REPBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN UNIVERSITARIA

FUNDACIN MISIN SUCRE
ALDEA UNIVERSITARIA DEL MUNICIPIO SIMN RODRGUEZ
JOS MERCEDES SANTELIZ PEA
P.N.F. INFORMTICA Y SISTEMAS

Integrantes:
Guevara Yalitza C.I 13.498102
Yuraima Aray C.I. _________
Salazar Leomar C.I 10.064.560
Javier Arias C.I. 10.937.451

El tigre, 02/11/2014

AUDITORIA Y MANTENIMIENTO DE SISTEMAS

La palabra auditora viene del latn auditorius y de esta proviene auditor: que
tiene la virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo
especfico que es el de evaluar la eficiencia y eficacia con que se est operando
para que, por medio del sealamiento de cursos alternativos de accin, se tomen
decisiones que permitan corregir los errores, en caso de que existan, o bien
mejorar la forma de actuacin. Algunos autores proporcionan otros conceptos pero
todos coinciden en hacer nfasis en la revisin, evaluacin y elaboracin de un
informe para el ejecutivo encaminado a un objetivo especfico en el ambiente
computacional y los sistemas.
A continuacin algunos conceptos recogidos de algunos expertos en la materia:
Auditora de Sistemas es:
La verificacin de controles en el procesamiento de la informacin,
desarrollo de sistemas e instalacin con el objetivo de evaluar su
efectividad y presentar recomendaciones a la Gerencia.
La actividad dirigida a verificar y juzgar informacin.
El examen y evaluacin de los procesos del rea de Procesamiento
automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos
intervienen, para llegar a establecer el grado de eficiencia, efectividad y
economa de los sistemas computarizados en una empresa y presentar
conclusiones y recomendaciones encaminadas a corregir las deficiencias
existentes y mejorarlas.
El proceso de recoleccin y evaluacin de evidencia para determinar si un
sistema automatizado presenta:
Salvaguarda activos ( Daos, Destruccin, Uso no autorizado, Robo)
Mantiene Integridad de los datos ( Informacin Precisa, Completa,
Oportuna, Confiable)
Alcanza metas organizacionales ( Contribucin de la funcin informtica)
Consume recursos eficientemente ( Utiliza los recursos adecuadamente
en el procesamiento de la informacin)
Es el examen o revisin de carcter objetivo (independiente),
crtico(evidencia), sistemtico (normas), selectivo (muestras) de las
polticas, normas, prcticas, funciones, procesos, procedimientos e
informes relacionados con los sistemas de informacin computarizados, con
el fin de emitir una opinin profesional (imparcial) con respecto a:
Eficiencia en el uso de los recursos informticos.
Validez de la informacin
Efectividad de los controles establecidos

HISTORIA
Existe la evidencia de que alguna especie de auditora se practic en tiempos
remotos. El hecho de que los soberanos exigieran el mantenimiento de las
cuentas de su residencia por dos escribanos independientes, pone de manifiesto
que fueron tomadas algunas medidas para evitar desfalcos en dichas cuentas. A
medidas que se desarrollo el comercio, surgi la necesidad de las revisiones
independientes para asegurarse de la adecuacin y finalidad de los registros
mantenidos en varias empresas comerciales. La auditora como profesin fue
reconocida por primera vez bajo la Ley Britnica de Sociedades Annimas de
1862 y el reconocimiento general tuvo lugar durante el perodo de mandato de la
Ley "Un sistema metdico y normalizado de contabilidad era deseable para una
adecuada informacin y para la prevencin del fraude". Tambin reconoca "Una
aceptacin general de la necesidad de efectuar una versin independiente de las
cuentas de las pequeas y grandes empresas".
Desde 1862 hasta 1905, la profesin de la auditora creci y floreci en Inglaterra,
y se introdujo en los Estados Unidos hacia 1900. En Inglaterra se sigui haciendo
hincapi en cuanto a la deteccin del fraude como objetivo primordial de la
auditora.
En 1912 Montgomery dijo:
En los que podra llamarse los das en los que se form la auditoria, a los
estudiantes se les enseaban que los objetivos primordiales de sta eran:
La deteccin y prevencin de fraude.
La deteccin y prevencin de errores; sin embargo, en los aos siguientes
hubo un cambio decisivo en la demanda y el servicio, y los propsitos
actuales son:
El cerciorarse de la condicin financiera actual y de las ganancias de una
empresa.
La deteccin y prevencin de fraude, siendo ste un objetivo menor.
Este cambio en el objetivo de la auditora continu desarrollndose, no sin
oposicin, hasta aproximadamente 1940. En este tiempo "Exista un cierto grado
de acuerdo en que el auditor poda y debera no ocuparse primordialmente de la
deteccin de fraude". El objetivo primordial de una auditora independiente debe
ser la revisin de la posicin financiera y de los resultados de operacin como se
indica en los estados financieros del cliente, de manera que pueda ofrecerse una
opinin sobre la adecuacin de estas presentaciones a las partes interesadas.
Paralelamente al crecimiento de la auditora independiente en lo Estados Unidos,
se desarrollaba la auditora interna y del Gobierno, lo que entr a formar parte del
campo de la auditora. A medida que los auditores independientes se apercibieron

de la importancia de un buen sistema de control interno y su relacin con el

alcance de las pruebas a efectuar en una auditora independiente, se mostraron
partidarios del crecimiento de los departamentos de auditora dentro de las
organizaciones de los clientes, que se encargara del desarrollo y mantenimiento
de unos buenos procedimientos del control interno, independientemente del
departamento de contabilidad general. Progresivamente, las compaas adoptaron
la expansin de las actividades del departamento de auditora interna hacia reas
que estn ms all del alcance de los sistemas contables. En nuestros das, los
departamentos de auditora interna son revisiones de todas las fases de las
corporaciones, de las que las operaciones financieras forman parte.
La auditora gubernamental fue oficialmente reconocida en 1921 cuando el
Congreso de los Estados Unidos estableci la Oficina General de contabilidad.
AUDITORIAS DE SISTEMAS
La auditora en informtica es la revisin y la evaluacin de los controles,
sistemas, procedimientos de informtica; de los equipos de cmputo, su
utilizacin, eficiencia y seguridad, de la organizacin que participan en el
procesamiento de la informacin, a fin de que por medio del sealamiento de
cursos alternativos se logre una utilizacin ms eficiente y segura de la
informacin que servir para una adecuada toma de decisiones.
La auditora en informtica deber comprender no slo la evaluacin de los
equipos de cmputo, de un sistema o procedimiento especfico, sino que adems
habr de evaluar los sistemas de informacin en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtencin de informacin.
La auditora en informtica es de vital importancia para el buen desempeo de los
sistemas de informacin, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar
todo (informtica, organizacin de centros de informacin, hardware y software).
CARACTERSTICAS DE LA AUDITORIA DE SISTEMAS:
La informacin de la empresa y para la empresa, siempre importante, se ha
convertido en un Activo Real de la misma, con sus Stocks o materias primas si las
hay. Por ende, han de realizarse inversiones informticas, materia de la que se
ocupa la Auditora de Inversin Informtica.
Del mismo modo, los Sistemas Informticos o tecnolgicos han de protegerse de

modo global y particular: a ello se debe la existencia de la Auditora de Seguridad

Informtica en general, o a la auditora de Seguridad de alguna de sus reas,
como pudieran ser Desarrollo o Tcnica de Sistemas.
Cuando se producen cambios estructurales en la Informtica, se reorganiza de
alguna forma su funcin: se est en el campo de la Auditora de Organizacin
Informtica o tecnolgica.
Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan
en una auditora parcial. De otra manera: cuando se realiza una auditora del rea
de Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese
Desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de
inversiones, o de seguridad, o alguna mezcla de ellas. Por lo tanto las
caractersticas ms resaltantes son:

La multiplicidad de usuarios es un fenmeno natural, si se considera que

son estos los que realmente gestionan el negocio de la empresa, y no la
informtica. Los constructores de hardware y de productos de software
inciden en este entorno de usuarios facilitando su utilizacin.
Tras algunas pruebas de desagregacin desafortunadas, las
organizaciones muestran tendencias a mantener centralizadas los
ordenadores y perifricos de alta carga de informacin y la administracin
de los datos.
En efecto, la proliferacin de centros de procesos de datos dedicados a
explotaciones determinadas genera costos casi siempre fuera de
presupuesto y debilidades de coordinacin de fcil deteccin.
La descentralizacin de los datos no ha pasado de ser una teora
impracticable. La redundancia e inconsistencia de datos no son un lujo, si
no que puede comprometer el propio sistema de informacin de la
empresa.
ALCANCE DE LA AUDITORA INFORMTICA:

El alcance ha de definir con precisin el entorno y los lmites en que va a

desarrollarse la auditora informtica, se complementa con los objetivos de sta. El
alcance ha de figurar expresamente en el Informe Final, de modo que quede
perfectamente determinado no solamente hasta que puntos se ha llegado, sino
cuales materias fronterizas han sido omitidas.
Ejemplo:
Se sometern los registros grabados a un control de integridad exhaustivo?
Se comprobar que los controles de validacin de errores son adecuados y

suficientes?
La indefinicin de los alcances de la auditora compromete el xito de la misma.
Para una mejor productividad empresarial, los responsables de los sistemas,
que usan los distintos departamentos o reas de negocio, deben conocer los
riesgos derivados de una inadecuada gestin de sistemas y los beneficios
generados por una gestin ptima.

Casos reales de problemas solucionados por nosotros

Clientes representativos de auditorias informticas.
Estndares TI con las mejores prcticas informticas

OBJETIVOS GENERALES DE LA AUDITORA DE SISTEMAS DE LA

INFORMACIN

Evaluar la fiabilidad
Evaluar la dependencia de los Sistemas y las medidas tomadas para
garantizar su disponibilidad y continuidad
Revisar la seguridad de los entornos y sistemas.
Analizar la garanta de calidad de los Sistemas de Informacin
Analizar los controles y procedimientos tanto organizativos como
operativos.
Verificar el cumplimiento de la normativa y legislacin vigentes
Elaborar un informe externo independiente.
Utilizacin de estndares ISACA, OSSTMM, ISO/IEC 17799 y CIS

OBJETIVOS PARA UNA BUENA GESTIN DE LOS SISTEMAS DE LA

INFORMACIN EN UNA EMPRESA

Asegurar una mayor integridad, confidencialidad y confiabilidad de la

informacin.
Seguridad del personal, los datos, el hardware, el software y las
instalaciones.
Minimizar existencias de riesgos en el uso de Tecnologa de informacin
Conocer la situacin actual del rea informtica para lograr los objetivos.
Apoyo de funcin informtica a las metas y objetivos de la organizacin.
Seguridad, utilidad, confianza, privacidad y disponibilidad de los entornos.
Incrementar la satisfaccin de los usuarios de los sistemas informticos.
Capacitacin y educacin sobre controles en los Sistemas de Informacin.
Buscar una mejor relacin costo-beneficio de los sistemas automticos.

Decisiones de inversin y gastos innecesarios.

AUDITORA INTERNA Y AUDITORA EXTERNA:

La auditora interna es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. Los empleados que realizan esta tarea son
remunerados econmicamente. La auditora interna existe por expresa decisin de
la Empresa, o sea, que puede optar por su disolucin en cualquier momento.
Por otro lado, la auditora externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor objetividad que en la
Auditora Interna, debido al mayor distanciamiento entre auditores y auditados.
La auditora informtica interna cuenta con algunas ventajas adicionales muy
importantes respecto de la auditora externa, las cuales no son tan perceptibles
como en las auditoras convencionales. La auditora interna tiene la ventaja de que
puede actuar peridicamente realizando Revisiones globales, como parte de su
Plan Anual y de su actividad normal. Los auditados conocen estos planes y se
habitan a las Auditoras, especialmente cuando las consecuencias de las
Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informtica escuchan, orientan e informan
sobre las posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a
menudo sin voto, Informtica trata de satisfacer lo ms adecuadamente posible
aquellas necesidades. La empresa necesita controlar su Informtica y sta
necesita que su propia gestin est sometida a los mismos Procedimientos y
estndares que el resto de aquella. La conjuncin de ambas necesidades cristaliza
en la figura del auditor interno informtico.
En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una
Auditora propia y permanente, mientras que el resto acuden a las auditoras
externas. Puede ser que algn profesional informtico sea trasladado desde su
puesto de trabajo a la Auditora Interna de la empresa cuando sta existe.
Finalmente, la propia Informtica requiere de su propio grupo de Control Interno,
con implantacin fsica en su estructura, puesto que si se ubicase dentro de la
estructura Informtica ya no sera independiente. Hoy, ya existen varias
organizaciones Informticas dentro de la misma empresa, y con diverso grado de
autonoma, que son coordinadas por rganos corporativos de Sistemas de
Informacin de las Empresas.
Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones
contratar servicios de auditora externa. Las razones para hacerlo suelen ser:

Necesidad de auditar una materia de gran especializacin, para la cual los

servicios propios no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo, en aquellos
supuestos de emisin interna de graves recomendaciones que chocan con
la opinin generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditoras informticas
externas decretadas por la misma empresa.
Aunque la auditora interna sea independiente del Departamento de
Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se
le realicen auditoras externas como para tener una visin desde afuera de
la empresa.

La auditora informtica, tanto externa como interna, debe ser una actividad exenta
de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica
general de la empresa. La funcin auditora puede actuar de oficio, por iniciativa
del propio rgano, o a instancias de parte, esto es, por encargo de la direccin o
cliente.
SNTOMAS DE NECESIDAD DE UNA AUDITORA INFORMTICA:
Las empresas acuden a las auditoras externas cuando existen sntomas bien
perceptibles de debilidad. Estos sntomas pueden agruparse en clases:
Sntomas de descoordinacin y desorganizacin:

No coinciden los objetivos de la Informtica de la Compaa y de la propia

Compaa.
Los estndares de productividad se desvan sensiblemente de los
promedios conseguidos habitualmente.
[Puede ocurrir con algn cambio masivo de personal, o en una
reestructuracin fallida de alguna rea o en la modificacin de alguna
Norma importante]

Sntomas de mala imagen e insatisfaccin de los usuarios:

No se atienden las peticiones de cambios de los usuarios. Ejemplos:

cambios de Software en los terminales de usuario, refrescamiento de
paneles, variacin de los ficheros que deben ponerse diariamente a su
disposicin, entre otros.

No se reparan las averas de Hardware ni se resuelven incidencias en

plazos razonables. El usuario percibe que est abandonado y desatendido
permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados
peridicos. Pequeas desviaciones pueden causar importantes desajustes
en la actividad del usuario, en especial en los resultados de Aplicaciones
crticas y sensibles.

Sntomas de debilidades econmicos-financieros:

Incremento desmesurado de costes.

Necesidad de justificacin de Inversiones Informticas (la empresa no est
absolutamente convencida de tal necesidad y decide contrastar opiniones).
Desviaciones Presupuestarias significativas.
Costes y plazos de nuevos proyectos (deben auditarse simultneamente a
Desarrollo de Proyectos y al rgano que realiz la peticin).

Sntomas de Inseguridad: Evaluacin de nivel de riesgos:

Seguridad Lgica
Seguridad Fsica
Confidencialidad
Los datos son propiedad inicialmente de la organizacin que los genera.
Los datos de personal son especialmente confidenciales.
Continuidad del Servicio. Es un concepto an ms importante que la
Seguridad. Establece las estrategias de continuidad entre fallos mediante
Planes de Contingencia Totales y Locales.
Centro de Proceso de Datos fuera de control. Si tal situacin llegara a
percibirse, sera prcticamente intil la auditora. Esa es la razn por la
cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio.

Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo
operando en otro lugar? Lo que generalmente se pide es que se hagan Backups
de la informacin diariamente y que aparte, sea doble, para tener un Backup en la
empresa y otro afuera de sta. Una empresa puede tener unas oficinas paralelas
que posean servicios bsicos (luz, telfono, agua) distintos de los de la empresa
principal, es decir, si a la empresa principal le provea telfono Telecom, a las
oficinas paralelas, Telefnica. En este caso, si se produce la inoperancia de
Sistemas en la empresa principal, se utilizara el Backup para seguir operando en
las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el
tiempo que estipule la empresa, y despus se van reciclando.

CONTROL DE SEGURIDAD DE LOS SISTEMAS

Controles:
Conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes
de las empresas y para ello permite verificar si todo se realiza conforme a los
programas adoptados, rdenes impartidas y principios admitidos.
Clasificacin general de los controles:
Controles Preventivos:
Son aquellos que reducen la frecuencia con que ocurren las causas del
riesgo, permitiendo cierto margen de violaciones.
Ejemplos:
Letrero No fumar para salvaguardar las instalaciones.
Sistemas de claves de acceso.
Controles detectivos:
Son aquellos que no evitan que ocurran las causas del riesgo sino que los
detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta
forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo:
Archivos y procesos que sirvan como pistas de auditora.
Procedimientos de validacin
Controles Correctivos:
Ayudan a la investigacin y correccin de las causas del riesgo. La correccin
adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de
controles detectivos sobre los controles correctivos, debido a que la correccin de
errores es en si una actividad altamente propensa a errores.

Principales Controles fsicos y lgicos:

Controles particulares tanto en la parte fsica como en la lgica se detallan a
continuacin:

Autenticidad:
Permiten verificar la identidad:
Passwords.
Firmas digitales.

Exactitud:
Aseguran la coherencia de los datos:
Validacin de campos.
Validacin de excesos.

Totalidad:
Evitan la omisin de registros as como garantizan la conclusin de un
proceso de envi:
Conteo de registros.
Cifras de control

Redundancia:
Evitan la duplicidad de datos:
Cancelacin de lotes.
Verificacin de secuencias

Privacidad:
Aseguran la proteccin de los datos:
Compactacin.
Encriptacin.

Existencia:
Aseguran la disponibilidad de los datos:
Bitcora de estados.
Mantenimiento de activos

Proteccin de Activos:
Destruccin o corrupcin de informacin o del hardware:
Extintores.
Passwords.

Efectividad:
Aseguran el logro de los objetivos:
Encuestas de satisfaccin.
Medicin de niveles de servicio.

Eficiencia:
Aseguran el uso ptimo de los recursos:
Programas monitores.
Anlisis costo-beneficio.

Controles automticos o lgicos:

Periodicidad de cambio de claves de acceso. Los cambios de las claves de acceso
a los programas se deben realizar peridicamente. Normalmente los usuarios se
acostumbran a conservar la misma clave que le asignaron inicialmente.
El no cambiar las claves peridicamente aumenta la posibilidad de que personas
no autorizadas conozcan y utilicen claves de usuarios del sistema de computacin.
Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.
Verificacin de datos de entrada:
Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o
precisin; tal es el caso de la validacin del tipo de datos que contienen los
campos o verificar si se encuentran dentro de un rango.
Conteo de registros.
Consiste en crear campos de memoria para ir acumulando cada registro que se
ingresa y verificar con los totales ya registrados.
Totales de Control.
Se realiza mediante la creacin de totales de lnea, columnas, cantidad de
formularios, cifras de control, entre otros, y automticamente verificar con un
campo en el cual se van acumulando los registros, separando solo aquellos
formularios o registros con diferencias.
Verificacin de lmites.
Consiste en la verificacin automtica de tablas, cdigos, lmites mnimos y
mximos o bajo determinadas condiciones dadas previamente.
Verificacin de secuencias.
En ciertos procesos los registros deben observar cierta secuencia numrica o
alfabtica, ascendente o descendente, esta verificacin debe hacerse mediante
rutinas independientes del programa en si.

 Dgito autoverificador.
Consiste en incluir un dgito adicional a una codificacin, el mismo que es
resultado de la aplicacin de un algoritmo o formula, conocido como MODULOS,
que detecta la correccin o no del cdigo. Tal es el caso por ejemplo del decimo
dgito de la cdula de identidad, calculado con el modulo 10 o el ultimo dgito del
RUC calculado con el mdulo 11.
Utilizar
software
de
seguridad
(Plataformas)
en
los
microcomputadores.
El software de seguridad permite restringir el acceso al microcomputador, de tal
modo que solo el personal autorizado pueda utilizarlo.

Adicionalmente, este software permite reforzar la segregacin de funciones y la

confidencialidad de la informacin mediante controles para que los usuarios
puedan accesar solo a los programas y datos para los que estn autorizados.
Controles administrativos en un ambiente de Procesamiento de Datos.
La mxima autoridad del rea de Informtica de una empresa o institucin debe
implantar los siguientes controles que se agruparan de la siguiente forma:

Controles de Preinstalacin
Controles de Organizacin y Planificacin
Controles de Sistemas en Desarrollo y Produccin
Controles de Procesamiento
Controles de Operacin
Controles de uso de Microcomputadores

Controles de Preinstalacin
Hacen referencia a procesos y actividades previas a la adquisicin e instalacin de
un equipo de computacin y obviamente a la automatizacin de los sistemas
existentes.

Objetivos:
Garantizar que el hardware y software se adquieran siempre y
cuando tengan la seguridad de que los sistemas computarizados
proporcionaran mayores beneficios que cualquier otra alternativa.
Garantizar la seleccin adecuada de equipos y sistemas de
computacin.
Asegurar la elaboracin de un plan de actividades previo a la
instalacin

Acciones a seguir:

 Elaboracin de un informe tcnico en el que se justifique la

adquisicin del equipo, software y servicios de computacin,
incluyendo un estudio costo-beneficio.
Formacin de un comit que coordine y se responsabilice de todo
el proceso de adquisicin e instalacin.
Elaborar un plan de instalacin de equipo y software (fechas,
actividades, responsables) el mismo que debe contar con la
aprobacin de los proveedores del equipo.
Elaborar un instructivo con procedimientos a seguir para la
seleccin y adquisicin de equipos, programas y servicios
computacionales. Este proceso debe enmarcarse en normas y
disposiciones legales.
Efectuar las acciones necesarias para una mayor participacin de
proveedores.
Asegurar respaldo de mantenimiento y asistencia tcnica.

Controles de organizacin y Planificacin:

Se refiere a la definicin clara de funciones, linea de autoridad y
responsabilidad de las diferentes unidades del rea PAD, en labores
tales como:
Disear un sistema.
Elaborar los programas.
Operar el sistema.
Control de calidad.
Se debe evitar que una misma persona tenga el control de toda
una operacin.
Es importante la utilizacin ptima de recursos en el PAD
mediante la preparacin de planes a ser evaluados
continuamente

Acciones a seguir:
La unidad informtica debe estar al mas alto nivel de la pirmide
administrativa de manera que cumpla con sus objetivos, cuente
con el apoyo necesario y la direccin efectiva.
Las funciones de operacin, programacin y diseo de sistemas
deben estar claramente delimitadas.
Deben existir mecanismos necesarios a fin de asegurar que los
programadores y analistas no tengan acceso a la operacin del
computador y los operadores a su vez no conozcan la
documentacin de programas y sistemas.

 Debe existir una unidad de control de calidad, tanto de datos de

entrada como de los resultados del procesamiento.
El manejo y custodia de dispositivos y archivos magnticos deben
estar expresamente definidos por escrito.
Las actividades del PAD deben obedecer a planificaciones a
corto, mediano y largo plazo sujetos a evaluacin y ajustes
peridicos Plan Maestro de Informtica.
Debe existir una participacin efectiva de directivos, usuarios y
personal del PAD en la planificacin y evaluacin del
cumplimiento del plan.
Las instrucciones deben impartirse por escrito.

Controles de Sistema en Desarrollo y Produccin.

Se debe justificar que los sistemas han sido la mejor opcin para la
empresa, bajo una relacin costo-beneficio que proporcionen
oportuna y efectiva informacin, que los sistemas se han
desarrollado bajo un proceso planificado y se encuentren
debidamente documentados.
Acciones a seguir:
Los usuarios deben participar en el diseo e implantacin de los
sistemas pues aportan conocimiento y experiencia de su rea y
esta actividad facilita el proceso de cambio.
El personal de auditora interna/control debe formar parte del
grupo de diseo para sugerir y solicitar la implantacin de rutinas
de control.
El desarrollo, diseo y mantenimiento de sistemas obedece a
planes especficos, metodologas estndares, procedimientos y
en general a normatividad escrita y aprobada.
Cada fase concluida debe ser aprobada documentadamente por
los usuarios mediante actas u otros mecanismos a fin de evitar
reclamos posteriores.
Los programas antes de pasar a Produccin deben ser probados
con datos que agoten todas las excepciones posibles.
Todos los sistemas deben estar debidamente documentados y
actualizados.
La documentacin deber contener:
Informe de factibilidad.
Diagrama de bloque.

 Diagrama de lgica del programa.

Objetivos del programa.
Listado original del programa y versiones que incluyan los
cambios efectuados con antecedentes de pedido y aprobacin
de modificaciones.
Formatos de salida.
Resultados de pruebas realizadas.
Implantar procedimientos de solicitud, aprobacin y ejecucin
de cambios a programas, formatos de los sistemas en
desarrollo.
El sistema concluido sera entregado al usuario previo
entrenamiento y elaboracin de los manuales de operacin
respectivos.

Controles de Procesamiento:
Los controles de procesamiento se refieren al ciclo que sigue la
informacin desde la entrada hasta la salida de la informacin, lo que
conlleva al establecimiento de una serie de seguridades para:
Asegurar que todos los datos sean procesados.
Garantizar la exactitud de los datos procesados.
Garantizar que se grabe un archivo para uso de la gerencia y con
fines de auditora.
Asegurar que los resultados sean entregados a los usuarios en
forma oportuna y en las mejores condiciones.
Acciones a seguir:
Validacin de datos de entrada previo procesamiento debe ser
realizada en forma automtica: clave, dgito autoverificador,
totales de lotes, entre otros.
Preparacin de datos de entrada debe ser responsabilidad de
usuarios y consecuentemente su correccin.
Recepcin de datos de entrada y distribucin de informacin
de salida debe obedecer a un horario elaborado en
coordinacin con el usuario, realizando un debido control de
calidad.
Adoptar acciones necesaria para correcciones de errores.
Analizar conveniencia costo-beneficio de estandarizacin de
formularios, fuente para agilitar la captura de datos y
minimizar errores.
Los procesos interactivos deben garantizar una adecuada
interrelacin entre usuario y sistema.
Planificar el mantenimiento del hardware y software, tomando

todas las seguridades para garantizar la integridad de la

informacin y el buen servicio a usuarios.

Controles de Operacin:
Abarcan todo el ambiente de la operacin del equipo central de
computacin y dispositivos de almacenamiento, la administracin de
la cintoteca y la operacin de terminales y equipos de comunicacin
por parte de los usuarios de sistemas on line.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir en el
Centro de Cmputo durante un proceso.
Evitar o detectar el manejo de datos con fines fraudulentos por
parte de funcionarios del PAD.
Garantizar la integridad de los recursos informticos.
Asegurar la utilizacin adecuada de equipos acorde a planes y
objetivos.
Acciones a seguir:
El acceso al centro de cmputo debe contar con las
seguridades necesarias para reservar el ingreso al personal
autorizado.
Implantar claves o password para garantizar operacin de
consola y equipo central (mainframe), a personal autorizado.
Formular polticas respecto a seguridad, privacidad y
proteccin de las facilidades de procesamiento ante eventos
como: incendio, vandalismo, robo y uso indebido, intentos de
violacin y como responder ante esos eventos.
Mantener un registro permanente (bitcora) de todos los
procesos realizados, dejando constancia de suspensiones o
cancelaciones de procesos.
Los operadores del equipo central deben estar entrenados
para recuperar o restaurar informacin en caso de destruccin
de archivos.
Los backups no deben ser menores de dos (padres e hijos) y
deben guardarse en lugares seguros y adecuados,
preferentemente en bvedas de bancos.
Se deben implantar calendarios de operacin a fin de
establecer prioridades de proceso.
Todas las actividades del Centro de Computo deben normarse
mediante manuales, instructivos, normas, reglamentos, entre

otros.
El proveedor de hardware y software deber proporcionar lo
siguiente:
Manual de operacin de equipos.
Manual de lenguaje de programacin.
Manual de utilitarios disponibles.
Manual de Sistemas operativos.
Las instalaciones deben contar con sistema de alarma por
presencia de fuego, humo, as como extintores de
incendio, conexiones elctricas seguras, entre otras.
Instalar equipos que protejan la informacin y los
dispositivos en caso de variacin de voltaje como:
reguladores de voltaje, supresores pico, UPS, generadores
de energa.
Contratar plizas de seguros para proteger la informacin,
equipos, personal y todo riesgo que se produzca por casos
fortuitos o mala operacin.

Controles en el uso del Microcomputador:

Es la tarea ms difcil pues son equipos mas vulnerables, de fcil
acceso, de fcil explotacin pero los controles que se implanten
ayudaran a garantizar la integridad y confidencialidad de la
informacin.
Acciones a seguir:
Adquisicin de equipos de proteccin como supresores de pico,
reguladores de voltaje y de ser posible UPS previo a la
adquisicin del equipo.
Vencida la garanta de mantenimiento del proveedor se debe
contratar mantenimiento preventivo y correctivo.
Establecer procedimientos para obtencin de backups de
paquetes y de archivos de datos.
Revisin peridica y sorpresiva del contenido del disco para
verificar la instalacin de aplicaciones no relacionadas a la
gestin de la empresa.
Mantener programas y procedimientos de deteccin e
inmunizacin de virus en copias no autorizadas o datos
procesados en otros equipos.
Propender a la estandarizacin del Sistema Operativo, software
utilizado como procesadores de palabras, hojas electrnicas,
manejadores de base de datos y mantener actualizadas las

versiones y la capacitacin sobre modificaciones incluidas.

SEGURIDAD DE LOS SISTEMAS
La computadora es un instrumento que estructura gran cantidad de informacin, la
cual puede ser confidencial para individuos, empresas o instituciones, y puede ser
mal utilizada o divulgada a personas que hagan mal uso de esta. Tambin pueden
ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de
la actividad computacional. Esta informacin puede ser de suma importancia, y el
no tenerla en el momento preciso puede provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado
otro factor que hay que considerar: el llamado virus de las computadoras, el cual,
aunque tiene diferentes intenciones, se encuentra principalmente para paquetes
que son copiados sin autorizacin (piratas) y borra toda la informacin que se
tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan
copias piratas o bien que, al conectarnos en red con otras computadoras, no
exista la posibilidad de transmisin del virus. El uso inadecuado de la computadora
comienza desde la utilizacin de tiempo de mquina para usos ajenos de la
organizacin, la copia de programas para fines de comercializacin sin reportar los
derechos de autor hasta el acceso por va telefnica a bases de datos a fin de
modificar la informacin con propsitos fraudulentos.
La seguridad en la informtica abarca los conceptos de seguridad fsica y
seguridad lgica. La seguridad fsica se refiere a la proteccin del Hardware y de
los soportes de datos, as como a la de los edificios e instalaciones que los
albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes
naturales, entre otros.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin
de los datos, procesos y programas, as como la del ordenado y autorizado acceso
de los usuarios a la informacin.
Un mtodo eficaz para proteger sistemas de computacin es el software de control
de acceso.
Dicho simplemente, los paquetes de control de acceso protegen contra el acceso
no autorizado, pues piden del usuario una contrasea antes de permitirle el
acceso a informacin confidencial.
Dichos paquetes han sido populares desde hace muchos aos en el mundo de las
computadoras grandes, y los principales proveedores ponen a disposicin de
clientes algunos de estos paquetes.

Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS, para Unix, que
lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser:
accesos a archivos, accesos a directorios, que usuario lo hizo, si tena o no tena
permiso, si no tena permiso porque fall, entrada de usuarios a cada uno de los
servidores, fecha y hora, accesos con password equivocada, cambios de
password, entre otros. La Aplicacin lo puede graficar, tirar en nmeros, puede
hacer reportes, entre otros.
La seguridad informtica se la puede dividir como rea General y como rea
Especifica (seguridad de Explotacin, seguridad de las Aplicaciones, entre otros.).
As, se podrn efectuar auditoras de la Seguridad Global de una Instalacin
Informtica Seguridad General- y auditoras de la Seguridad de un rea
informtica determinada Seguridad Especifica -.
Con el incremento de agresiones a instalaciones informticas en los ltimos aos,
se han ido originando acciones para mejorar la Seguridad Informtica a nivel
fsico. Los accesos y conexiones indebidos a travs de las Redes de
Comunicaciones, han acelerado el desarrollo de productos de Seguridad lgica y
la utilizacin de sofisticados medios criptogrficos.
El sistema integral de seguridad debe comprender:
Elementos administrativos.
Definicin de una poltica de seguridad
Organizacin y divisin de responsabilidades
Seguridad fsica y contra catstrofes (incendio, terremotos, entre otros.)
Prcticas de seguridad del personal
Elementos tcnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los
elementos, tanto redes como terminales.
Aplicacin de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planificacin de programas de desastre y su prueba.
La decisin de abordar una Auditora Informtica de Seguridad Global en una
empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los
que est sometida. Se elaboran matrices de riesgo, en donde se consideran los
factores de las Amenazas a las que est sometida una instalacin y los
Impactos que aquellas puedan causar cuando se presentan. Las matrices de
riesgo se representan en cuadros de doble entrada <<Amenaza-Impacto>>, en
donde se evalan las probabilidades de ocurrencia de los elementos de la matriz.

VULNERABILIDAD DE LOS SISTEMAS:

Posibilidad de ocurrencia de la materializacin de una amenaza sobre un activo.
Tenga en cuenta que muchos problemas en los sistemas de informacin se dan
por errores propios de los sistemas y que permiten que se tenga acceso violando
las normas establecidas, esto quiere decir por ejemplo los errores de
programacin, porque al ser un sistema muy grande en ocasiones no son
corregidos totalmente los errores y pueden a futuro crear inestabilidad en el
sistema. Segn [3] los estudios muestran que aproximadamente 60% de los
errores se detectan durante las pruebas y son resultado de especificaciones
omitidas, ambiguas, errneas o no perceptibles en la documentacin del diseo.
Otra de las razones por las que los sistemas de informacin pueden ser
inestables, es por el mantenimiento, ya que es la fase ms costosa de todo
proyecto, adems porque casi la mitad del tiempo se dedica a realizar ajustes y
mantenimiento a los sistemas.
Es por tanto que el proceso de certificar la calidad es esencial para el proceso de
desarrollo de un sistema de informacin, ya que podr prevenir errores durante la
captura de datos.
RIESGOS EN LA AUDITORIA:
Es importante en toda organizacin contar con una herramienta, que garantice la
correcta evaluacin de los riesgos a los cuales estn sometidos los procesos y
actividades de una entidad y por medio de procedimientos de control se pueda
evaluar el desempeo de la misma.
Si consideramos entonces, que la Auditora es un proceso sistemtico, practicado
por los auditores de conformidad con normas y procedimientos tcnicos
establecidos, consistente en obtener y evaluar objetivamente las evidencias sobre
las afirmaciones contenidas en los actos jurdicos o eventos de carcter tcnico,
econmico, administrativo y otros, con el fin de determinar el grado de
correspondencia entre esas afirmaciones, las disposiciones legales vigentes y los
criterios establecidos. es aquella encargada de la valoracin independiente de
sus actividades. Por consiguiente, la Auditora debe funcionar como una actividad
concebida para agregar valor y mejorar las operaciones de una organizacin, as
como contribuir al cumplimiento de sus objetivos y metas; aportando un enfoque
sistemtico y disciplinado para evaluar y mejorar la eficacia de los procesos de
gestin de riesgos, control y direccin.
Los servicios de Auditora comprenden la evaluacin objetiva de las evidencias,
efectuada por los auditores, para proporcionar una conclusin independiente que

permita calificar el cumplimiento de las polticas, reglamentaciones, normas,

disposiciones jurdicas u otros requerimientos legales; respecto a un sistema,
proceso, subproceso, actividad, tarea u otro asunto de la organizacin a la cual
pertenecen.
A diferencia de algunos autores, que definen la ejecucin de las auditoras por
etapas, somos del criterio que es una actividad dedicada a brindar servicios que
agrega valores consecuentemente en dependencia de la eficiencia y eficacia en el
desarrollo de diferentes tareas y actividades las cuales debern cumplirse
sistemticamente en una cadena de valores que paulatinamente debern tenerse
en cuenta a travs de subprocesos que identifiquen la continuidad lgica del
proceso, para proporcionar finalmente la calidad del servicio esperado.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y
teniendo en cuenta que, una de las principales causas de los problemas dentro de
los subprocesos es la inadecuada previsin de riesgos, se hace necesario
entonces estudiar los Riesgos que pudieran aparecen en cada subproceso de
Auditora, esto servir de apoyo para prevenir una adecuada realizacin de los
mismos.
Es necesario en este sentido tener en cuenta lo siguiente:
La evaluacin de los riesgos inherentes a los diferentes subprocesos de la
Auditora.
La evaluacin de las amenazas o causas de los riesgos.
Los controles utilizados para minimizar las amenazas o riesgos.
La evaluacin de los elementos del anlisis de riesgos.
Generalmente se habla de Riesgo y conceptos de Riesgo en la evolucin de los
Sistemas de Control Interno, en los cuales se asumen tres tipos de Riesgo:

Riesgo de Control:
Que es aquel que existe y que se propicia por falta de control de las
actividades de la empresa y puede generar deficiencias del Sistema de
Control Interno.

Riesgo de Deteccin:
Es aquel que se asume por parte de los auditores que en su revisin no
detecten deficiencias en el Sistema de Control Interno.

Riesgo Inherente:
Son aquellos que se presentan inherentes a las caractersticas del Sistema
de Control Interno.

Sin embargo, los Riesgos estn presentes en cualquier sistema o proceso que se
ejecute, ya sea en procesos de produccin como de servicios, en operaciones
financieras y de mercado, por tal razn podemos afirmar que la Auditora no est
exenta de este concepto.
En cada Subproceso, como suele llamrsele igualmente a las etapas de la misma,
el auditor tiene que realizar tareas o verificaciones, en las cuales se asumen
riesgos de que esas no se realicen de la forma adecuada, claro que estos Riesgos
no pueden definirse del mismo modo que los riesgos que se definen para el
control Interno.
El criterio del auditor en relacin con la extensin e intensidad de las pruebas,
tanto de cumplimiento como sustantivas, se encuentra asociado al riesgo de que
queden sin detectar errores o desviaciones de importancia, en la contabilidad de la
empresa y no los llegue a detectar el auditor en sus pruebas de muestreo. El
riesgo tiende a minimizarse cuando aumenta la efectividad de los procedimientos
de auditora aplicados.
El propsito de una auditora a los Estados Financieros no es descubrir fraudes,
sin embargo, siempre existe la posibilidad de obtener cifras errneas como
resultado de una accin de mala fe, ya que puede haber operaciones planeadas
para ocultar algn hecho delictivo. Entre una gran diversidad de situaciones, es
posible mencionar las siguientes:
Omisin deliberada de registros de transacciones.
Falsificacin de registros y documentos.
Proporcionar al auditor informacin falsa.
A continuacin se exponen algunas situaciones que pueden indicar la existencia
de errores o irregularidades.

Cuando el auditor tiene dudas sobre la integridad de los funcionarios de la

empresa; si la desconfianza solamente es con relacin a la competencia y
no con la honradez de los ejecutivos de la compaa, el auditor deber
tener presente que pudiera encontrarse con situaciones de riesgo por
errores o irregularidades en la administracin.

Cuando el auditor detecte que los puestos clave como cajero, contador,
administrador o gerente, tienen un alto porcentaje de rotacin, existe la
posibilidad de que los procedimientos administrativos, incluidos los
contables, presenten fallas que pueden dar lugar a errores o
irregularidades.

El desorden del departamento de contabilidad de una entidad implica

informes con retraso, registros de operaciones inadecuados, archivos

incompletos, cuentas no conciliadas, entre otros. Esta situacin como es
fcil comprender, provoca errores, tal vez realizados de buena fe, o
inclusive con actos fraudulentos. La gerencia tiene la obligacin de
establecer y mantener procedimientos administrativos que permitan un
control adecuado de las operaciones.
Dentro de las auditoras se debe verificar la funcin de elaboracin o proceso de
datos, donde se deben chequear entre otros los siguientes aspectos:
Existencia de un mtodo para cerciorarse que los datos recibidos para su
valoracin sean completos, exactos y autorizados,
Emplear procedimientos normalizados para todas las operaciones y
examinarlos para asegurarse que tales procedimientos son acatados;
Existencia de un mtodo para asegurar una pronta deteccin de errores y
mal funcionamiento del Sistema de Cmputo.
Deben existir procedimientos normalizados para impedir o advertir errores
accidentales, provocados por fallas de operadores o mal funcionamiento de
mquinas y programas.
SISTEMAS DE CONTROL DE RIESGOS
La estructura de Control de Riesgos pudiramos fundamentarla en dos pilares: los
Sistemas Comunes de Gestin y los Servicios de Auditora Interna, cuyas
definiciones, objetivos, caractersticas y funciones se exponen a continuacin.
CONCLUSIN
Podemos concluir, que la aplicacin de una auditora en las organizaciones puede
tomar diferentes cursos de accin, dependiendo de su estructura organizativa,
objeto, giro, naturaleza de sus productos y servicios, nivel de desarrollo y, en
particular, con el grado y forma de delegacin de autoridad.
La conjuncin de estos factores, tomando en cuenta los aspectos normativos y
operativos, las relaciones con el entorno y la ubicacin territorial de las reas y
mecanismos de control establecidos, constituyen la base para estructurar una
lnea de accin capaz de provocar y promover los cambios de personal o
institucional necesarios para que un estudio de auditoria se traduzca en un
proyecto innovador slido.
Tomando en consideracin todas las investigaciones realizadas, podemos concluir
que la auditoria es dinmica, la cual debe aplicarse formalmente en toda empresa,
independientemente de su magnitud y objetivos; aun en empresas pequeas, en
donde se llega a considerar inoperante, su aplicacin debe ser secuencial

constatada para lograr eficiencia.

BIBLIOGRAFA

http://auditoriaymantenimientodesistemas.blogspot.com/2010/10/auditoriay-mantenimiento-de-sistemas.html.
http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml.
http://www.eurosocialfiscal.org/uploads/documentos/20090915_110925_12Auditoria_de_Sistemas.ppt.