Está en la página 1de 86

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

UNIVERSIDAD CENTRAL DEL ECUADOR


FACULTAD DE CIENCIAS ADMINISTRATIVAS
INSTITUTO SUPERIOR DE INVESTIGACION Y POSGRADO
MAESTRIA EN GERENCIA CONTABLE Y FINANZAS CORPORATIVAS
TEMA:
MANUAL DE TECNICAS PARA AUDITORIA INFORMATICA

AUTORES:
1.
2.
3.
4.
5.
6.

BERMEO CARLOS
LINCANGO SANDRA
MOREANO ANA
PACHECO DIEGO
SANCHEZ XIMENA
TAPIA MARIA JOSE

TUTOR: DR. MARCO QUINTANILLA


MATERIA: AUDITORIA INFORMATICA
QUITO, AGOSTO 2013

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

INDICE
1. PLANTEAMIENTO DEL PROBLEMA .................................................................................... 4
2. FORMULACION DEL PROBLEMA ........................................................................................ 4
3. PREGUNTAS DE LA INVESTIGACION ................................................................................. 4
4. JUSTIFICACION ........................................................................................................................ 5
5. MARCO TEORICO .................................................................................................................... 5
5.1. INTRODUCCION .................................................................................................................... 5
5.2. OBJETIVOS ............................................................................................................................ 6
5.3. UBICACIN DEL ENTORNO INFORMATICO ................................................................... 6
5.4. ESQUEMA GENERAL DE RECURSOS............................................................................ 7
5.5. FUNCIONES DE LA SECCION INFORMATICA................................................................ 8
5.6. PROCEDIMIENTOS PARA USUARIOS Y SISTEMAS ..................................................... 8
5.7. PROCEDIMIENTOS PARA USUARIOS ............................................................................. 9
5.9. SEGURIDADES GENERALES ......................................................................................... 20
5.10. OBTENCIN DE RESPALDOS ..................................................................................... 21
5.11. OBLIGACIONES Y PROHIBICIONES DE USUARIOS ................................................. 22
5.12. CARTAS A LA GERENCIA .............................................................................................. 22
5.13. RESPONSABILIDADES DE AUDITORA INFORMATICA........................................... 30
5.15 CARACTERISTICAS DEL AUDITOR INFORMATICO................................................... 36
5.16. ORGANIZACION DE LA FUNCION DE A.I..................................................................... 37
5.17. SISTEMA DE REGULACIN DE VOLTAJE ................................................................. 37
5.18. FUNCIONALIDAD DE LAS INSTALACIONES DEL DEPARTAMENTO DE

P.E.D

....................................................................................................................................................... 38
5.19. SISTEMA DE DETECCIN DE INCENDIOS ................................................................ 40
5.20. ACCESO AL DEPARTAMENTO DE P.E.D. ................................................................. 40
5.21. PLAN DE SEGURIDAD Y EMERGENCIA ..................................................................... 41
5.22. LIMPIEZA DEL DEPARTAMENTO DE P.E.D ............................................................... 41
5.23. REGLAMENTO DE SEGURIDAD FISICA DEL DEPARTAMENTO DE P.E.D. ....... 42
5.24. ACCESO A PROGRAMAS Y APLICACIONES ............................................................ 45
1

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


5.25. STOCKS MINIMOS DE SUMINISTROS ......................................................................... 46
5.25. PROCEDIMIENTOS DE ENCENDIDO Y APAGADO DEL COMPUTADOR ............ 46
5.25. REGISTRO DE AVERIAS, DAOS E INTERRUPCIONES ......................................... 47
5.26. PROCESOS DE EMERGENCIA EN OTRAS LOCALIDADES .................................. 47
5.27. SOLICITUD DE PROCESOS DE INFORMACION Y HOJA DE RUTA....................... 47
5.28. CRONOGRAMAS DE TRABAJO .................................................................................... 48
5.29. DOCUMENTACION DE LOS PROGRAMAS ................................................................ 48
5.29.1. AUTORIZACIN DE CAMBIOS DE PROGRAMAS .................................................. 48
5.29.2. REVISIN Y VERIFICACIN DE LOS CAMBIOS DE PROGRAMAS .................... 49
5.29.3. PRUEBAS EN CONJUNTO DE PROGRAMAS Y APLICACIONES NUEVAS O
MODIFICADAS ............................................................................................................................ 49
5.29.4. DOCUMENTACIN DE CAMBIOS Y MODIFICACIONES A PROGRAMAS......... 49
5.29.5. MANTENIMIENTO DE PROGRAMAS Y APLICACIONES ....................................... 49
5.29.6. DESTRUCCIN DE PRUEBAS DE PROGRAMAS ................................................. 50
5.29.7. INTEGRACIN DE PROGRAMAS Y APLICACIONES ............................................. 50
5.29.8. PROCEDIMIENTOS ACERCA DEL USO DE CADA PROGRAMA Y APLICACION
....................................................................................................................................................... 50
5.29.9. STANDARES PARA LA ELABORACIN DE PROGRAMAS, APLICACIONES Y
DOCUMENTACIN .................................................................................................................... 50
5.29.10. CONTROL DE FALLAS DE FUNCIONAMIENTO DE PROGRAMAS Y
APLICACIONES .......................................................................................................................... 51
5.30. PROCEDIMIENTOS ESCRITOS PARA GRABAR Y RESTAURAR INFORMACIN
....................................................................................................................................................... 51
5.31. TIEMPO DE UTILIZACIN DEL COMPUTADOR POR PARTE DE LOS USUARIOS
....................................................................................................................................................... 51
5.32. MESA DE CONTROL ....................................................................................................... 51
5.33.PARTICIPACIN DE AUDITORA INTERNA EN EL DESARROLLO, MODIFICACIN
Y REVISIN DE PROGRAMAS Y APLICACIONES ............................................................... 52
5.33.1. PLAN PARA DESARROLLO FUTURO....................................................................... 52
2

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


5.33.2. PARTICIPACIN DE AUDITORA INTERNA EN LAS LABORES DE P.E.D......... 52
5.34. PALABRAS CLAVES Y CDIGOS SECRETOS ......................................................... 53
5.34.1. ACCESO A LA TABLA DE CLAVES Y CDIGOS SECRETOS ............................ 53
5.35. ORGANIZACIN DEL DEPARTAMENTO DE P.E.D. .................................................. 53
5.35.1. SELECCIN Y EVALUACIN DEL PERSONAL DE P.E.D.................................... 53
5.35.2. CAPACITACIN DEL PERSONAL DE P.E.D. .......................................................... 54
5.35.2.1. FORMACIN DEL PERSONAL DE P.E.D. EN TCNICAS DE HARDWARE .. 54
5.35.3. MOTIVACIN DEL PERSONAL DE P.E.D. ............................................................... 54
5.35.4. PERSONAL DE SEGURIDAD ..................................................................................... 54
5.35.4.1. SEGURIDAD DE LA INFORMACIN AL TERMINAR RELACIONES
LABORALES CON PERSONAL DE P.E.D............................................................................. 55
5.35.5. VACACIONES OBLIGATORIAS .................................................................................. 55
5.36. MICROCOMPUTADORAS ............................................................................................... 55
5.36.1. RESPALDOS DEL DISCO DURO A DISQUETES ................................................... 55
5.36.2. PROGRAMAS ORIGINALES ........................................................................................ 56
5.36.3. INFORMACIN ALMACENADA EN EL DISCO DURO............................................ 56
5.36.4. PLIZA DE SEGUROS DE MICROCOMPUTADORAS........................................... 56
5.36.5. MANUALES DE LOS MICROCOMPUTADORES ..................................................... 56
6. GLOSARIO ............................................................................................................................... 70
7. PREGUNTAS........................................................................................................................... 82

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

MANUAL DE TCNICAS PARA AUDITORA DE SISTEMAS


1. PLANTEAMIENTO DEL PROBLEMA
El Desarrollo normal de las actividades comerciales y financieras de las empresas
requiere una constante vigilancia y evaluacin asimismo las empresas necesitan una
opinin, preferentemente independiente, que les ayude a medir la eficiencia y eficacia en
cumplimiento de los objetivos. Una de las herramientas ms tiles para adelantar pruebas
de cumplimiento y sustantivas, son las que se conocen como tcnicas de auditoria las
cuales se orientan hacia los datos, las aplicaciones, los equipos y programas, y permiten
seleccionar y procesar la informacin necesaria para fines especficos de la auditoria,
facilitando la aplicacin de mtodos de muestreo estadstico, aumentar el alcance de las
pruebas y verificar la integridad de los datos en la poblacin auditada.
2. FORMULACION DEL PROBLEMA
Demostrar que las tcnicas de auditora en informtica debern comprender no slo la
evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino
que adems habr de evaluar los sistemas de informacin en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtencin de informacin ya que la
auditora no es una actividad meramente mecnica, que implique la aplicacin de ciertos
procedimientos cuyos resultados, una vez llevados a cabo son de de carcter indudable,
sino ms bien la auditora requiere el ejercicio de un juicio profesional, slido maduro,
para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos.

3. PREGUNTAS DE LA INVESTIGACION
Permiten las tcnicas de auditoria informtica mostrar las debilidades y las fortalezas de
las empresas, con respecto a los controles que se estn empleando, a los sistemas y
4

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


procedimientos de la informtica, los equipos de cmputo que se emplean, su utilizacin,
eficiencia y seguridad?
Las tcnicas de auditoria informtica permiten determinar las posibles vulnerabilidades
del sistema y plataforma tecnolgicas utilizadas en el centro de comunicaciones?
4. JUSTIFICACION
Las tcnicas de auditora informtica permiten a travs de una revisin independiente, la
evaluacin de actividades, funciones especficas, resultados u operaciones de una
organizacin, con el fin de evaluar su correcta realizacin.
Las tcnicas de auditora informtica son de vital importancia para el buen desempeo de
los sistemas de informacin, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo
(informtica, organizacin de centros de informacin, hardware y software).
5. MARCO TEORICO
Este manual est diseado como una gua para aplicar tcnicas de Auditora a los
Sistemas de Informacin Basados en Computadora y hardware relacionado con su uso
aplicadas por los usuarios de los computadores en general.
5.1. INTRODUCCION
Con el establecimiento de normas y procedimientos se pretende lograr los siguientes
beneficios.

Garantizar al usuario el total apoyo y soporte a las actividades por l realizadas.

Proteger contra acciones indebidas o accidentales la informacin.

Permitir un control adecuado sobre hardware (equipos) y software (programas


instalados
5

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

Cumplir con los requerimientos mnimos de control.

5.2. OBJETIVOS
Los objetivos que se lograrn con la aplicacin de las normas y procedimientos

Preservar la integridad y seguridad del hardware y software (equipos y programas)


y de la informacin.

Controlar que el hardware y software sean utilizados de acuerdo a las normas


establecidas.

Controlar

que

la

aplicaciones

instaladas

cumplan con las

normas

de

documentacin mnimas establecidas.

Entrenar, actualizar y dar soporte a los usuarios en los procedimientos necesarios


para la utilizacin del hardware y software instalado.

Mantener el control de los equipos en las diferentes localidades.

Establecer una va de comunicacin adecuada entre usuarios y especialistas en


informtica.
Quin debera utilizar este manual?

El manual est dirigido a profesionales del campo de la Auditora tcnica y de gestin


financiera contable. En l encontrarn las acciones necesarias a seguirse con relacin a
las actividades que a diario se realizan y que peridicamente deben ser controladas.
5.3. UBICACIN DEL ENTORNO INFORMATICO
La Seccin de Informtica se encuentra ubicada bajo el Departamento Administrativo y
debe ubicarse en el organigrama estructural de la empresa.
Las tres reas claves de labor son:
6

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

Centro de Cmputo

Soporte Tcnico a
Usuarios

Desarrollo de
Sistemas
1. Anlisis de los
Procesos

1. Operacin de los
Sistemas

1. Capacitacin.

2. Supervisin del trabajo.

2. Ayuda en el trabajo.

3. Mantenimiento.

3. Resolucin de problemas. 3. Automatizacin.

4. Reparaciones.

4. Documentacin.

4. Desarrollo.

5. Suministros.

5. Biblioteca.

5. Compra de

6. Respaldos.

6. Programas.

2. Correcciones.

7. Pruebas y Manuales.

5.4. ESQUEMA GENERAL DE RECURSOS

USUARIOS
Requerimientos

Cartas
Documentos
Oficios

APOYO FUNCIONAL APOYO SOFTWARE APOYO HADWARE


Comisin y Especialistas

Comisin Informtica
y especialistas

Paquetes y Programas

Equipos de Computacion

Office
MQR

IBM
COMPAQ
Oracle

Grficos
Informes
Clculos
Consultas
Procesos
Aplicaciones especiales

CLONES
de la Unidad
de Sistemas

Etc.

LAN
CR-RW

5.4.1. EXPLICACION DEL ESQUEMA GENERAL DE RECURSOS

COMISION INFORMATICA: La Comisin Informtica aprueba la adquisicin de Hardware


7

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


y Software, Cursos de entrenamiento, movilizacin de equipos, reglamentos, normas,
polticas, etc.
ESPECIALISTAS

FUNCIONALES: El

grupo

de

Especialistas

Funcionales

est

compuesto por el personal informtico y los usuarios con avanzados conocimientos de


DOS, Office, Netware, Windows y otros programas. Este grupo est encargado de brindar
asesora, entrenamiento, asistencia, soporte o ayuda en la utilizacin de Paquetes,
Programas, Equipos, unidades de respaldo (cd-rw, cintas) e impresoras.
5.5. FUNCIONES DE LA SECCION INFORMATICA
La principal funcin es la de asistir a los usuarios en los siguientes puntos (tomando como
referencia las normas y procedimientos que se tratan en el Captulo 3)

Entrenamiento oportuno para el uso del hardware y software.

Clarificacin de problemas de operacin.

Instalacin de hardware y software.

Obtencin de respaldos.

Documentacin de aplicaciones.

Actualizacin de nuevas tcnicas.

Informacin de los recursos disponibles en hardware y software.

Solicitudes de requerimientos, etc.

5.6. PROCEDIMIENTOS PARA USUARIOS Y SISTEMAS


Las polticas y procedimientos son la primera lnea de defensa de cualquier ambiente
computacional contra: prdidas, daos, alteracin, o hurto de la informacin, sean stos
provocados o accidentales. La falta de polticas y procedimientos deja a la organizacin
expuesta, sin ninguna base normativa a seguir.
8

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


5.7. PROCEDIMIENTOS PARA USUARIOS
En este manual se cubre la mayora de las posibilidades; sin embargo, en algn momento
se puede presentar una situacin que no se ha contemplado, para lo cual, el usuario
deber solicitar asistencia.
PROCEDIMIENTO N1

TITULO:

Solicitud de entrenamiento en Hardware o Software.

DIRIGIDO A:

Usuarios de Computadores.

OBJETIVO:

Definir las normas generales para garantizar que las


necesidades de entrenamiento solicitadas por usuarios de
computadores, sean satisfechas

oportunamente

por la

Seccin de Informtica.
DESCRIPCION:

Este procedimiento se aplica para situaciones en las que un


usuario requiera entrenamiento en el uso de computadores,
con el fin de satisfacer y cubrir necesidades dentro de su
actividad.

RESPONSABLE:

Usuarios de computadores y Direccin Administrativa.

LIMITACIONES:

nicamente se dar entrenamiento sobre el hardware y


software estandarizado y solo sobre temas relacionados con
el trabajo de la persona solicitante.

RESTRICCIONES: El solicitante no debe haber recibido con anterioridad el


entrenamiento que est solicitando.
DESARROLLO:

a)

El usuario solicitante de acuerdo a los requerimientos que se presentan por


la necesidad de utilizar un computador o un nuevo programa para el
desarrollo de sus funciones, deber elaborar un oficio con copia adjuntando
9

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


los justificativos del caso.
b)

A continuacin el usuario solicitante deber enviar el original a la Seccin de


Informtica. Deber guardar la copia para su archivo personal.

c)

La Seccin de INFORMTICA recibe el oficio con la solicitud y lo archiva


como pendiente, por fecha de solicitud.

d)

La Seccin de INFORMTICA evala si amerita el entrenamiento y si est


planificado algn entrenamiento a nivel de grupo, relacionado con la solicitud
de entrenamiento. Si el entrenamiento no amerita enviar un oficio negando
la solicitud del usuario y, adjuntando una copia al oficio enviado solicitando
el entrenamiento archivar los documentos.

e)

Si el punto anterior es positivo, la Seccin de INFORMTICA integra al


solicitante al grupo, caso contrario, programa un entrenamiento individual,
coordinando con el Jefe inmediato del usuario solicitante. Enva un oficio
indicando los datos del entrenamiento solicitado y su aceptacin por la
Seccin de INFORMTICA a la Direccin Administrativa. Mantiene una
copia del oficio junto a la solicitud de entrenamiento.

f)

La Direccin Administrativa deber aprobar o negar finalmente la solicitud y


enviar una respuesta mediante un oficio a la Seccin de INFORMTICA.

g)

La Seccin de INFORMTICA, una vez recibido el oficio de la Direccin


Administrativa, lo adjunta al trmite y comunica la decisin al usuario
solicitante mediante un oficio que incluir todos los detalles acerca del
entrenamiento. Enva una primera copia al usuario solicitante, una segunda
copia la Jefe inmediato y el archiva el original junto a los otros documentos
10

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


por fecha de respuesta.
h)

La Seccin de INFORMTICA archiva el oficio de solicitud, la respuesta de


la Direccin Administrativa, junto con la respuesta final y registra todo como
procesado.

i)

El usuario solicitante y su Jefe inmediato, reciben la primera y segunda


copias del oficio de respuesta y archivan por fecha de respuesta.

PROCEDIMIENTO N2

TITULO:

Desarrollo, modificacin, instalacin y documentacin de


aplicaciones propias.

DIRIGIDO A:

Seccin de INFORMTICA, Jefes de Departamento y


Usuarios de computadores.

OBJETIVO:

Definir las normas generales para controlar el desarrollo,


modificacin, documentacin e instalacin de aplicaciones
especificas realizadas por los usuarios.

DESCRIPCION:

Este procedimiento se aplica cuando un usuario requiera


realizar, modificar o instalar una aplicacin de computadores
desarrollada internamente, con el fin de satisfacer y cubrir
necesidades dentro de su actividad.

RESPONSABLE:

Usuarios de computadores, Seccin de INFORMTICA.

LIMITACIONES:

nicamente se desarrollarn o modificarn aplicaciones


autorizadas previamente por la Seccin de INFORMTICA
mediante un oficio.

RESTRICCIONES: Antes de desarrollar o modificar una aplicacin el usuario


deber consultar con su jefe inmediato y con la Seccin de
INFORMTICA, los

cuales

autorizarn el desarrollo o
11

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


modificacin de esa aplicacin. No est permitido desarrollar
aplicaciones para uso personal o externo. No est permitido
sacar copias de los manuales y de las aplicaciones para uso
externo.
DESARROLLO:

a)

El usuario solicitante de acuerdo a los requerimientos que se presentan por


la necesidad de automatizar su trabajo consultar con su Jefe superior y con
la Seccin de INFORMTICA el desarrollo o modificacin de una nueva
aplicacin y la instalacin de la misma. Si la aplicacin ha sido ya
desarrollada por otro usuario se emitir un oficio de autorizacin por parte
de la Seccin de INFORMTICA, se la instalar y termina el procedimiento.

b)

A continuacin el usuario solicitante en coordinacin con la Seccin de


INFORMTICA y con un oficio de aprobacin de la misma (original para el
usuario y copia para la Seccin de INFORMTICA) proceder al desarrollo
o modificacin de la aplicacin. Junto con la aplicacin deber desarrollarse
o actualizarse un manual descriptivo de la misma y un manual de utilizacin
tipiados en Word u otro procesador de textos.

c)

Una vez finalizada la elaboracin o modificacin de la aplicacin la Seccin


de

INFORMTICA

la

instalar

para

el usuario. La

Seccin de

INFORMTICA deber guardar una copia en disquete (con la aplicacin y


los manuales tipiados en Word u otro procesador de textos) en su biblioteca.

d)

La Seccin de INFORMTICA deber mantener un inventario actualizado de


este tipo de aplicaciones.

12

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

PROCEDIMIENTO N3

TITULO:

Adquisiciones de Equipos, Programas, Suministros, Contratos


de Seguro y Mantenimiento.

DIRIGIDO A:

Comisin Informtica, Seccin de INFORMTICA, Jefes de


Departamento y Usuarios de computadores.

OBJETIVO:

Definir las normas generales para controlar las adquisiciones


de equipos, programas, suministros y contratos de seguro y
mantenimiento.

DESCRIPCION:

Este

procedimiento se aplica cuando la Seccin de

INFORMTICA, en conversacin con usuarios y jefes de


departamento,

establezca

la

necesidad

de

adquirir

programas, equipos, suministros, contratos de seguro y


mantenimiento.
RESPONSABLE:

Comisin Informtica y Seccin de INFORMTICA.

LIMITACIONES:

La compra de equipos y programas; y la contratacin de


seguro y mantenimiento debern ser aprobadas por la
Comisin de Informtica. La adquisicin de suministros hasta
por un monto que ser aprobado por el Jefe de la Seccin de
Informtica.

RESTRICCIONES: Se comprarn preferentemente equipos de marca para


mantener el eestndar en hardware.
DESARROLLO:

a)

La Seccin de INFORMTICA se encargar de establecer la necesidad de


comprar equipos, programas y suministros as como de contratos de seguro
13

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


y mantenimiento. Esta necesidad se comunicar mediante un oficio a la
comisin informtica adjuntndose un anlisis tcnico con los justificativos,
trminos de referencia, y el proveedor recomendado para la adquisicin.
Una copia del mismo se mantendr en la Seccin de INFORMTICA.
b)

La comisin informtica autorizar o negar la compra de los equipos,


programas o suministros y la contratacin de seguros y mantenimiento
remitiendo el respectivo oficio con la respuesta a la Seccin de
INFORMTICA con copia a los departamentos correspondientes (si la
respuesta es afirmativa). Para ello

y los dems puntos de este

procedimiento se tomarn en cuenta las normas y polticas vigentes.


c)

La Seccin de INFORMTICA coordinar la adquisicin mediante contratos


o facturas (contemplando garantas y plazos de entrega) con el
departamento financiero y el proveedor seleccionado.

d)

La Seccin de INFORMTICA se encargar de recibir y probar los equipos,


programas y suministros adquiridos con un acta de entrega recepcin o nota
de entrega. Los equipos y programas deben adquirirse siempre con
manuales y los discos respectivos (al comprar programas el proveedor
deber entrenar en el manejo del mismo a personal, por lo tanto se
coordinar este entrenamiento con la Seccin de INFORMTICA. Deber
entregar un manual de utilizacin y un manual de desarrollo y programacin
del sistema con los programas fuentes en los discos), los programas y
manuales se mantendrn en la biblioteca siendo de propiedad de la
empresa. Los suministros se mantendrn en una bodega (con Kardex e
inventario mensual) dentro de la Seccin de INFORMTICA y bajo
responsabilidad de la misma. Los contratos y documentacin de la compra
se mantendrn en los departamentos correspondientes.
14

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

PROCEDIMIENTO N4

TITULO:

Reporte y reparacin de daos en los equipos.

DIRIGIDO A:

Comisin Informtica, Seccin de INFORMTICA, Jefes de


Departamento y Usuarios de computadores.

OBJETIVO:

Definir las normas generales para reportar y reparar los daos


a los equipos.

DESCRIPCION:

Este

procedimiento se aplica cuando la Seccin de

INFORMTICA, en conversacin con usuarios y jefes de


departamento, establezca daos en los equipos.
RESPONSABLE:

Comisin Informtica y Seccin de INFORMTICA.

LIMITACIONES:

Se procurar reparar siempre todo equipo daado este o no


en

garanta.

De

ser

necesario

se

establecern

responsabilidades sobre el mismo.


RESTRICCIONES: Se repararn nicamente en servicios tcnicos autorizados.
DESARROLLO:

a)

La Seccin de INFORMTICA se encargar de establecer los daos en


equipos. Estos daos se comunicarn mediante un oficio a la comisin
informtica adjuntndose un detalle del dao. Una copia del mismo se
mantendr en la Seccin de INFORMTICA.

b)

La comisin informtica autorizar la reparacin de los equipos y enviar un


oficio con la respuesta a la Seccin de INFORMTICA con copia al
Departamento Financiero (Bodega).

c)

La Seccin de INFORMTICA coordinar la reparacin (contemplando


15

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


garantas y plazos de entrega) con el departamento financiero y el proveedor
de los equipos (o el que los arregle). Se verificar si los equipos estn
todava en garanta, en cuyo caso no se proceder a ningn pago por la
reparacin.
d)

La Seccin de INFORMTICA se encargar de recibir y probar los equipos


reparados con un acta de entrega recepcin o nota de entrega. Luego
notificar con un oficio a la direccin financiera y al bodeguero para
proceder al registro y pago respectivo. Una copia del oficio se adjuntar a la
documentacin para archivar.

16

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


PROCEDIMIENTO N5

TITULO:

Reubicacin de los equipos.

DIRIGIDO A:

Comisin Informtica, Seccin de INFORMTICA, Jefes de


Departamento y Usuarios de computadores.

OBJETIVO:

Definir las normas generales para trasladar de una localidad a


otra los equipos.

DESCRIPCION:

Este

procedimiento se aplica cuando la Seccin de

INFORMTICA, en coordinacin con usuarios y jefes de


departamento, establezca la necesidad de trasladar los
equipos a otra localidad.
RESPONSABLE:

Comisin Informtica y Seccin de INFORMTICA.

LIMITACIONES:

Los equipos los trasladar el encargado de la Seccin de


INFORMTICA nicamente. Para ello es necesario un oficio
con la autorizacin por parte de la Comisin Informtica.

RESTRICCIONES: Se trasladar nicamente dentro de las instalaciones de la


empresa.
DESARROLLO:

a)

La Seccin de INFORMTICA se encargar de establecer la necesidad de


trasladar los equipos. Esta necesidad se comunicar mediante un oficio a la
comisin informtica adjuntndose un detalle justificativo de la accin y los
requerimientos para seguridad de los equipos e instalaciones elctricas.
Una copia del mismo se mantendr en la Seccin de INFORMTICA.

b)

La comisin informtica autorizar el traslado de los equipos y enviar un


oficio con la respuesta a la Seccin de INFORMTICA, a bodega y a los
dems departamentos correspondientes.
17

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

c)

Si la respuesta es afirmativa la Seccin de INFORMTICA coordinar y


trasladar los equipos a la nueva localidad revisando siempre con
anticipacin si las instalaciones elctricas y las seguridades son las
adecuadas. Se verificar si los equipos funcionan correctamente y luego se
emitir un acta de entrega-recepcin del mismo. La documentacin deber
archivar la Seccin de INFORMTICA y Bodega.

PROCEDIMIENTO N6

TITULO:

Inventario de equipos, programas, aplicaciones y suministros.

DIRIGIDO A:

Comisin Informtica, Seccin de INFORMTICA, Jefes de


Departamento y Usuarios de computadores.

OBJETIVO:

Definir las normas generales para el buen manejo de equipos,


programas, aplicaciones y suministros.

DESCRIPCION:

Este

procedimiento

INFORMTICA

se

para

aplicar
mantener

en

la

Seccin

siempre

de

inventarios

actualizados y un buen control sobre equipos, programas,


aplicaciones y suministros.
RESPONSABLE:

Comisin Informtica y Seccin de INFORMTICA.

LIMITACIONES:

Se procurar siempre mantener un inventario actualizado de


todo.

18

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

DESARROLLO:

a)

La Seccin de INFORMTICA se encargar de mantener un control de la


ubicacin de los equipos mediante un inventario actualizado de los mismos.
Este inventario deber contener los nmeros de serie de los equipos. Se
comunicarn mediante un oficio a la comisin informtica cada trimestre la
situacin de este inventario. Cualquier prdida se deber reportar
inmediatamente para la accin pertinente.

b)

La Seccin de INFORMTICA se encargar de mantener un control en una


biblioteca con llave de los manuales de los computadores, programas y
aplicaciones adems de todos los discos y cintas que contengan
programas, aplicaciones o datos. Deber mantenerse un inventario
actualizado de los mismos. Este inventario deber estar siempre detallado.
Se comunicarn mediante un oficio a la comisin informtica cada trimestre
la situacin de este inventario. Cualquier prdida se deber reportar
inmediatamente para la accin pertinente.

c)

La Seccin de INFORMTICA llevar un control sobre el uso de suministros


los cuales se entregarn mediante oficio de los jefes de departamento y con
firma de quien los retira. Se deber mantener siempre un Kardex
actualizado de los mismos. Un informe con los saldos del inventario deber
entregarse tanto a la Comisin Informtica como al departamento financiero
cada trimestre.

19

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

5.8. ESTANDARES Y NORMAS DE CODIFICACION

Los usuarios al escribir los nombres de sus trabajos (8 caracteres) debern usar el
siguiente esquema:
Posicin 1 ..........

Inicial del nombre del usuario

Posicin 2 ..........

Inicial del apellido del usuario

Posicin 3 ..........

Inicial del departamento o seccin

Posiciones 4 a 8 .... Descripcin del trabajo

5.9. SEGURIDADES GENERALES


Los usuarios de los equipos computarizados debern observar las normas de seguridad
descritas a lo largo de este manual en todas sus labores.
La responsabilidad por el manejo de cada equipo recae sobre el usuario a cargo del
mismo, el cual deber tomar todas las medidas del caso para garantizar el cuidado y buen
uso de los equipos.
Los procedimientos descritos en el captulo 3 debern observarse y respetarse siempre
ya que contienen las normas de seguridad especficas para cada situacin en particular.
Es responsabilidad de la Comisin de Informtica y de la Seccin de INFORMTICA
establecer todas las medidas de control necesarias para garantizar la seguridad de los
equipos.
Los equipos debern siempre estar amparados por una pliza de seguros y un contrato
20

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


de mantenimiento.
5.10. OBTENCIN DE RESPALDOS
Cada usuario deber mantener siempre por lo menos una copia de seguridad o respaldo
de su informacin.
La Seccin de INFORMTICA deber mantener tres respaldos de aquella informacin
que sea considerada crtica en el desenvolvimiento de la actividad de la empresa.
Los respaldos se sacarn en cintas o discos verificando previamente su estado.

21

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

5.11. OBLIGACIONES Y PROHIBICIONES DE USUARIOS


Todo usuario deber sujetarse a las normas y disposiciones emitidas por la Comisin de
Informtica y la Seccin de INFORMTICA adems de todas las normas contenidas en el
presente documento.
Los procedimientos descritos en el captulo 3 del presente documento constituyen normas
de trabajo y debern ser observadas siempre que se manejen equipos computarizados.
Est totalmente prohibido a los usuarios llevarse programas, manuales y suministros para
uso personal o de terceros. Adems se prohbe el uso de los recursos computacionales
para desarrollar tareas personales que no tienen que ver con la actividad de la empresa
5.12. CARTAS A LA GERENCIA
Uno de los propsitos de aplicar las tcnicas de Auditora es informar sobre deficiencias
de control encontradas durante el examen.
Para cumplir apropiadamente con dicha finalidad es necesario evaluar el sistema de
control con anterioridad al examen de los Sistemas de Informacin Basados en
Computadora. Como resultado de dicho estudio y evaluacin, el auditor deber emitir una
carta de recomendacin tendiente a corregir las deficiencias encontradas siempre y
cuando se consideren de importancia relativa. Esta carta o documento es comnmente
llamada CARTA A LA GERENCIA la misma que debe contener informacin que ayude a
la administracin a tomar acciones o decisiones correctivas, es por eso que la carta de
recomendaciones, debe ser emitida y dirigida a personas que ocupen una posicin tal
que les permita tomar acciones correctivas inmediatas de preferencia a la Gerencia
General, por cuanto es ella la responsable de mantener adecuados procedimientos de
control tanto administrativos, contables y de otra ndole.
22

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


Por lo tanto debera constituirse como poltica de una firma de auditores, que el auditor
ayude al cliente o le asesore en su responsabilidad de implementar esos procedimientos
de control, adems considerando que el auditor, mantiene un conocimiento amplio en
trminos generales, sobre las operaciones de la entidad y considerando su punto de vista
independiente, se considera que est ms capacitado como para efectuar sugerencias
constructivas.
Generalmente las cartas de recomendaciones deben ser emitidas por lo menos una vez al
ao, sin embargo el socio o responsable del compromiso de Auditora, podr tomar la
decisin de emitir esta carta con mayor frecuencia. Todas las observaciones de Control
Interno que realice el auditor, ya sean stas de naturaleza contable u operativa, debern
ser discutidas con el personal a niveles apropiados a efectos de confirmar el contenido de
la carta.
5.12.1. TECNICAS DE PREPARACION

Cada observacin debe ser titulada

Cada observacin deber contener una breve explicacin de la deficiencia, los


riesgos inherentes y la correccin sugerida.

Deber tenerse muy presente la regla Costo-Beneficio

Los puntos a ser incluidos no deben limitarse a aspectos netamente del entorno
informtico. Debern incluir aspectos operativos, contables, impositivos y
laborales.

Incluir adjunto a las recomendaciones de ser posible cuadros explicativos,


grficos o cuantificar el efecto de las recomendaciones.

Cuando son extensas las cartas, incluir un ndice de contenido.

Incluir los puntos relevantes primero y los menos relevantes al ltimo.

Puntos de aos anteriores insistir nuevamente dependiendo de su importancia,


en estos casos expresiones como: Reiteramos nuestra recomendacin de
aos anteriores seran apropiadas.

En la recomendacin debern usarse frases como Sugerimos, creemos


23

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


conveniente, recomendamos Nunca se debe imponer.

Debe ser enviada con anterioridad a la fecha de emisin de Estados


Financieros.

Debe ser discutida antes de ser emitida formalmente.

5.12.2 ARCHIVO DE ANALISIS


INDICE

SISTEMA DE CONTABILIDAD

SISTEMA DE ACTIVOS

SISTEMA DE CAJA

SISTEMA DE FACTURACIN

SISTEMA DE CARTERA

SISTEMA DE INVENTARIOS

SISTEMA DE NOMINA

SISTEMA DE PRODUCCION

CLIENTE
INDICE - ARCHIVO PERMANENTE
A HISTORIA DE LA COMPAIA
1. Escritura de constitucin y estatutos
2. Accionistas
3. Directores
4. Actas de juntas de accionistas
5. Actas de juntas de directores

B ACTIVIDADES COMERCIALES O INDUSTRIALES


24

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


1. Productos que fabrica o comercializa (indicar la importancia de cada uno sobre el total)
2. Condiciones de ventas (indicar para cada producto qu condicin rige su
comercializacin: plazos,
descuentos, garanta, etc.)
3. Materias primas (o mercaderas para reventa) principales
4. Proveedores principales

C ORGANIZACION CONTABLE
1. Principales departamentos o subdivisiones, con una breve descripcin de sus
funciones e indicacin del
nmero aproximado de personas en cada uno
2. Lista de las firmas o iniciales usadas por las personas responsables de autorizar
documentos y firmar cheques
3. Libros y registros
4. Informes preparados peridicamente por la compaa
5. Plan de cuentas
6. Instrucciones para la utilizacin del plan de cuentas

D POLITICA Y PROCEDIMIENTOS CONTABLES


1. Ingresos de caja
2. Desembolsos de caja
3. Ventas y cuentas por cobrar
4. Inventarios
5. Activo fijo
6. Compras y cuentas por pagar
7. Planillas
8. Sistema de costos
25

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


E HISTORIA FINANCIERA
1. Resumen por aos del balance
2. Resumen por aos del estado de ganancias y prdidas
3. Resumen por aos del estado de utilidades o prdidas acumuladas
4. Comparaciones financieras
5. Resumen del movimiento anual de reservas de capital
6. Resumen del movimiento anual de activo fijo\pagebreak\

F SITUACION FISCAL
1. Impuestos a que est obligada la compaa
2. Exenciones tributarias de que goza la compaa
3. Copias o sntesis de las disposiciones tributarias que afecten a la compaa
4. Conciliaciones entre la utilidad contable y la utilidad fiscal (obtener copia de las
declaraciones presentadas a las autoridades tributarias) - por aos
5. Conciliaciones entre la utilidad declarada y utilidad revisada por las autoridades
tributarias - por aos
6. Situacin de los aos an no revisados por las autoridades tributarias
G SINTESIS O COPIAS DE CONTRATOS Y ESCRITURAS
1. Propiedades
2. Aumentos de capital
3. Royalties
4. Trabajo

FORMATO DE CARTA DE REPRESENTACION

En relacin con su examen a los Sistemas de Informacin Basados en Computadora de


______________________a _________________y por ________________ y con el
26

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


propsito de expresar una opinin de si tales sistemas presentan razonablemente la
informacin procesada, los resultados de operaciones y la posicin financiera de
_________________ de conformidad con los principios de auditora generalmente
aceptados, confirmamos, a nuestro mejor saber y entender que las siguientes
representaciones fueron hechas a usted durante su examen.
1. Somos responsables de la presentacin responsable de la posicin financiera,
resultados de operaciones y procesos electrnicos de informacin de conformidad
con los principios de auditora generalmente aceptados.
2. Hemos puesto a su disposicin todos:
Los registros financieros y la informacin relativa.
Las minutas de las reuniones de los socios, directorio y los comits de directores, o
resmenes de los sucesos de las ltimas reuniones de las cuales las minutas no han
sido an preparadas.
Los manuales y documentacin de cada sistema de informacin.
3. No han existido:
Irregularidades que involucren a la gerencia o empleados quienes tienen funciones
importantes en el sistema de control interno contable y de P.E.D.
Irregularidades que involucren a otros empleados, que podran tener un efecto
material en los estados financieros y los procesos de P.E.D.
Comunicaciones de agencias reguladoras, referentes a no cumplimientos con, o
deficiencias en las prcticas de informacin financiera u otros asuntos que podran
tener un efecto material en los estados financieros.
4. No tenemos planes que puedan afectar significativamente los valores llevados o la
clasificacin de activos y pasivos.
5. Se ha registrado y revelado correctamente en los estados financieros, lo siguiente:
Las transacciones entre partes relacionadas y las cuentas por pagar y por cobrar
relacionadas, incluyendo ventas, compras, prstamos, transferencias, contratos de
arrendamiento y garantas.
Acciones de capital con opciones de recompra o acuerdos o acciones de capital
27

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


reservados para opciones, garantas, conversiones u otros requerimientos.
Contratos con instituciones financieras en las que se involucren compensacin de
saldos u otros contratos en las que se involucren restricciones de saldos de caja,
lneas de crdito o contratos similares.
Contratos para recomprar activos previamente vendidos.
6. No hay:
Violaciones o posibles violaciones de leyes o regulaciones, cuyos efectos deberan
ser considerados para ser revelados en los estados financieros o como una base
para registrar una prdida contingente.
Otros pasivos, ganancias o prdidas contingentes significativas que son requeridas
ser acumuladas o reveladas de acuerdo a la declaracin de normas de contabilidad
financiera N5 (FASB # 5).
7. No hay reclamos o imposiciones pendientes que nuestro Abogado nos haya notificado
son de probable confirmacin y deben ser revelados de acuerdo con lo indicado en la
declaracin de normas de contabilidad financiera N5.
8. No hay transacciones significativas que no hayan sido correctamente registradas en
los registros contables.
9. Se ha efectuado la provisin necesaria para reducir el exceso u obsolescencia de
inventarios a su valor neto realizable estimado (cuando es significativo).
10. La compaa tiene ttulos de propiedad satisfactorios de todos los activos que posee y
no hay derechos de retencin o gravmenes sobre tales activos, ni tampoco activos
dados en garanta.
11. Se han hecho provisiones para cualquier prdida significativa surgida en la
terminacin de cualquier compromiso de venta o en la inhabilidad de terminar algn
compromiso de venta.
12. Se ha hecho provisin para alguna prdida significativa surgida como resultado de
compromisos de compra por cantidades de inventarios en exceso de los
28

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


requerimientos normales o a precios en exceso de los que prevalecen en el mercado.
13. Hemos cumplido con todos los aspectos de los acuerdos contractuales que podran
tener un efecto significativo en los estados financieros en el caso de incumplimiento.
14. Las declaraciones de impuesto a la renta han sido examinadas e informadas por los
inspectores fiscales hasta ___________________ las declaraciones de los aos
desde ________________ estn pendientes de revisin. La provisin para
impuestos a la renta no pagados reflejados en el balance general es adecuada para
cubrir cualquier impuesto adicional resultante de los exmenes efectuados o de esos
a efectuarse por los inspectores fiscales.
15. Intentamos financiar sobre una base de largo plazo, las cuentas por pagar a corto
plazo en un monto de S/.______________ con los prstamos disponibles que estn
bajo el acuerdo de financiacin fechado _______________.
16. La informacin de costo de reemplazo incluida en los estados financieros ha sido
preparada y presentada de acuerdo con los mtodos y procedimientos sealados por
la comisin federal de valores negociados, y representan nuestra mejor estimacin de
la informacin requerida.
17. La informacin financiera interna incluida en los estados financieros ha sido
preparada y presentada de conformidad con los principios de contabilidad
generalmente aceptados, aplicados sobre bases consistentes.
18. No han ocurrido eventos posteriores a la fecha del balance general que requieran
ajustes o revelaciones en los estados financieros.

ARCHIVO GENERAL
INDICE

A. INFORMES DE AOS ANTERIORES


B. CARTAS A LA GERENCIA ANTERIORES
C. BALANCE DE PRUEBA

29

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


D. ESTADOS FINANCIEROS DEL CLIENTE
E. CARTA DE REPRESENTACION
F. ESTRACTOS DE ACTAS DE DIRECTORIO Y JUNTA DE ACCIONISTAS
G. CORRESPONDENCIA RELACIONADA CON EL CLIENTE
H. MEMORANDUMS Y COMUNICACIONES INTERNAS
I. FLUJOGRAMACION (INCLUYENDO NARRATIVAS)
J. REVISION DE SISTEMAS
K. REGISTRO DE DEFICIENCIAS DE CONTROL Y DISCUSIONES CON EL CLIENTE
DE CARTAS A LA GERENCIA
L. PRUEBA DE FUNCIONES Y ORGANIZACION
M. PRESUPUESTO Y ESTADO DEL PRESUPUESTO DE HORAS
N. RESUMEN DEL TIEMPO REAL UTILIZADO

MEMORANDUM DE COMPROMISO

CONTENIDO:
a._ Antecedentes de la compaa
b._ Personal asignado al trabajo
c._ Presupuesto de tiempo
d._ Plan detallado de trabajo
e._ reas crticas descritas
5.13. RESPONSABILIDADES DE AUDITORA INFORMATICA
DESARROLLAR Y/O ADQUIRIR:

Software de Auditora
Cuestionarios / Check-Lists
30

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


Mtodos/Tcnicas
Habilidad / Entrenamiento
Asistencia externa etc.
EVALUAR LO ADECUADO DE:

Estndares y Procedimientos establecidos y propuestos


Polticas y Procedimientos Financieros
Polticas y Procedimientos de los Sistema de Informacin
Estndares para Control de Proyectos
Estndares para diseo de programas y sistemas
Estndares para documentacin de sistemas, programas, manuales del usuario y
operacin.
EVALUAR SISTEMAS EN DESARROLLO:

Facilidades propuestas para mantener:


- Exactitud
- Confiabilidad
- Integridad
- Seguridad y Control
- Auditabilidad cuando lleguen a estar operacionales
- Uso eficiente de:
- Tiempo
- Esfuerzos
- Dinero
- Otros recursos
- Efectividad en realizar resultados deseados

31

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


EVALUAR SISTEMAS OPERACIONALES:

Lo adecuado de y el cumplimiento de las facilidades para mantener:


- Exactitud
- Confiabilidad
- Integridad
- Auditabilidad
- Seguridad y Control
El uso eficiente de los recursos
El grado de efectividad en satisfacer las necesidades del usuario.
REVISAR LA ADMINISTRACION DE LOS SISTEMAS DE INFORMACIN BASADOS
EN COMPUTADOR:

Prcticas y controles administrativos y operativos.


La forma en que se cumplen los objetivos.
EVALUAR A USUARIOS Y GRUPO DE SOPORTE:

Lo adecuado de y el cumplimiento de las funciones.


La forma en que mantienen la:
- Exactitud
- Confiabilidad
- Integridad
- Seguridad
- Control
- Auditabilidad
de los sistemas computacionales.
Eficiencia y eficacia de sus operaciones.
32

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


Probar y observar el cumplimiento de todas las:
- Polticas
- Procedimientos
- Estndares
Auditar registros financieros y de otro tipo por razones de integridad y consistencia; as
como una presentacin clara.
Proveer informacin a y trabajar cuando sea necesario con los Auditores Externos de la
Compaa
Conducir investigaciones sobre:
- Dficits
- Desapariciones y destrucciones misteriosas
- Fraudes y prdidas
como un requerimiento de la Administracin y Direccin de la Institucin.
Llamar la atencin de la Administracin y Direccin de la Institucin sobre riesgos
significativos en:
- El negocio
- Finanzas
- Legal
- Seguridad
y otros que aparezcan como imprudentes o excesivos e involucren consecuencias graves
que podran materializarse.
5.14 EL PROCESO DE AUDITORA

5.14.1 ESTUDIO PRELIMINAR


5.14.2 TRABAJO DE CAMPO
5.14.3 DOCUMENTACION DE EVIDENCIAS
5.14.4 PRODUCCION DEL REPORTE DE AUDITORA
5.14.5 SEGUIMIENTO DE LAS RECOMENDACIONES
33

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

5.14.1 ESTUDIO PRELIMINAR

Constitucin de la Organizacin
Organizacin
Archivo permanente de Auditora
Reportes previos de Auditora
Planes de corto y largo plazo (reportes de avances)
Presupuestos
Descripcin de funciones
Procedimientos de performance
Esquemas y diagramas de flujo de procesos
Manuales de Procedimientos
Copias de los logs de operaciones:
- Print-log
- Resum-log
- Operator-log
- Tope/Disk-log
- Change-log
Resmenes de utilizacin de recursos
Planes de contingencia y convenios.
FUENTES PARA STANDARES DE BUENA PRCTICA

- Ordenes de la Direccin
- Instructivos de trabajo en Manuales de Operacin
- Requerimientos de Presupuesto
- Requerimientos regulatorios obligatorios
- Registros de Performance
34

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


- Reportes sobre experiencias en la Industria
- Publicaciones de Organizaciones profesionales con autoridad
5.14.2 TRABAJO DE CAMPO

Se han establecido los controles necesarios


Existen y se aplican Procedimientos de Control
Las excepciones son identificadas, analizadas y comunicadas a los responsables
La accin correctiva se toma prontamente:
-

Controles que afecten significativamente la labor de Auditora.

La informacin concerniente a la naturaleza y extensin de controles.

Todos los procedimientos de Control y Auditora deben estar documentados.

5.14.3 DOCUMENTACION DE EVIDENCIAS

Especificar lo concerniente a los encuentros y luego conciliar stos con las guas y
estndares establecidos.
El soporte de la evidencia por encuentros deficientes debera demostrar la
existencia del defecto, proveer informacin concerniente a la materialidad del
defecto y producir datos suficientes para dar a la administracin una base
adecuada para actuar.
5.14.4 PRODUCCION DEL REPORTE DE AUDITORA

- Exacto, claro, conciso, oportuno y corts.


- Encuentros favorables y desfavorables.
- Resumen en cpsula:
Criterio
Descripcin
35

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


Causa
Efecto y recomendaciones
- Criterio Aplicado:
Por qu estndares fue juzgado?
- Descripcin de deficiencias:
Qu estuvo errado?
- Causa de la deficiencia:
Qu sucedi?
- Efecto de la deficiencia:
Qu efectos tuvo?
- Recomendaciones de los Auditores para accin correctiva:
Cul es la solucin?
- Acciones correctivas planes.
5.15 CARACTERISTICAS DEL AUDITOR INFORMATICO
5.15.1 ENTRENAMIENTO EN AUDITORA
5.15.2

ENTRENAMIENTO EN P.E.D.

5.15.3 CARACTERISTICAS PERSONALES


5.15.1. ENTRENAMIENTO EN AUDITORA

Conoce como auditar.

Est en posibilidad de aplicar herramientas modernas de auditora.

Se mantiene actualizado en las prcticas de auditora.

5.15.2. ENTRENAMIENTO EN SISTEMAS DE INFORMACIN BASADOS EN


COMPUTADORA

36

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

Anlisis y diseo de sistemas

Programacin de aplicaciones

Programacin de sistemas

Hadware

Base de datos/comunicacin de datos

5.15.3. CARACTERSTICAS PERSONALES


Inteligencia Analtica y sobre el promedio general
Habilidades superiores en comunicacin oral y escrita
Escuchador y pensador
Curioso e inquisitivo
Poltico
Profesional y maduro\pagebreak\
5.16. ORGANIZACION DE LA FUNCION DE A.I.
5.16.1. PERSONAL INVOLUCRADO
Nmero de aplicaciones
Medidas y complejidad de cada aplicacin
Frecuencia de Auditora
Nmero de Instalaciones
Diversidad de Tecnologa
Dispersin Geogrfica de Instalaciones
Localizaciones para el Desarrollo de Sistemas
Sitios de Preparacin de Datos
5.17. SISTEMA DE REGULACIN DE VOLTAJE
Hemos observado que el Centro de Cmputo no cuenta con un sistema que regule el
voltaje de la corriente elctrica que ingresa al computador.
37

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

En vista de que una falla de corriente puede daar tanto el equipo como la informacin,
recomendamos se implante un sistema de regulacin de voltaje que garantice el buen
funcionamiento del computador.
5.17.1. FUENTE DE ENERGA ELCTRICA

Hemos observado que el Centro de Cmputo no cuenta con una fuente de energa
elctrica (UPS) que de energa al computador cuando no hay corriente elctrica.
Creemos conveniente la utilizacin de uno de estos aparatos debido a que muchos
procesos de informacin al ser interrumpidos por fallas de corriente elctrica, ocasionan la
prdida de informacin. Una fuente de poder puede dar la energa necesaria para terminar
los procesos y apagar debidamente el equipo luego de interrumpirse la corriente elctrica.
5.17.2. SISTEMA DE AIRE ACONDICIONADO

Existe en el Centro de Cmputo un sistema de aire acondicionado funcionando; sin


embargo, no se mide con frecuencia la temperatura y humedad.
Con el propsito de mantener al equipo funcionando en los lmites de temperatura
sugeridos por el fabricante, sugerimos se mida con frecuencia y se controle la temperatura
y humedad, registrando dichas mediciones en algn formulario diseado para el efecto.
5.18. FUNCIONALIDAD DE LAS INSTALACIONES DEL DEPARTAMENTO DE
P.E.D
Hemos observado que las instalaciones y distribucin fsica del departamento de P.E.D.
no prestan facilidad para el trabajo del personal de dicha rea.
38

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


Con el propsito de facilitar el trabajo y optimizar los recursos recomendamos se
distribuya fsicamente el departamento de P.E.D.
5.18.1. LNEAS DE ALIMENTACIN ELCTRICA PARA LOS EQUIPOS DE P.E.D.

No existe una instalacin elctrica independiente para los equipos de Procesamiento


Electrnico de Datos.
Sugerimos se instale una red de alimentacin elctrica totalmente independiente para el
departamento de P.E.D. con el propsito de que no se den interferencias elctricas en los
equipos del centro de cmputo causadas por los otros aparatos de la compaa.
5.18.2. CONEXION A TIERRA DE LAS INSTALACIONES ELECTRICAS PARA EL
DEPARTAMENTO DE P.E.D
Las lneas elctricas que alimentan al departamento de P.E.D. no cuentan con una
conexin a tierra (neutro).
Recomendamos que se instalen a tierra (neutro) todas las lneas elctricas que dotan de
corriente a los equipos de P.E.D. puesto que ello evitar que las descargas elctricas
(muy comunes en nuestro medio) recaigan en los equipos, siendo desviadas stas por la
conexin a tierra.
5.18.3. MEDICION DE VOLTAJE, TENSION E INTENSIDAD DE LA CORRIENTE
ELECTRICA
Hemos observado que el Centro de Cmputo no cuenta con ningn aparato de medicin
que permita controlar el voltaje, tensin e intensidad de la corriente elctrica.
A efectos de evitar que excesivas cargas elctricas daen el equipo, recomendamos se
instalen sistemas de medicin que permitan controlar y evitar daos al equipo por efectos
39

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


de corriente elctrica.
5.19. SISTEMA DE DETECCIN DE INCENDIOS
No existe en el departamento de P.E.D. un sistema para deteccin de incendios. No
existe ningn tipo de alarma de activacin manual.
Sugerimos la instalacin de un sistema que permita detectar y avisar rpidamente un
inicio de incendio. Los equipos de P.E.D. pueden estropearse en forma total con el simple
contacto con fuego. El material encontrado en el departamento de P.E.D. es totalmente
combustible y muchos cables de corriente pasan cerca de papel y otros materiales de fcil
combustin. Es tambin recomendable la instalacin de un sistema de alarma de
incendios de activacin manual.
INDICACION DE "NO FUMAR"

Hemos observado que no existe en el Centro de Cmputo un letrero o indicativos visibles


y convenientemente escritos que sealen la prohibicin de fumar en dicho Centro.
Recomendamos ubicar un letrero o indicativos que sealen que est prohibido fumar en
dicho lugar. La ceniza y el humo deterioran y pueden incluso causar daos graves al
equipo de Procesamiento de Datos.

5.20. ACCESO AL DEPARTAMENTO DE P.E.D.


Hemos observado que el acceso al Departamento de P.E.D. no est restringido. Personal
ajeno a P.E.D. ingresa al departamento en busca de listados, etc.
Recomendamos restringir y reglamentar el acceso a dicho departamento nicamente a
personal autorizado, por lo delicado de sus labores y seguridad tanto del equipo como de
los procesos de informacin. A efectos de controlar el acceso, es recomendable utilizar
40

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


equipos especiales, que aseguren el ingreso slo de personal autorizado.

5.21. PLAN DE SEGURIDAD Y EMERGENCIA


No existe un plan de seguridad y emergencia que seale procedimientos a seguirse en
casos fortuitos para asegurar los procesos de informacin.
Recomendamos elaborar un plan de seguridad y emergencia que permita al
Departamento de P.E.D. reiniciar sus labores a la brevedad posible en casos de
emergencias, daos, siniestros, etc. Este plan debe contener procedimientos escritos
para cada tipo de emergencia, as como normas de seguridad fsica a observarse en
dichos casos.

5.22. LIMPIEZA DEL DEPARTAMENTO DE P.E.D


Hemos observado que el departamento de P.E.D. no se limpia con regularidad. Todo se
encontraba sucio y descuidado al momento de nuestra revisin.
Recomendamos que, bajo la vigilancia del personal del departamento de P.E.D., se
establezca un horario adecuado para que el personal de limpieza realice sus labores en
este departamento. El polvo, la suciedad y la falta de cuidado deterioran tanto los
acabados externos como los dispositivos electrnicos de los equipos.
5.22.1. ALFOMBRA EN EL DEPARTAMENTO DE P.E.D.

Hemos observado que el Departamento de Procesamiento Electrnico de Datos est


alfombrado.
Recomendamos dar un tratamiento especial a la alfombra con el fin de evitar energa
41

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


elctrica esttica perjudicial tanto para el equipo como para la informacin almacenada en
medios magnticos.
5.22.2. DESTRUCCION DE PAPEL UTILIZADO

Hemos observado que en el Departamento de P.E.D. a pesar de que cuenta con una
destructora de papel, ste no se destruye adecuadamente.
Recomendamos destruir adecuadamente el papel, listados, formularios, etc. que no se
vayan a usar. Sugerimos para el efecto la utilizacin de la destructora de papel.
5.23. REGLAMENTO DE SEGURIDAD FISICA DEL DEPARTAMENTO DE P.E.D.
No existe un reglamento o manual que trate acerca de la seguridad fsica del
departamento de P.E.D.
Sugerimos se elabore dicho documento, en el cual se detalle las labores de cada uno de
los integrantes del departamento de P.E.D. y a qu tipo de informacin tienen acceso
(niveles de acceso). Adems de horarios de entrada y salida, as como detalles sobre el
uso del computador por parte de cada persona, elaboracin, cambio y mantenimiento de
claves de acceso, etc. En este manual es recomendable que se fijen polticas de la
empresa en cuanto al manejo de la informacin y del departamento de P.E.D.
5.23.1. LIBRERIA PARA MANUALES

No existe una librera con llave, en la cual se centralicen todos los manuales del
computador, compiladores y programas. En nuestra evaluacin, observamos que muchos
manuales se encontraban en distintos lugares y sin que nadie los utilice.
Recomendamos se dote al departamento de P.E.D. de un lugar adecuado y resguardado
para mantener all toda la documentacin escrita del computador. De ser posible,
42

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


recomendamos se responsabilice a una persona para que maneje dicha librera.
5.23.1.1. CONTROL DE ENTREGA DE MANUALES Y DOCUMENTACION DEL
SISTEMA

Hemos observado que no se controla la entrega y utilizacin por parte del departamento
de P.E.D. de todo lo referente a manuales y documentacin escrita del sistema.
Recomendamos se lleve un registro que permita conocer a quin se presta los manuales,
para qu los utiliza y si los ha devuelto.
5.23.1.2. INVENTARIO DE MANUALES Y DOCUMENTACION DEL SISTEMA

No existe un inventario actualizado de manuales y documentacin escrita del sistema.


Recomendamos se mantenga siempre un inventario actualizado y completo de todos los
manuales y documentos del sistema con el fin de conocer qu se tiene, dnde se tiene y
quin es el responsable de ellos.
5.23.1.3. COPIAS DE MANUALES Y DOCUMENTACION

No es poltica del departamento de P.E.D. guardar en un lugar fuera de la empresa, una


copia de manuales y documentacin necesarias, nicas e imprescindibles.
Con el objeto de salvaguardar informacin y documentacin recogida en dichos manuales,
recomendamos guardar una copia de los mismos en un lugar fuera de la empresa, como
bancos, cajas de seguridad, sucursales, etc.
5.23.2. COPIAS DE DISCOS Y CINTAS

Hemos observado que tampoco se guardan copias de discos y cintas magnticas en un


lugar fuera de la empresa.
43

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

Reiteramos nuestra recomendacin de guardar una copia de informacin crtica en


lugares fuera de la empresa.
5.23.2.1. ACCESO A CINTAS Y DISCOS MAGNETICOS

Hemos observado que, a pesar de tener una caja de seguridad, sta siempre est abierta
y no se controla el acceso a cintas y discos magnticos por parte del personal de P.E.D.
Recomendamos se d buen uso de este medio de almacenamiento y se restrinja
totalmente el acceso a dicho material.
5.23.2.2. INVENTARIO DE CINTAS Y DISCOS MAGNETICOS

Al igual que en el caso de la documentacin y manuales, hemos observado que tampoco


se lleva un inventario actualizado y completo de cintas y discos magnticos. Las cintas y
discos no se encuentran adecuadamente identificados, muchas etiquetas se ven
repizadas y con borrones.
Sugerimos se lleve un registro de cada uno de estos medios en el cual consten entre otras
cosas, contenido del medio magntico, fecha en el que fue grabado, etc. Recomendamos
adems, etiquetar e identificar adecuadamente todo este tipo de material.
5.23.2.3. DESTRUCCION DE MEDIOS MAGNETICOS INSERVIBLES

Hemos observado que no se destruyen los medios magnticos, cintas o discos, que se
hallan daados. Se conservan discos y cintas magnticas de equipos anteriores.
Recomendamos se destruya adecuadamente todo material magntico inservible a fin de
44

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


no acumular basura en el departamento de P.E.D.
5.24. ACCESO A PROGRAMAS Y APLICACIONES
Hemos observado que, a pesar de existir una caja de seguridad, el acceso a programas y
aplicaciones, no est restringido ni reglamentado.
Sugerimos elaborar un reglamento que restrinja el acceso a dicha informacin a fin de
evitar que sta se filtre a otras instituciones.
5.24.1. MATERIAL CONFIDENCIAL Y DE ALTO RIESGO

El acceso a este tipo de material no es controlado y hemos observado que no se


encuentra claramente identificado y etiquetado.
Recomendamos identificar este tipo de material y reiteramos la recomendacin en el
sentido de controlar el acceso a cintas, discos y material escrito con informacin secreta y
confidencial.
5.24.2. POLITICAS DE PROPIEDAD Y DE PROTECCION DE LA INFORMACION

Hemos observado que no existen polticas acerca de la propiedad de la informacin


procesada ni de proteccin de la misma.
Sugerimos se dictaminen polticas adecuadas al respecto con el fin de salvaguardar la
informacin. Se debe tener especial cuidado con los programas y de ser posible se debe
registrar la propiedad de los mismos a fin de que otras instituciones no los utilicen.
5.24.3. PLAN

ESCRITO PARA SACAR

COPIAS

DE

RESPALDO DE LA

INFORMACION
45

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

No existe un plan o reglamento escrito para sacar copias de respaldo de la informacin.


Recomendamos se elabore un plan y se reglamente la forma en que se deben sacar las
copias de seguridad. Este documento debe contener entre otros detalles, el nombre o
nombres de las personas a cargo de dicho proceso, la frecuencia con que debe llevarse a
cabo, a quin se deben entregar, cmo se deben almacenar, estndares de identificacin,
etc.
5.25. STOCKS MINIMOS DE SUMINISTROS
Hemos observado que en el departamento de P.E.D. no existe un stock mnimo o de
seguridad de siministros tales como cintas, discos, papel, cintas de impresora, etc.
Sugerimos se calculen los stocks mnimos adecuados y se mantenga siempre dicha
cantidad en reserva a fin de que el departamento de P.E.D. no detenga sus labores por
este motivo.
5.25.1. CONTROL DEL USO DE SUMINISTROS

No es poltica de la empresa controlar el uso de los suministros del departamento de


P.E.D.
Recomendamos controlar el uso de suministros, sobre todo lo referente a cintas, discos,
cintas de impresora, papel, etc.
5.25. PROCEDIMIENTOS DE ENCENDIDO Y APAGADO DEL COMPUTADOR
No existen procedimientos escritos y aprobados que detallen la forma de encender o
apagar el computador ya sea en operaciones normales, de emergencia o cuando se ha
cortado la energa elctrica.
46

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

Recomendamos se elabore un manual de procedimientos de encendido y apagado del


equipo que contemple todas las circunstancias que puedan darse en el departamento de
P.E.D. e impliquen la realizacin de este proceso. Estos procedimientos son de carcter
crucial sobre todo cuando se va la corriente elctrica.
5.25. REGISTRO DE AVERIAS, DAOS E INTERRUPCIONES
No existe un registro que permita controlar y conocer acerca de averas, daos e
interrupciones de los equipos de P.E.D.
Recomendamos se elabore un registro adecuado que permita conocer acerca de averas,
daos e interrupciones de funcionamiento de los distintos equipos a fin de facilitar el
mantenimiento y controlar de mejor manera los equipos.
5.26. PROCESOS DE EMERGENCIA EN OTRAS LOCALIDADES
No es poltica de la empresa el mantener un convenio con otra institucin que posea la
misma clase de equipo con el fin de que, en caso de dao del equipo, se continuen los
procesos.
Recomendamos buscar una institucin que posea el mismo tipo de equipo y convenir la
continuacin de los procesos en dicho lugar en caso mide que se dae el equipo.
5.27. SOLICITUD DE PROCESOS DE INFORMACION Y HOJA DE RUTA
A pesar de que existe un formulario diseado para el efecto, no se utiliza un documento
adecuado que permita conocer quin solicit un proceso y cul es el usuario final de la
informacin.
Recomendamos hacer uso de dicho formulario de manera que se pueda conocer quin
47

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


solicit procesos y cul es el usuario final de la informacin procesada por el
departamento de P.E.D. La hoja de ruta permite conocer inclusive por qu personas ha
pasado la informacin.

5.28. CRONOGRAMAS DE TRABAJO


No existen cronogramas de trabajo que permitan planificar las labores del personal de
P.E.D.
Por ser las labores de P.E.D. en extremo delicadas, recomendamos se elabore
continuamente un cronograma de trabajo que permita asignar el uso de los recursos y la
buena labor del departamento de P.E.D.
5.29. DOCUMENTACION DE LOS PROGRAMAS
Hemos observado que la documentacin de los programas no es adecuada.
Recomendamos revisar, adecuar y completar la documentacin que acompaa a los
programas, esto es, anlisis, diseo, descripcin, flujogramas, listados, etc. Esta
informacin es indispensable para hacer cambios a programas, mantenimiento de
sistemas, etc. y el momento en que el personal de P.E.D. deja de laborar en la empresa
es el nico soporte para seguir utilizando y adecuando cada programa.
5.29.1. AUTORIZACIN DE CAMBIOS DE PROGRAMAS
No es poltica de la Empresa que la Gerencia apruebe los cambios o modificaciones a
programas que se hallan funcionando.
Recomendamos que la Gerencia intervenga directamente aprobando los cambios o
modificaciones a programas. Un cambio inadecuado puede resultar en prdida de
informacin.
48

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

5.29.2. REVISIN Y VERIFICACIN DE LOS CAMBIOS DE PROGRAMAS


Hemos observado que los programas una vez modificados no son adecuadamente
probados y no se lleva un registro de las pruebas realizadas antes de implementarlo
nuevamente al sistema.
Recomendamos probar detenida y adecuadamente los programas modificados y
documentar al detalle dichas pruebas como referencia futura. El riesgo de no probar
adecuadamente un programa es el de perder informacin.
5.29.3. PRUEBAS EN CONJUNTO DE PROGRAMAS Y APLICACIONES NUEVAS O
MODIFICADAS
Hemos observado que no se realizan pruebas adecuadas que permitan verificar si un
programa o aplicacin nueva o modificada afectan al resto de procesos.
Recomendamos efectuar pruebas que garanticen el que un nuevo programa o aplicacin o
un cambio o modificacin de las mismas no altere o afecte al resto del sistema.
5.29.4. DOCUMENTACIN DE CAMBIOS Y MODIFICACIONES A PROGRAMAS
No exixte documentacin que detalle los cambios hechos a programas y permita hacer un
seguimiento de los mismos.
Con el propsito de mantener una historia de la vida de cada programa, sugerimos se
aadan a la documentacin correspondiente a cada programa todos los cambios o
modificaciones que stos hayan sufrido. Dicha documentacin debera detallar todo lo
referente al proceso de cambio.
5.29.5. MANTENIMIENTO DE PROGRAMAS Y APLICACIONES
Hemos observado que no se revisa y se da un mantenimiento regular y adecuado a los
programas y aplicaciones.
49

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


Con el propsito de tener siempre los sistemas funcionando correctamente sugerimos se
elabore un plan de trabajo con la finalidad de verificar como estn trabajando los
programas y sugerir modificaciones que permitan optimizar los recursos disponibles.
5.29.6. DESTRUCCIN DE PRUEBAS DE PROGRAMAS
Hemos observado que no se destruyen las pruebas hechas a programas.
Recomendamos se destruya todo rezago inservible proveniente de las pruebas de
programas y se guarde nicamente lo indispensable para documentar adecuadamente
dichas pruebas.
5.29.7. INTEGRACIN DE PROGRAMAS Y APLICACIONES
Hemos observado que los programas y aplicaciones no estn integrados en un todo, cada
cual funciona como un mdulo independiente.
Recomendamos se integren en un todo todos los programas con el fin de que ciertos
procesos no sean repetidos y que la informacin ingresada al sistema sea procesada en
forma ptima.
5.29.8. PROCEDIMIENTOS
APLICACION

ACERCA DEL USO DE CADA PROGRAMA Y

No existen procedimientos detallados que hablen sobre el uso de cada programa y


aplicacin, sus objetivos, etc.
Recomendamos se elabore un documento que detalle objetivos, usuario final, etc. de cada
programa y aplicacin.
5.29.9. STANDARES PARA LA ELABORACIN DE PROGRAMAS, APLICACIONES
Y DOCUMENTACIN
No existen estndares que faciliten la elaboracin de programas, aplicaciones y
50

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


documentacin uniforme.
Recomendamos se fijen dichos estndares con el fin de que toda la informacin sea
presentada en forma clara y sobre todo uniforme.
5.29.10. CONTROL DE FALLAS DE FUNCIONAMIENTO DE PROGRAMAS Y
APLICACIONES
No existe un sistema de control escrito que detalle las fallas que han tenido los programas
y aplicaciones durante los procesos.
Recomendamos se implante este tipo de control ya que de l se desprenden una serie de
criterios para mejorar el sistema entero evitando que se repitan errores que muchas veces
detienen y dificultan los procesos.
5.30.

PROCEDIMIENTOS
INFORMACIN

ESCRITOS

PARA

GRABAR

RESTAURAR

No existen procedimientos escritos que detallen la forma, frecuencia, etc. en que se debe
grabar la informacin del computador en medios magnticos ni tampoco acerca de la
restauracin de informacin de los medios magnticos al computador.
Recomendamos elaborar un documento en que se detallen estos procedimientos.
5.31. TIEMPO DE UTILIZACIN DEL COMPUTADOR POR PARTE DE LOS
USUARIOS
No se controla el tiempo de uso del computador por parte del usuario.
Recomendamos elaborar listados que el mismo computador puede producirlos, que
detallen el tiempo de uso de cada terminal por cada usuario con el fin de tomar criterios
para optimizar el uso de tan importante recurso. Este tipo de listados ayudan a determinar
intentos fallidos de ingreso al computador por parte de personas no autorizadas.
5.32. MESA DE CONTROL
51

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


A pesar de que se revisan continuamente ciertos listados, no existe en el departamento de
P.E.D. una mesa de control de calidad de los listados.
Recomendamos se implante dicho sistema que entre otras cosas, garantiza la calidad de
la informacin procesada al ser sta revisada y adems puede controlar la entrega y
utilizacin final de la informacin.
5.33.PARTICIPACIN DE AUDITORA INTERNA EN EL DESARROLLO,
MODIFICACIN Y REVISIN DE PROGRAMAS Y APLICACIONES
No es poltica de la Empresa que Auditora Interna intervenga directamente en el
desarrollo, modificacin y revisin de programas.
Sugerimos una directa intervencin de Auditora Interna en estos procesos a fin de sugerir
y prevenir errores.
5.33.1. PLAN PARA DESARROLLO FUTURO
No existe un plan de desarrollo futuro de aplicaciones y programas ni tampoco acerca de
compras futuras de equipos.
Sugerimos se elabore un plan en el cual se detallen las perspectivas a futuro del
departamento de P.E.D., su expansin futura, planes y proyectos, etc.
5.33.2. PARTICIPACIN DE AUDITORA INTERNA EN LAS LABORES DE P.E.D.
No es poltica del Hotel la participacin de los auditores internos en las distintas labores
del departamento de P.E.D.
En vista de que la intervencin de Auditora Interna es siempre conveniente,
recomendamos participen en el desarrollo, pruebas y revisin de programas y
aplicaciones as como una revisin del cumplimiento de normas y procedimientos por
parte del departamento de P.E.D. Es importante que se hagan inspecciones regulares y
por sorpresa a dicho departamento.
52

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


5.34. PALABRAS CLAVES Y CDIGOS SECRETOS
Hemos observado que no se varan con la suficiente frecuencia las palabras claves y
cdigos secretos para entrar al sistema. Adems de que muchas de las claves son de uso
comn por parte de 3 o 4 usuarios.
Recomendamos controlar y variar dichas claves con regularidad a fin de evitar ingresos
irregulares y no autorizados por descuido o descubrimiento de dichas claves o cdigos.
Es indispensable tambin que cada usuario tenga su propia clave de acceso y que cada
uno sea responsable en forma individual del uso de dicha clave.
5.34.1. ACCESO A LA TABLA DE CLAVES Y CDIGOS SECRETOS
Hemos observado que todo el personal del departamento de P.E.D. tiene acceso a la
tabla donde se encuentran las claves y cdigos secretos.
Recomendamos se cuide celosamente dicha tabla y el acceso a la misma se limite
nicamente a la persona a cargo del departamento de P.E.D.
5.35. ORGANIZACIN DEL DEPARTAMENTO DE P.E.D.
Hemos observado que el departamento de P.E.D. no se encuentra correctamente
organizado y no existe segregacin de funciones, todo el personal hace de todo.
Recomendamos organizar adecuadamente el departamento y segregar las funciones de
cada persona del departamento. Para ello es aconsejable elaborar un manual de
organizacin donde se describan responsabilidades, obligaciones, etc.
5.35.1. SELECCIN Y EVALUACIN DEL PERSONAL DE P.E.D.
No existe una poltica definida acerca de seleccin y evaluacin de personal para el rea
de P.E.D.
Recomendamos elaborar polticas y mecanismos que permitan seleccionar y evaluar
adecuadamente al personal de P.E.D.
53

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

5.35.2. CAPACITACIN DEL PERSONAL DE P.E.D.


No es poltica de la Empresa capacitar continuamente al personal de P.E.D.
Recomendamos se elabore un plan de capacitacin para el personal que labora en esta
rea con el fin de que estn siempre al da en una ciencia que avanza muy rpido como es
la informtica.
5.35.2.1. FORMACIN DEL PERSONAL DE P.E.D. EN TCNICAS DE HARDWARE
No es poltica de la Empresa formar al personal de P.E.D. en tcnicas de Determinacin
de problemas y averas.
Debido a que es sumamente importante controlar el funcionamiento del equipo,
recomendamos se capacite al personal en tcnicas de manejo del equipo y control de
averas, a fin de que conozcan como proceder cuando stas se den.
5.35.3. MOTIVACIN DEL PERSONAL DE P.E.D.
Hemos observado una falta de motivacin del personal que labora en el departamento de
P.E.D.
Recomendamos trazar polticas que mantengan a dicho personal siempre motivado y
dispuesto a brindar todo su esfuerzo en favor de la institucin.
5.35.4. PERSONAL DE SEGURIDAD
El personal de seguridad de la Empresa no est informado acerca de medidas y cuidados
especficos que se deben tener en cuenta con relacin al departamento de P.E.D.
Sugerimos se informe a dicho personal sobre ello a fin de que mantengan un especial
cuidado con el departamento de P.E.D.

54

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


5.35.4.1. SEGURIDAD DE LA INFORMACIN
LABORALES CON PERSONAL DE P.E.D.

AL TERMINAR RELACIONES

Hemos observado que no existe una poltica definida acerca de qu medidas de


seguridad se deben tomar cuando est por cesar o ha cesado la relacin laboral con
alguna persona del departamento de P.E.D.
Sugerimos elaborar polticas que permitan salvaguardar la informacin cuando cesa la
relacin laboral con alguna persona de dicho departamento.
5.35.5. VACACIONES OBLIGATORIAS
No existe una poltica de vacaciones obligatorias para el personal del departamento de
P.E.D.
Recomendamos se definan polticas que obliguen al personal de P.E.D. a tomar
vacaciones a fin de optimizar su rendimiento.
5.36. MICROCOMPUTADORAS
Una microcomputadora es un tipo de computadora que utiliza un microprocesador como
unidad central de procesamiento (CPU). Generalmente son computadoras que ocupan
espacios fsicos pequeos, comparadas a sus predecesoras histricas, las mainframes y
las minicomputadoras.

5.36.1. RESPALDOS DEL DISCO DURO A DISQUETES


Hemos observado que no se sacan respaldos en disquetes de la informacin contenida
en el disco duro de los microcomputadores.
Recomendamos se realice este proceso a fin de que exista siempre informacin que
permita continuar los procesos. De ser posible es recomendable sacar respaldos del
disco duro con dispositivos de cintas magnticas.
En que nos ayuda tener un respaldo del sistema, una imagen o copia exacta del
55

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


disco duro?
Esto nos es til en caso de que de la nada nuestro disco duro deje de funcionar,
estaramos perdidos si no tenemos una copia del disco, pero si tenemos una copia o
imagen exacta, no nos preocupamos, sacamos el disco duro defectuoso, ponemos en el
que tenemos el respaldo, y no se notara la diferencia solo que el disco estara funcionando

5.36.2. PROGRAMAS ORIGINALES


No se utilizan programas originales sino copias de Lotus 123, Easywriter y otros.
Recomendamos el uso de originales y no copias debido a que estos programas se
encuentran registrados en nuestro medio. Cabe destacar que el programa Lotus 123 en
particular ya goza de registro y derechos reservados en Ecuador. El uso de copias
pudiera ocasionar problemas de tipo legal a la Empresa.
5.36.3. INFORMACIN ALMACENADA EN EL DISCO DURO
Hemos observado que la informacin almacenada en el disco duro de las computadoras
est desordenada. Mucha informacin no es ni siquiera til para la Empresa.
Recomendamos utilizar los mecanismos que ofrece el computador para ordenar y
organizar mejor el trabajo con el fin de optimizar recursos.
5.36.4. PLIZA DE SEGUROS DE MICROCOMPUTADORAS
No existe una pliza de seguros para microcomputadoras.
Sugerimos contratar a la brevedad posible dicha pliza con el fin de salvaguardar los
intereses de la Empresa y su inversin en este tipo de equipos.
5.36.5. MANUALES DE LOS MICROCOMPUTADORES
Hemos observado que los manuales que vienen con los microcomputadores se han
56

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


perdido.
Recomendamos responsabilizar al personal acerca del cuidado de estos documentos a
fin de que no hayan prdidas a futuro; ya que seria muy importante leer. Ya que NADIE lo
sabe todo y por eso existen manuales con instrucciones. Las instrucciones no solo son
importantes en el mundo de la informatica, pero en el mundo real.

57

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

CUESTIONARIO DE CONTROL INTERNO


MQR

PARA SISTEMAS COMPUTARIZADOS


<1 DE 12>

CLIENTE : ______________________________________
PERIODO : _________

PREPARADO POR : ________________________________


FECHA
: _________

REVISADO POR : ________________________________


FECHA
: _________

INSTRUCCIONES GENERALES

OBJETIVO :

El objetivo de este cuestionario es ayudar al auditor en la eva-


luacin del control interno en compromisos en que usan equipos de pro-
cesamiento electrnico de datos en los procesos contables importantes.

La evaluacin de control interno del ambiente de procesamiento


electrnico de datos determinar el enfoque de auditora a seguir y la
confiabilidad en los controles internos.

Este estudio y evaluacin tienen como meta el determinar la con-


fiabilidad en los estados financieros preparados por el departamento
de procesamiento electrnico de datos y ofrecer recomendaciones sobre
el control interno de dicho departamento al cliente, las cuales pueden
incluirse en la carta a la gerencia o en un informe independiente.

CUANDO DEBE USARSE :

Este cuestionario debe usarse en todos los compromisos en que se


usan equipos de procesamiento electrnico de datos para llevar a cabo
operaciones contables importantes. Es aplicable en compromisos donde
dichos procesos se llevan a cabo ya sea en las propias instalaciones
del cliente o en un servicio de computo externo.
Su aplicacin es
obligatoria.

QUIEN DEBE PREPARARLO :

Los procedimientos descritos en este cuestionario pueden ser


llevados a cabo por el contador encargado o por la colaboracin de un
especialista en PED. En aquellos procesos en que el contador encargado
tenga dificultad, debe acudir al especialista en PED.

En la aplicacin de este cuestionario, se espera que cada conta-


dor aplique su juicio profesional con el fin de alcanzar los objetivos
propuestos.

COMO DEBE PREPARARSE :

Este cuestionario consta de varias preguntas las cuales tienen


tres posibles respuestas; stas son SI, NO N/A. Debe contestarse en
el casillero correspondiente. Adicionalmente, existe una columna para
incluir comentarios los que deben especificarse claramente.
De ser
necesario pueden aadirse a este cuestionario hojas adicionales que
aclaren cualquier comentario.

Al final de cada pregunta aparece el interrogante: "CARTA A LA


GERENCIA?"; esto se refiere a que, a criterio de la persona que est
evaluando, se debe o no incluir dicho comentario en la carta a la ge-
rencia.

Si fuera necesario, se pueden aadir preguntas a este cuestiona-


rio con el objetivo de aclarar la evaluacin.

_________________________
_________________________

ELABORADO POR :
APROBADO POR :

ADVERTENCIA :

Este cuestionario es de uso exclusivo de


. No

puede ser reproducido ni utilizado sin una autorizacin escrita por

parte de los propietarios. DERECHOS RESERVADOS.

58

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

DESCRIPCION DEL COMPUTADOR


<2 DE 12>

FABRICANTE :
MODELO:

_________________________________________
_______________________

_________________________________________
_______________________

TERMINALES

UBICACION :
USO PRINCIPAL :

__________________________________________
_______________________

__________________________________________
_______________________

__________________________________________
_______________________

__________________________________________
_______________________

__________________________________________
_______________________

__________________________________________
_______________________

__________________________________________
_______________________

PROGRAMAS Y APLICACIONES

PROGRAMA O APLICACION :
FABRICANTE :
DESCRIPCION :

SISTEMA OPERATIVO
___________________
________________

SISTEMA DE ACCESO
___________________
________________

____________________________
___________________
________________

____________________________
___________________
________________

____________________________
___________________
________________

____________________________
___________________
________________

____________________________
___________________
________________

APLICACIONES QUE AFECTAN LA INFORMACION CONTABLE

APLICACION :
CUENTAS DEL MAYOR GENERAL :

__________________________________
_______________________________

__________________________________
_______________________________

__________________________________
_______________________________

__________________________________
_______________________________

__________________________________
_______________________________

__________________________________
_______________________________

__________________________________
_______________________________

59

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


__________________________________
_______________________________

SEGURIDADES Y CONTROLES FISICOS


<3 DE 12>

PREGUNTA :
SI NO N/A OBSERVACIONES :

1.- Cuenta el sistema con un regu-

lador de voltaje?

Carta a la gerencia?

2.- Si la respuesta a la pregunta

anterior es s, est funcio

nando adecuadamente?

Carta a la gerencia?

3.- Cuenta el sistema con una fuen-

te de poder capaz de dar ener-

ga al computador cuando se su-

prime la corriente elctrica?

Carta a la gerencia?

4.- Si la respuesta a la pregunta

anterior es s, est funcio

nando adecuadamente? Indique

en observaciones cuntos minu-

tos de energa le da al compu-

tador.

Carta a la gerencia?

5.- Existe en el centro de cmputo

un extinguidor de incendios?

Carta a la gerencia?

6.- Si la respuesta al pregunta an-

terior es s, est dentro del

perodo de carga y con la pre-

sin adecuada?

Carta a la gerencia?

7.- Cuenta el sistema con un equi-

po de aire acondicionado ade

cuado?

Carta a la gerencia?

8.- Se mide con frecuencia la tem-

peratura y la humedad?

Carta a la gerencia?

9.- Las instalaciones de PED se

encuentran en un lugar funcio-

nal?

Carta a la gerencia?

10.- Las lneas elctricas de PED

son independientes del resto de

la instalacin elctrica?

Carta a la gerencia?

11.- Se mide con frecuencia la ten-

sin e intensidad de la corrien-

te elctrica?

Carta a la gerencia?

12.- La instalacin elctrica de

PED tiene coneccin a tierra?

Carta a la gerencia?

13.- Existe algn sistema de detec-

cin de incendios?

Carta a la gerencia?

14.- Existe algn letrero o indica-

dor de que est prohibido fumar

convenientemente escrito o di-

fundido?

Carta a la gerencia?

15.- Est restringido el acceso al

departamento de PED?

Carta a la gerencia?

16.- Existe algn sistema de alar-

ma que permita detectar intru-

60

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

sos en el departamento PED?

Carta a la gerencia?
17.- Tiene el departamento PED al
guna puerta de escape?

Carta a la gerencia?

SEGURIDADES Y CONTROLES FISICOS (CONTINUACION)


<4 DE 12>

PREGUNTA :
SI NO N/A OBSERVACIONES :

18.- Existe algn equipo de control

de acceso al departamento de

PED? Si existe alguno, descr-

balo brevemente en observacio-

nes.

Carta a la gerencia?

19.- Existe algn plan de seguridad

o de emergencias escrito y apro-

bado?

Carta a la gerencia?

20.- Se ha contratado alguna pliza

de seguros?

Carta a la gerencia?

21.- Si la respuesta a la pregunta

anterior es s, cubre sta to-

do riesgo?

Carta a la gerencia?

23.- Se limpia regularmente el cen-

tro de PED?

Carta a la gerencia?

24.- Si la respuesta a la pregunta

anterior es s, se controla al

personal de limpieza?

Carta a la gerencia?

25.- Est alfombrado el centro de

PED?

Carta a la gerencia?

26.- Si la respuesta a la pregunta

anterior es s, se le ha dado

algn tratamiento a la alfombra

para evitar la energa esttica?

Carta a la gerencia?

27.- Se hace mantenimiento peridi-

co a los equipos de computacin?

Carta a la gerencia?

28.- Se destruye adecuadamente todo

papel, listado, etc. al que no

se le va a dar uso?

Carta a la gerencia?

29.- Cuenta el centro de cmputo

con una destructora de papeles?

Carta a la gerencia?

30.- Si la respuesta a la pregunta

anterior es s, funciona sta

adecuadamente?

Carta a la gerencia?

31.- Existe algn manual o regla

mento que trate acerca de la

seguridad fsica del centro de

PED?

Carta a la gerencia?

32.- Existe algn tipo de librera

con llave para guardar los ma-

nuales y documentacin de los

programas y aplicaciones?

Carta a la gerencia?

33.- Se controla la entrega de di-

chos manuales y documentacin

as como la recepcin de los

61

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

mismos?

Carta a la gerencia?
34.- Existe un inventario actuali
zado de los manuales y documen
tacin de los programas y apli
caciones?

SEGURIDADES Y CONTROLES FISICOS (CONTINUACION)


<5 DE 12>

PREGUNTA :
SI NO N/A OBSERVACIONES :

35.- Si la respuesta a la pregunta

anterior es s, se encuentran

estas copias bajo llave y custo-

dia?

Carta a la gerencia?

36.- Estn los discos, cintas y

cualquier otro medio magntico

convenientemente almacenados en

salas o armarios especiales?

Carta a la gerencia?

37.- Se guarda en una localidad dis-

tinta a la de la empresa una co-

pia de los discos y cintas?

Carta a la gerencia?

38.- Si la respuesta a la pregunta

anterior es s, se encuentran

estas copias bajo llave y custo-

dia?

Carta a la gerencia?

40.- Est restringido el acceso a

manuales, documentacin, libre-

ras, discos, cintas y medios

magnticos?

Carta a la gerencia?

41.- Est marcado o identificado

perfectamente el material con-

fidencial?

Carta a la gerencia?

42.- Se sacan suficientes copias de

seguridad de los archivos prin-

cipales, sobretodo los del rea

contable?

Carta a la gerencia?

43.- Existe algn plan escrito para

sacar copias de respaldo peri-

dicamente?

Carta a la gerencia?

44.- Existe un inventario actuali-

zado de cintas y discos que per-

mita controlar su ubicacin y

antigedad?

Carta a la gerencia?

45.- Se destruyen los discos y cin-

tas que estn daados o fuera

de uso?

Carta a la gerencia?

46.- Existe un stock mnimo o de

seguridad de los suministros

(papel, cintas, discos, etc.)

en el departamento de PED?

Carta a la gerencia?

47.- Existe procedimientos de ope-

racin escritos para encender y

apagar el computador ya sea en

operaciones normales o cuando

se va la energa elctrica?

Carta a la gerencia?

48.- En caso de que el equipo sufra

un dao, hay la posibilidad de

62

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

continuar los procesos en algu


na otra institucin o empresa

que tenga el mismo equipo?

Carta a la gerencia?
50.- Existe control adecuado sobre

el uso de suministros de PED?

SEGURIDADES Y CONTROLES FISICOS (CONTINUACION)


<6 DE 12>

PREGUNTA :
SI NO N/A OBSERVACIONES :

51.- Se lleva un registro adecuado

de averas e interrupciones en

el funcionamiento del equipo de

computacin?

Carta a la gerencia?

52.- Se evita la operacin del com-

putador por personas no autori-

zadas?

Carta a la gerencia?

53.- Est el centro de cmputo ale-

jado de zonas peligrosas?

Carta a la gerencia?

54.- El techo y suelo del centro de

cmputo estn hechos de algn

material incombustible?

Carta a la gerencia?

55.- Existe algn conducto de agua

que atraviese el centro de PED?

Carta a la gerencia?

56.- Pasan los cables de corriente

elctrica cerca de material com-

bustible?

Carta a la gerencia?

57.- Las puertas del centro de cm-

puto se cierran solas mediante

algn mecanismo?

Carta a la gerencia?

58.- Existe alguna alarma de incen-

dios de activacin manual?

Carta a la gerencia?

59.- Est la informacin en discos

y cintas magnticas correctamen-

te etiquetados y ordenados?

Carta a la gerencia?

60.- Existe algn mecanismo de con-

trol que permita conocer a quin

se le entrega la informacin

procesada por el computador?

Carta a la gerencia?

61.- Existe algn tipo de solicitud

para la emisin de listados e

informacin por parte de PED?

Carta a la gerencia?

62.- Tiene la informacin y listados

emitidos por PED una hoja de ru-

ta que permita conocer el desti-

no y utilizacin de dicha infor-

macin?

Carta a la gerencia?

63.- Estn las ventanas del centro

de cmputo protegidas contra in-

trusos?

Carta a la gerencia?

64.- Existen cronogramas de trabajo

para el uso del equipo?

Carta a la gerencia?

63

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


65.- Se retienen copias de la infor-

macin el tiempo necesario para

satisfacer requisitos operacio-

nales y legales?

Carta a la gerencia?

SEGURIDADES Y CONTROLES EN PROGRAMAS Y APLICACIONES


<7 DE 12>

PREGUNTA :
SI NO N/A OBSERVACIONES :

1.- Es adecuada la documentacin

de los programas?

Carta a la gerencia?

2.- Los cambios, modificaciones o

nuevos programas son autorizados

antes de proceder a su realiza-

cin?

Carta a la gerencia?

3.- Se revisan y se prueban adecua-

damente los programas antes de

entregarlos a los usuarios?

Carta a la gerencia?

4.- Se documenta adecuadamente

cualquier cambio o modificacin

a un programa?

Carta a la gerencia?

5.- Participan los auditores in

ternos en el desarrollo y re

visin de los programas y apli-

caciones?

Carta a la gerencia?

6.- Existe un plan para el desarro-

llo futuro de programas y apli-

caciones para y la adquisicin

del equipo necesario para ello?

Carta a la gerencia?

7.- Existen polticas en cuanto a

la propiedad de datos y protec-

cin de los mismos?

Carta a la gerencia?

8.- El acceso a los programas est

restringido y reglamentado para

el departamento de PED?

Carta a la gerencia?

9.- Se preparan manuales de cada

programa para el usuario?

Carta a la gerencia?

10.- Se da mantenimiento a los pro-

gramas y aplicaciones en forma

regular?

Carta a la gerencia?

11.- Estn integrados los programas

y aplicaciones en un todo?

Carta a la gerencia?

12.- Existe una mesa de control que

revise que los listados e infor-

macin emitida por el computador

estn correctos?

Carta a la gerencia?

13.- Existen procedimientos escritos

y detallados con instrucciones

concretas acerca del uso de cada

programa y aplicacin?

Carta a la gerencia?

14.- Est cada usuario o grupo de

64

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

usuarios provisto de una palabra

clave o cdigo secreto de segu-

ridad que restrinja su acceso

al computador?

Carta a la gerencia?

15.- Se vara con suficiente fre

cuencia la tabla de palabras

claves o cdigos secretos?

Carta a la gerencia?

est restringido?

17.- Existen otros procedimientos

de seguridad fsica adicionales

(llaves, tarjetas magnticas,

SEGURIDADES Y CONTROLES EN PROGRAMAS Y APLICACIONES (CONT.) <8 DE 12>

PREGUNTA :
SI NO N/A OBSERVACIONES :

etc.) para restringir el acce-

so al computador?

Carta a la gerencia?

18.- Las fallas de funcionamiento

en los programas son documenta-

das y revisadas adecuadamente?

Carta a la gerencia?

19.- Los programas y aplicaciones

son autorizados por gerencia

antes de ser puestos en opera-

cin?

Carta a la gerencia?

20.- Existen procedimientos escri-

tos para descargar o restaurar

informacin al computador?

Carta a la gerencia?

21.- Se controla el tiempo de utili-

zacin del computador por parte

de los usuarios?

Carta a la gerencia?

22.- Los documentos fuente de las

transacciones son detenidos en

el centro de PED?

Carta a la gerencia?

23.- Emite el sistema un listado de

control donde se especifique la

hora, la fecha, el tiempo de

utilizacin, los programas usa-

dos, el usuario, etc.?

Carta a la gerencia?

24.- Se hacen inspecciones regulares

y por sorpresa del contenido de

programas y aplicaciones?

Carta a la gerencia?

25.- Existen eestndares establecidos

para la elaboracin y documenta-

cin de los programas?

Carta a la gerencia?

26.- Se destruyen las pruebas de los

programas?

Carta a la gerencia?

27.- Existen procedimientos para

probar programas modificados de

manera que aseguren el no daar

a los dems?

Carta a la gerencia?

28.- Hay procedimientos y controles

para detectar un intento de in-

gresar al computador por parte

de personas no autorizadas?

Carta a la gerencia?

29.- Tienen acceso los usuarios a

la documentacin y a los progra-

65

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

mas de manera que puedan modifi-

carlos?

Carta a la gerencia?

30.- Existe algn contrato o conve-

nio para procesar informacin

fuera de las instalaciones del

cliente?

Carta a la gerencia?

SEGURIDADES Y CONTROLES EN LA ORGANIZACION


<9 DE 12>

PREGUNTA :
SI NO N/A OBSERVACIONES :

1.- Est adecuadamente organizado

el departamento de PED? Elabore

un organigrama.

Carta a la gerencia?

2.- Existe separacin de funciones

y de responsabilidades en el

departamento de PED?

Carta a la gerencia?

3.- Se selecciona adecuadamente al

personal de PED?

Carta a la gerencia?

4.- Se capacita continuamente al

personal de PED?

Carta a la gerencia?

5.- Se motiva adecuadamente al per-

sonal de PED?

Carta a la gerencia?

6.- Est el personal de operacin

del computador adecuadamente

formado en tcnicas de determi-

nacin de problemas y averas?

Carta a la gerencia?

7.- Est informado el personal de

seguridad sobre medidas y cui-

dados especficos relativos a

la seguridad del departamento

de PED?

Carta a la gerencia?

8.- Existe un manual de organiza-

cin en el cual se describa

responsabilidades y posiciones

del departamento de PED?

Carta a la gerencia?

9.- Existen polticas para mantener

la seguridad cuando termina la

relacin laboral con un emplea-

do?

Carta a la gerencia?

10.- Se evalua y supervisa al perso-

nal de PED con regularidad?

Carta a la gerencia?

11.- Existen polticas de vacaciones

obligatorias para el personal de

PED?

Carta a la gerencia?

12.- Tiene auditora interna un al-

cance sin restricciones para

investigar cualquier aspecto re-

ferente al departamento de PED?

Carta a la gerencia?

66

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

DIAGRAMAS
<10 DE 12>

ORGANIGRAMA DE PED

COMPUTADOR Y TERMINALES

67

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

MICROCOMPUTADORAS
<11 DE 12>

FABRICANTE :
MODELO :
CANTIDAD :
DESCRIPCION :

________________
____________
___________
_______________________

_______________________

DISCO DURO :
SI ___
NO ___

_______________________

PROGRAMAS UTILIZADOS : VERSION: FABRICANTE: DESCRIPCION:


ORIGINAL:

SISTEMA OPERATIVO
________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

FABRICANTE :
MODELO :
CANTIDAD :
DESCRIPCION :

________________
____________
___________
_______________________

_______________________

DISCO DURO :
SI ___
NO ___

_______________________

PROGRAMAS UTILIZADOS : VERSION: FABRICANTE: DESCRIPCION:


ORIGINAL:

SISTEMA OPERATIVO
________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

68

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


FABRICANTE :
MODELO :
CANTIDAD :
DESCRIPCION :

________________
____________
___________
_______________________

_______________________

DISCO DURO :
SI ___
NO ___

_______________________

PROGRAMAS UTILIZADOS : VERSION: FABRICANTE: DESCRIPCION:


ORIGINAL:

SISTEMA OPERATIVO
________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________


______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

MICROCOMPUTADORAS
<12 DE 12>

FABRICANTE :
MODELO :
CANTIDAD :
DESCRIPCION :

________________
____________
___________
_______________________

_______________________

DISCO DURO :
SI ___
NO ___

_______________________

PROGRAMAS UTILIZADOS : VERSION: FABRICANTE: DESCRIPCION:


ORIGINAL:

SISTEMA OPERATIVO
________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

FABRICANTE :
MODELO :
CANTIDAD :
DESCRIPCION :

________________
____________
___________
_______________________

_______________________

DISCO DURO :
SI ___
NO ___

_______________________

PROGRAMAS UTILIZADOS : VERSION: FABRICANTE: DESCRIPCION:


ORIGINAL:

SISTEMA OPERATIVO
________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

______________________ ________ ___________ _____________ _________

69

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


______________________ ________ ___________ _____________ _________

OBSERVACIONES:

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

______________________________________________________________________

6. GLOSARIO
1) Algoritmo: Conjunto ordenado y finito de operaciones que permite hallar la solucin de
un problema
2) rbol: En ciencias de la informtica, un rbol es una estructura de datos ampliamente
usada que imita la forma de un rbol (un conjunto de nodos conectados).
3) rbol binario: Un rbol binario es una estructura de datos en la cual cada nodo siempre
tiene un hijo izquierdo y un hijo derecho. No pueden tener ms de dos hijos (de ah el
nombre "binario").
4) Arquitectura de Computadores: Trata del diseo interno de los componentes de un
computador y la comunicacin entre ellos en un lenguaje llamado ensamblador, que es el
lenguaje propio de la mquina
5 ) Auditora de sistemas informticos: examen riguroso al sistema con el fin de evaluar su
situacin.

70

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


6) Antivirus: programas cuyo objetivo es detectar y/o eliminar virus informticos.
7) Archivos: conjunto de bits almacenado en un dispositivo.
8) Aplicaciones: Es un tipo de programa informtico diseado como herramienta para
permitir a un usuario realizar uno o diversos tipos de trabajo.
9) Base de Datos: Un banco de datos similar a una biblioteca que contiene documentos y
textos indexados para su consulta, pero esta base de datos tiene un formato electrnico,
que ofrece muchas ms soluciones al problema de almacenar datos.
10) BIOS: un programa registrado en una memoria no voltil (antiguamente en memorias
ROM, pero desde hace tiempo se emplean memorias flash). Este programa es especfico
de la placa base y se encarga de la interfaz de bajo nivel entre elmicroprocesador y
algunos perifricos. Recupera, y despus ejecuta, las instrucciones del MBR (Master Boot
Record), o registradas en un disco duro o SSD, cuando arranca el sistema operativo.
11) Bit: (acrnimo: Binary digit. En ingls Dgito Binario.) Un bit es un dgito del sistema de
numeracin binario.
12) Byte: secuencia de bits contiguos, equivalente a un octeto, osea a ocho Bits )
13)Blog: Bitcora digital o bitcora, es un sitio web peridicamente actualizado que
recopila cronolgicamente textos o artculos de uno o varios autores, , donde el autor
conserva siempre la libertad de dejar publicado lo que crea pertinente.
14) Computacin: Bsicamente, el tratamiento de la informacin, mediante un
computador.

71

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


15) CD-ROM: ( En ingles: Compact Disc - Read Only Memory) Es un prensado disco
compacto que contiene los datos de acceso, pero sin permisos de escritura, un equipo de
almacenamiento y reproduccin de msica.
16)Compiladores: Son aquellos programas que traducen rdenes de un usuario, mediante
un programa computacional o una orden dada por consola, que estn conformados por
letras y nmeros, a un lenguaje de mquina conformado por secuencias de impulsos
elctricos.
17) Computacin para las Ciencias: Rama de la computacin orientada al desarrollo de
modelos matemticos y computacionales que representan problemas cientficos o
tecnolgicos, para su manipulacin y control.
18) CD-RW: ( En ingls: Compact Disc ReWritable) Es un soporte digital ptico utilizado
para almacenar cualquier tipo de informacin. Este tipo de CD puede ser grabado
mltiples veces, ya que permite que los datos almacenados sean borrados.
19) Cintas Magnticas: Es un tipo de medio o soporte de almacenamiento de datos que
se graba en pistas sobre una banda plstica con un material magnetizado, generalmente
xido de hierro o algn cromato. El tipo de informacin que se puede almacenar en las
cintas magnticas es variado, como vdeo, audio y datos.
20)Circuitos Integrados: Es conocido como chip o microchip, es una pastilla pequea de
material semiconductor, de algunos milmetros cuadrados de rea, sobre la que se
fabrican circuitos electrnicos generalmente mediante fotolitografa y que est protegida
dentro de un encapsulado de plstico o cermica.
21) Complemento o Plug-in: es una aplicacin que se relaciona con otra para aportarle
una funcin nueva y generalmente muy especifica.
72

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

22) Computador: Tambin denominada ordenador, es una mquina electrnica que recibe
y procesa datos para convertirlos en informacin til
23) CPU (Unidad Central de Procesos ): ( Acrnimo en ingls de central processing unit),
Conocido como procesador o microprocesador, es el componente del computador y otros
dispositivos programables, que interpreta las instrucciones contenidas en los programas y
procesa los datos.
24) Dato: El dato es una representacin simblica (numrica, alfabtica, algortmica etc.),
un atributo o una caracterstica de una entidad
25) Depuracin de programas: es el proceso de identificar y corregir errores de
programacin. En ingls se le conoce como debugging, ya que se asemeja a la
eliminacin de bichos (bugs), manera en que se conoce informalmente a los errores de
programacin.
26) Diagrama de flujo (Tipo de Algoritmo): Es una representacin grfica de un algoritmo
o proceso.
27) Direccin IP: Es una etiqueta numrica que identifica, de manera lgica y jerrquica, a
un interfaz (elemento de comunicacin/conexin) de un dispositivo (habitualmente una
computadora) dentro de una red que utilice el protocolo IP (Internet Protocol), que
corresponde al nivel de red del protocolo TCP/IP.
28) Disco Duro: (En ingls Hard Disk Drive, HDD) es un dispositivo de almacenamiento
de datos no voltil que emplea un sistema de grabacin magntica para almacenar datos
digitales.

73

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


29) Disco Optico: Es un formato de almacenamiento de datos digital, que consiste en un
disco circular en el cual la informacin se codifica, se guarda y almacena, haciendo unos
surcos microscpicos con un lser sobre una de las caras planas que lo componen.
30) Dispositivos: Son componentes que leen o escriben datos en medios o soportes de
almacenamiento, y juntos conforman la memoria o almacenamiento secundario de la
computadora.
31) DVD: (En ingls Digital Versatile Disc) (DiscoVerstil Digital) Es un disco ptico de
almacenamiento de datos.
32) DVD-RW: Es un DVD regrabable en el que se puede grabar y borrar la informacin
varias veces. La capacidad estndar es de 4,7 GB.
33) Enlaces: el enlace, un navegador web de cdigo abierto en modo de texto.
34) Estructuras de datos: Relativo a cmo se ordenan u organizan los datos en
computador para ser utilizados por los programas computacionales.
35) Gadget: Es un dispositivo que tiene un propsito y una funcin especfica,
generalmente de pequeas proporciones, prctico y a la vez novedoso.
36) GPU (Unidad de Procesamiento Grafico): (Acrnimo del ingls graphics processing
unit) es un procesador dedicado al procesamiento de grficos u operaciones de coma
flotante, para aligerar la carga de trabajo del procesador central en aplicaciones como los
videojuegos y/o aplicaciones 3D interactivas.
37) Graficacin por Computadora: Campo de la informtica visual, donde se utilizan
computadoras para generar imgenes visuales sintticamente o manejar la informacin
74

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


visual y espacial obtenida del mundo real.
38) Hardware: Soporte fsico del sistema computacional., todo lo tangible del computador,
corresponde al Hadware.
39) Hipervnculo: Es un elemento de un documento electrnico que hace referencia a otro
recurso, por ejemplo, otro documento o un punto especfico del mismo o de otro
documento.
40) Icono: Es una imagen, cuadro o representacin; es un signo que sustituye al objeto
mediante su significacin, representacin o por analoga, como en la semitica.
41) Informacin: Es un conjunto organizado de datos procesados, que constituyen un
mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho
mensaje.
42) Informtica: es el estudio de la computacin y mtodos para el procesamiento de
datos.
43) Internet: Es un conjunto descentralizado de redes de comunicacin interconectadas
que

utilizan la familia de protocolos TCP/IP, garantizando que las redes fsicas

heterogneas que la componen funcionen como una red lgica nica, de alcance mundial.
44) Intranet: Es una red de ordenadores privados que utiliza tecnologa Internet para
compartir dentro de una organizacin parte de sus sistemas de informacin y sistemas
operacionales.
45) Ingeniera de Software: Asignatura que introduce en los mtodos y tcnicas para la
creacin de *software as como el empleo de herramientas de apoyo para cada etapa de
su creacin
75

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

46) Ingeniera de Software: Asignatura que introduce en los mtodos y tcnicas para la
creacin de *software as como el empleo de herramientas de apoyo para cada etapa de
su creacin
47) Inteligencia Artificial: Ciencia que intenta la creacin de programas para mquinas
que imiten el comportamiento y la comprensin humana.
48) KDD: (Knowledge Discovery from Databases) es el proceso no trivial de identi car
patrones vlidos, novedosos, potencialmente tiles y en ltima instancia, comprensibles a
partir de los datos.
49)Lenguaje de Programacin: Lenguaje que intenta estar relativamente prximo al
lenguaje humano o natural y enlazar con las computadoras que operan siguiendo las
indicaciones de programas escritos en lenguaje de mquina, que es un sistema de
cdigos que la mquina interpreta directamente y lleva a cabo las acciones solicitadas.
50) Lenguaje Ensamblador: (En ingls assembly language) es un lenguaje de
programacin

de

bajo

nivel

para

los

computadores,

microprocesadores,

microcontroladores, y otros circuitos integrados programables.


51) Links: Es un navegador web de cdigo abierto en modo texto y grfico a partir de su
versin 2 en modo terminal.
52) LOOP: Es una sentencia que se realiza repetidas veces a un trozo aislado de cdigo,
hasta que la condicin asignada a dicho bucle deje de cumplirse.
53) Malware: (En ingls Malicius Software) Es un tipo de software que tiene como objetivo
infiltrarse o daar una computadora sin el consentimiento de su propietario.
76

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

54) Memoria: Tambin llamada almacenamiento, se refiere a parte de los componentes


que forman parte de una computadora. Son dispositivos que retienen datos informticos
durante algn intervalo de tiempo.
55) Memoria Cach: Un cach es un sistema especial de almacenamiento de alta
velocidad. Puede ser tanto un rea reservada de la memoria principal como un dispositivo
de almacenamiento de alta velocidad independiente.
56) Memoria RAM: (Acrnimo: Random Acces Memory, memoria de acceso aleatorio) Es
un memoria voltil, no permanente, corresponde a la memoria de trabajo que almacena
los datos hasta su proceso o bien hasta que son destinador a una memoria secundaria.
57) Memoria ROM: (Acrnimo: de read-only memory) Es una memoria de lectura de
carcter permanente del fabricante de la placa madre, almacena datos de arranque y
verificacion de los dispositivos del Pc, no puede ser alterado y es fisicamente un chip.
58) Memoria Voltil: Es aquella memoria cuya informacin se pierde al interrumpirse la
energa elctrica.
59) Memoria No Voltil: Es aquella memoria cuya informacin se pierde al interrumpirse la
energa elctrica..
60) Microcontrolador: es un circuito integrado programable, capaz de ejecutar las rdenes
grabadas en su memoria.
61) Microprocesador: Es el circuito integrado central y ms complejo de un sistema
informtico; a modo de ilustracin, se le suele asociar por analoga como el cerebro de
un computador.
77

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

62) Microsoft: Empresa multinacional que desarrolla, fabrica, licencia y produce software y
equipos electrnicos, siendo sus productos ms usados el sistema operativo Microsoft
Windows y la suite Microsoft Office, los cuales tienen una importante posicin entre los
ordenadores personales.
63) Mouse: Es un dispositivo apuntador utilizado para facilitar el manejo de un entorno
grfico en una computadora.
64) Multimedia: Se refiere a cualquier objeto o sistema que utiliza mltiples medios de
expresin (fsicos o digitales) para presentar o comunicar informacin. De all la expresin
multimedios. Los medios pueden ser variados, desde texto e imgenes, hasta
animacin, sonido, video, etc.
65) Minera de Datos: Estudio de algoritmos para buscar y procesar informacin en
documentos y bases de datos, muy relacionada con la adquisicin de informacin
66)Navegador Web: Es una aplicacin que opera a travs de Internet, interpretando la
informacin de archivos y sitios web para que podamos ser capaces de leerla, (ya se
encuentre sta alojada en un servidor dentro de la World Wide Web o en un servidor local).
67) Netbook: Es una categora de ordenador porttil de bajo costo y generalmente
reducidas dimensiones, lo cual aporta una mayor movilidad y autonoma.
68) Notebook: Un ordenador porttil es un ordenador personal mvil o transportable, que
pesa normalmente entre 1 y 3 kg.
69) Pgina Web: Es el nombre de un documento o informacin electrnica adaptada para
la World Wide Web y que puede ser accedida mediante un navegador para mostrarse en
78

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


un monitor de computadora o dispositivo mvil.
70) PC (Computador Personal): (sigla en ingls de personal computer), es una
microcomputadora diseada en principio para ser usada por una sola persona a la vez.
71) Perifricos: Son aparatos o dispositivos auxiliares e independientes conectados a la
unidad central de procesamiento de una computadora.
72) Procesos Paralelos y Distribuidos: Son modelos para resolver problemas de
computacin masiva, utilizando una organizacin conformada por un gran nmero de
ordenadores.
73) Programacin: es el proceso de disear, escribir, depurar y mantener el cdigo fuente
de programas computacionales
74) Protocolos: Reglas que controlan la secuencia de mensajes que ocurren durante una
comunicacin entre un sitio y otro. Estos son programas computacionales o dispositivos
electrnicos que interactan en el camino de comunicacin.
75) Pseudocdigo: el pseudocdigo (o falso lenguaje) es una descripcin de un algoritmo
de programacin informtico de alto nivel compacto e informal que utiliza las convenciones
estructurales de un lenguaje de programacin verdadero, pero que est diseado para la
lectura humana en lugar de la lectura en mquina, y con independencia de cualquier otro
lenguaje de programacin
76) Queue: Conjunto de paquetes en espera de ser procesados
77) RAM: Memoria de acceso aleatorio, cuyo acrnimo es RAM, en ingls: randomaccess memory; es la memoria desde donde el procesador recibe las instrucciones y
79

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


guarda los resultados.
78) Recursividad: es la forma en la cual se especifica un proceso basado en su propia
definicin.
79) Redes de Computadores: Conjunto de dos o ms computadoras de diferentes tipos y
tecnologas interconectadas entre s.
80) Robtica: Estudio del diseo y construccin de mquinas capaces de desempear
tareas fsicas realizadas por el ser humano o que requieren del uso de inteligencia.
81) Simulacin: Representacin del funcionamiento de un sistema por otro. Por ejemplo, la
representacin de un sistema fsico por un modelo matemtico.
82) Sistemas Computacionales: conjunto de *Hardware y *Software.
83) Sistemas de Numeracin: es un conjunto de smbolos y reglas que se utilizan para la
representacin de datos numricos o cantidades. Cada sistema de numeracin se va ha
caracterizar por su base que es el nmero de cada smbolo distinto que utiliza, y adems
determina el valor de cada smbolo, dependiendo de la posicin que ocupe.
84) Sistemas Digitales: Anlisis y diseo de circuitos lgicos que conforman el sistema
computacional. Son circuitos que funcionan basados en la lgica matemtica.
85) Sistemas Expertos: Son programas de ordenador que tienen el mismo nivel de
conocimientos que un experto humano sobre un tema particular y extraen conclusiones
razonadas sobre un grupo de conocimientos y son capaces de comunicar al usuario, la
lnea de razonamiento seguida.

80

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


86) Sistemas Operativos: Software o conjunto de programas dedicados al funcionamiento
interno del computador e interpretacin de las rdenes dadas por el usuario.
87) Software: Programas y datos del sistema computacional.
88) Software de aplicacin: Programas orientados a la realizacin de una determinada
tarea de inters del usuario, tal como programas procesadores de textos, programas
financieros, cientficos, tecnolgicos, etc.
89) Software de Base: Programas computacionales cuya labor es atender tareas de
funcionamiento del computador.
90) Stack (pila): Conjunto de elementos de memoria, organizados en pila, para guardar
una informacin transitoria, como las direcciones de retorno de las sub-rutinas; por
extensin, zona de memoria para guardar informacin transitoria.
91) Teora de Autmata & lenguajes formales: Estudio de los lenguajes formales,
caractersticas y clasificacin de sus gramticas y construccin de programas autmatas
que son programas capaces de reconocer dichos lenguajes, fundamental para
comprender los principios de funcionamiento de los *compiladores e intrpretes.
92) UAL (Unidad Aritmtica Lgica): Es un circuito digital que calcula operaciones
aritmticas (como suma, resta, multiplicacin, etc.) y operaciones lgicas (si, y, o, no),
entre dos nmeros.
93) UC (Unidad de Control): Su funcin es buscar las instrucciones en la memoria
principal, decodificarlas (interpretacin) y ejecutarlas, empleando para ello la unidad de
proceso.
94) UMP (Unidad de Memoria Principal): Reliza la sesin de trabajo. Es una unidad
81

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


dividida en celdas que se identifican mediante una direccin
95) UMS (Unidad de Memoria Secundaria): Es el conjunto de dispositivos (aparatos) y
medios (soportes) de almacenamiento, que conforman el subsistema de memoria de una
computadora, junto a la memoria principal.
96) Unidad de Disco Optico: Es un formato de almacenamiento de datos digital, que
consiste en un disco circular en el cual la informacin se codifica, se guarda y almacena,
haciendo unos surcos microscpicos con un lser sobre una de las caras planas que lo
componen.
97) USB: (En ingls: Universal Serial Bus) (bus universal en serie), abreviado comnmente
USB, es un puerto que sirve para conectar perifricos a un ordenador.
98) Usuario: Es un conjunto de permisos y de recursos (o dispositivos) a los cuales se
tiene acceso. Es decir, un usuario puede ser tanto una persona como una mquina, un
programa, etc.
99) Variables: las variables son espacios reservados en la memoria que, como su nombre
indica, pueden cambiar de contenido a lo largo de la ejecucin de un programa. Una
variable corresponde a un rea reservada en la memoria principal del ordenador pudiendo
ser de longitud fija o variable.
100) Windows: es el nombre de una familia de sistemas operativos desarrollados por
Microsoft
7. PREGUNTAS
1. Para que esta diseado el manual de tecnicas para la auditoria informatica?
________________________________________________________________
________________________________________________________________
________________________________________________________________
82

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA

2. Indique 2 objetivos del manual de tecnicas para la auditoria informatica


________________________________________________________________
________________________________________________________________
________________________________________________________________
3. En la ubicacin del entorno informatico cuales so n las tres areas claves de labor?
________________________________________________________________
________________________________________________________________
________________________________________________________________
4. Explique en sus propias palabras las normas generales para reportar los daos
en un equipo informtico?
________________________________________________________________
________________________________________________________________
________________________________________________________________
5. Enumere los responsables del traslado de los equipos informticos dentro de las
instalaciones de trabajo?
________________________________________________________________
________________________________________________________________
________________________________________________________________
6. Como aplicara usted seguridades generales a los equipos informaticos de la
empresa?
________________________________________________________________
________________________________________________________________
________________________________________________________________
7. Enumere dos prohibiciones que comnmente aplican las empresas a sus
trabajadores en el uso de equipos informticos?
________________________________________________________________
________________________________________________________________
________________________________________________________________

83

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


8. Cul es el alcance de la responsabilidad que tiene un auditor cuando realiza una
auditora informtica?
________________________________________________________________
________________________________________________________________
________________________________________________________________
9. Cules son las etapas del proceso de una auditora informtica?
________________________________________________________________
________________________________________________________________
________________________________________________________________
10. Cules son las caractersticas que debe poseer un auditor informtico?
________________________________________________________________
________________________________________________________________
________________________________________________________________
11. En que nos ayuda tener un respaldo del sistema, una imagen o copia exacta del
disco duro?
________________________________________________________________
________________________________________________________________
________________________________________________________________
12. Porque es importante el determinar el tiempo de utilizacin del computador por
parte de los usuarios?
________________________________________________________________
________________________________________________________________
________________________________________________________________
13. Mantener un control de fallas de funcionamiento de programas y aplicaciones en
que ayuda a las empresas?
________________________________________________________________
________________________________________________________________
________________________________________________________________
14. Cules son las caractersticas personales que debe poseer un auditor informtico
dentro del Departamento de procesamiento electrnico de datos?
________________________________________________________________
________________________________________________________________
84

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA


15. Qu se recomienda utilizar para asegurar el ingreso solo de personal autorizado
al departamento de P.E.D. ?
________________________________________________________________
________________________________________________________________
________________________________________________________________
16. Qu procedimientos y normas se debe considerar para definir y establecer un
adecuado plan de seguridad y emergencia?
________________________________________________________________
________________________________________________________________
________________________________________________________________
17. Qu se deber considerar para el manejo, inventario y control de manuales dentro
del departamento de P.E.D.?.
________________________________________________________________
________________________________________________________________
________________________________________________________________

85