecuada para sus
empleados.
0estruccin de toda la documentacin de antiguos sistemas.
Lue los usuarios no acepten una nueva aplicacin sin su documentacin correcta.
Actualizacin en la documentacin al mismo tiempo que los camios y modificaciones en los
sistemas.
La e&istencia de documentacin de sistemas, programas, de operacin y de usuario por cada
aplicacin ya implantada.
Controles de Bacup ! Rearran"ue.
#urso +,-
.-
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
4esulta necesario estudiar medidas para salvar circunstancia de tipo accidental o intencional que
impida la continuidad de la operatoria.
JacMup de equipos / se trata de aarcar todas las posiilidades que podr$an presentarse en un
centro de cmputos. Las variantes frente a esta situacin son/
(ener equipo de repuesto / !l equipo de repuesto puede ser total 2lo que implica duplicar el
hard7are3 o limitarse a ciertas unidades en funcin de un anlisis previo, elementos que
deer$an situarse en un lugar no muy pr&imo al centro de procesamiento.
%osiilidad a efectuar el procesamiento en equipos similares / #onviene llevar a cao
investigaciones para determinar la posiilidad de realizar el procesamiento en
computadoras similares, para el caso de una interrupcin prolongada.
JacMup de archivos maestros o ase de datos / La necesidad de contar con elementos de respaldo
est motivada por cinco clases de circunstancias
!rrores en la programacin
!rrores en el soft7are de ase 2sistema operativo3
:allas del hard7are
!rrores de procedimientos.
Acontecimientos naturales.
Acciones humanos intencionales.
%autas para el estalecimiento de un sistema de JacMup/ (odas las tareas referentes al estudio de
las medidas a adoptar para la estrategia de NacMupO y recuperacin , planeamiento y
documentacin de todas las normas a emitirse y la revisin peridica son responsailidad del
Administrador de la Jase de 0atos.
;n elemento importante es la realizacin de prueas para verificar que las estrategias adoptadas
funcionan, t)cnica y administrativamente.
%ara construir una norma para el resguardo de los archivos maestros se deen considerar los
siguientes puntos/
!stalecimiento de cuales son los procedimientos Ncr$ticosO de la entidad.
0eterminacin de la metodolog$a o estrategia para el acM up.
0eterminacin del lugar donde se almacenarn los medios magn)ticos.
Actualizacin peridica del resguardo.
4ealizacin de inventarios peridicos sore los elementos de acMup.
!l auditor realizar una e&haustiva inspeccin del lugar de NacMupO y determinar el nivel de
proteccin que proporciona contra roo, accesos no autorizados y destruccin de la totalidad de
lso elementos almacenados2esta oservacin est ligada con la documentacin del soft7are y
otros elementos que tami)n se guardan en el lugar del acMup.3
Aspectos a tener en cuenta /
!&istencia de procedimientos de acMup y rearranque documentados y comproados para cada
aplicacin en uso actualmente.
#urso +,-
.?
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
%rocedimientos escritos para la transferencia de materiales y documentos de acMup entre el
#entro de %rocesamiento de 0atos y el sitio de acMup 2centro alternativo3. =antenimiento de
un inventario de estos materiales.
!&istencia de un plan de contingencia.
Identificacin de aplicaciones y ficheros de datos cr$ticos para el plan de contingencia.
%rueas de aplicaciones criticas en el entorno de acMup, con los materiales del plan de
contingencia 2soporte magn)tico, documentacin, personal, etc3
@raacin de todas las transacciones realizadas durante el d$a por teleproceso, para facilitar la
reconstruccin de ficheros actualizados durante el d$a en caso de fallo del sistema.
Controles sobre Programas de Auditoria
#onsiste en determinar que metodolog$a se utilizara para proar los datos o procesos del sistema,
generalmente se usa lo siguiente/
Soft7are de auditor$a generalizado. =dulos de auditor$a incorporados.
(ransferencia de informacin 2do7nloading3 a una %c para tratarla con soft7are de
anlisis.
;so de sistemas e&pertos.
#on la ayuda de este soft7are o t)cnica asistida por computador, se realizan prueas de auditor$a,
estas prueas incluyen por e*emplo/
=uestreo estad$stico, con el cual se selecciona la muestra de transacciones o del universo de
datos que sern proados.
%rueas de rangos, se usan para proar que los datos en pruea son vlidos porque estn en
un rango de valores adecuado.
%rueas de e&cepciones, se usan para verificar que el procesamiento de las transacciones es
correcto que no e&isten e&cepciones en los datos con los que traa*a el sistema
0istriucin de pol$ticas y procedimientos escritos a auditores y responsales de reas sore la
adquisicin, desarrollo y uso de soft7are de auditoria.
;so de soft7are de auditoria 1nicamente por personas autorizadas.
#urso +,-
.+
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
%articipacin del auditor en la adquisicin, ,odoficacion, instalacin de paquetes de soft7are de
auditoria.
%articipacin 1nicamente del auditor en la planificacin, dise>o, desarrollo e implantacin de
soft7are de auditoria desarrollado internamente.
5erificacin que los programas de utilidad se utilizan correctamente 2cuando no se puede
utilizar soft7are de auditoria3

Controles de la satisfaccin de los usuarios
0isponiilidad de pol$ticas y procedimientos sore el acceso y uso de la informacin.
4esultados fiales, completos, puntuales y e&actos de las aplicaciones 2integridad de datos3.
#omprensin por los usuarios de los informes e informaciones de salida de la aplicaciones.
4evisin de los controles de recepcin, archivo, proteccin y acceso de datos guardados sore
todo tipo de soporte.
4esolucin fcil de prolemas, errores, irregularidades y omisiones por uenos contactoPs entre
usuarios y el personal de #entro de %rocesamiento de 0atos.
!valuacin de la revisin yBo resultados de prueas. !n esta etapa se identifican y evaluan los
puntos fuertes y d)iles de los procedimientos y practicas de control interno con su adecuacin,
eficiencia y efectividad. #uando se identifique una deilidad de determinara su causa.
%reparacin del informe. 4ecomendaciones.
#urso +,-
.C
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
CONC1U(ION
La situacin de haer investigado sore todo lo referente a Auditor$a de !&plotacin y de
Aplicaciones, nos ha permitido conocer y tomar a1n ms conciencia de la necesidad de efectuar
controles a los Sistemas de Informacin y a las Aplicaciones. !sta necesidad surge de la creciente
importancia asignada a los mismos como ayuda imprescindile en el desarrollo de los procesos de
negocio aportando conocimiento que apoye la correcta toma de decisiones. 0eido a )sto tiene
gran importancia la Auditor$a 2desarrollada en este traa*o3 como garante del correcto cumplimiento
de las funciones desarrolladas por los Sistemas y aplicaciones.
%odemos
#urso +,-
.D
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
concluir diciendo que la laor del auditor informtico es esencial para garantizar la adecuacin de
los sistemas informticos/ para ello el auditor dee realizar su traa*o ateni)ndose a las 9ormas de
Auditor$a aceptadas y aplicales como requisito necesario que asegure la calidad del traa*o
realizado.
#urso +,-
.E
Universidad Tecnolgica Nacional
F.R.C.
Auditora de Explotacin y Aplicaciones
-I-1IO2RA3IA
4Auditor$a Informtica, ;n !nfoque %rctico5
Autores/ %iattini, 0el %eso
!ditorial 4ama
777.monograf$as.com
777.todogratis.com
#urso +,-
.H