Repblica Bolivariana De Venezuela Universidad Rafael Belloso Chacn Facultad De Ingeniera Escuela De Informtica Ctedra: Auditora y Evaluacin de Sistemas

AUDITORIA FISICA

Integrantes: Desiree Chvez Joseliz Borregales. Joyce Jaramillo. Karelis Montes

Maracaibo, 11 de Julio de 2011.

Introduccin

La auditoria debe ampliar su enfoque no solo a la evaluacin de controles sino tambin a la evaluacin de riesgos y de esta manera avanzar hacia una auditoria preventiva. Para contribuir en la prevencin de riesgos, es recomendable que las polticas en materia de administracin de reservas sean conocidas en forma oportuna por la auditora interna y que se garanticen los mecanismos institucionales necesarios para que ello ocurra, como podra ser el comit de inversiones. El personal de auditora interna debera estar capacitado a un nivel que le permita cumplir eficientemente sus tareas y contar con apoyo tecnolgico en formacin actualizada. Se deben fijar pautas que permitan la revisin de los instrumentos legales utilizados en las operaciones de inversin as como para la evaluacin de los contratos de delegacin de mandato en el manejo de reservas.

DESARROLLO

1.- Auditoria Fsica: La auditoria fsica no se imita a comparar solo la existencia del medio fsico sino tambin su funcionamiento, racionalidad y seguridad. Riesgo Control Pruebas

Garantiza la integridad de activos humanos. Durante un fallo se pueden tomar medidas a tres niveles: Aplicando a la infraestructura e instalacin.

2.-Seguridad Fsica: Antes: Conjunto de Acciones usadas para prevenir el fallo, aminorando sus consecuencias. Ubicacin del Edificios. Elementos de construccin. Medidas de proteccin. Duplicacin de medios. Panes de contingencia. Ubicacin del CPD dentro del edificioControl de Accesos. Seguridad de los medios. Sistema contra incendios. Compartimentacin.

Durante: En caso de que ocurriese un desastre, una buena estrategia seria elaborar un plan de contingencia, que permita coordinar las necesidades del negocio y operaciones de recuperacin. El plan de contingencia permite. Realizar un anlisis de riesgos de sistemas crticos. Establecer un periodo crtico de recuperacin. Realizar un anlisis de aplicaciones crticas. Determinar las prioridades de procesos. Asegurar la capacidad de las comunicaciones. Asegurar la capacidad de servidores de back-up. Establecer objetivos de recuperacin en un determinado tiempo

Despus: Se toma como alternativa la contratacin de servicios, entre ellos se encuentran: Reconstruccin de medio de software: Cubre el dao producido sobre medio de software. Gastos extra: Gastos que se derivan de la continuidad de las operaciones tras un desastre. Errores y omisiones: Proteccin legal ante la responsabilidad en que pudiera incurrir un profesional que cometiera un acto, error u omisin que ocasione una prdida financiera a un cliente. Transporte de medios: Cobertura ante prdidas o daos o medios transportados.

3.- Areas de la Seguridad Fsica: El auditor se ha de vale de otras personas que tengas los conocimientos necesarios para poder realizar el trabajo de seguridad en cuanto a las instalaciones. Despus de eso el auditor se ha de interesar por otros campos tales como: Organigrama- Dependencias orgnicas, funcionales y jerarquas. Auditora Interna. Administracin de la Seguridad. Centro de procesos de datos e instalaciones. Computadores personales. Equipos y comunicaciones. Computadores personales. Seguridad fsica del personal. Infraestructura Redes.

4.- Fuentes de la Auditoria fsica: Plan de auditora lleva a realizar pruebas de cumplimiento y sustantivas. En todo CPD se sealan algunas fuentes. Polticas, normas y planes sobre seguridad. Auditorias anteriores. Contratos de seguros, de proveedores y mantenimiento. Entrevistas. Actas e informes de tcnicos y consultores. Plan de contingencia y valoracin de pruebas. Informes sobre accesos y visitas. Polticas de personal.

Inventarios de soporte.

5. Objetivos de la Auditoria: Los objetivos van en un orden lgico de afuera a dentro Edificio. Instalaciones. Equipamiento y telecomunicaciones. Datos. Persona. Procesos Remotos.

6.- Tcnicas y Herramientas del Auditor: Su fin es obtener evidencia fsica. Tcnicas Observacin. Revisin analtica de documentacin, polticas, normas, contratos entre otras. Entrevistas. Consultas. Herramientas. Cuaderno de campo/ Grabadora de audio. Cmara fotogrfica/ Cmara de video. Su uso debe ser discreto y siempre con consentimiento del personal.

7.- Responsabilidades de los Auditores: El auditor informtico no debe desarrollar su actividad como una mera funcin policial, debe dar una imagen de colaborador ayudando que en la de fiscalizador o caza-infractores. Un auditor informtico es un profesional especializado en ramas de la auditora informtica, principalmente dedicado al anlisis de sistemas de informacin, que tiene conocimientos generales de los mbitos en los que sta se mueve, adems de contar con conocimientos empresariales generales.

El auditor puede actuar como consultor con su auditado, dndole ideas de cmo enfocar la construccin de los elementos de control y administracin que le sean propios. Adems, puede actuar como consejero con la organizacin en la que est desarrollando su labor. Un entorno informtico bien controlado puede ser ineficiente si no es consistente con los objetivos de la organizacin. Tambin el auditor informtico es responsable de establecer los objetivos de control que reduzcan o eliminen la exposicin al riesgo de control interno. Despus de que los objetivos de auditora se hayan establecido, el auditor debe revisar los controles y evaluar los resultados de su revisin para determinar las reas que requieran correcciones o mejoras. Adems de analizar el grado de implantacin y cumplimiento de los controles internos, se considera que el auditor puede hacer las veces de consultor del auditado, dndole ideas de cmo establecer procedimientos de seguridad, control interno, efectividad y eficacia, medicin del riesgo empresarial, entre otros. Auditor informtico Interno: Revisar los controles relativos a Seguridad Fsica. Revisar el cumplimiento de los procedimientos. Evaluar Riesgos. Revisin de cumplimiento de las polticas y Normas sobre Seguridad Fsica. Efectuar Auditorias programadas e imprevistas. Emitir informen y efectuar el seguimiento de las recomendaciones.

Auditor Informtica Externo: Revisar las funciones de los Auditores internos. Mismas responsabilidades que los auditores internos. Revisar los planes de Seguridad y Contingencias. Emitir informes y recomendaciones.

8.- Fases de la Auditoria Fsica: Considerando la metodologa de ISACA (Information Systems Audit and Control Association) Fase 1 Alcance de la Auditora Fase 2 Adquisicin de Informacin general Fase 3 Administracin y Planificacin Fase 4 Plan de auditora

Fase 5 Resultados de las Pruebas Fase 6 Conclusiones y Comentarios Fase 7 Borrador del Informe Fase 8 Discusin con los Responsables de Area Fase 9 Informe Final Informe anexo al informe carpeta de evidencias Fase 10 Seguimiento de las modificaciones acordadas

9.- Desarrollo de las Fases de la Auditoria Fsica: Siguiendo la tcnica del CHECK-LIST: El Check-List es una lista de comprobacin que sirve para servir de gua y recordar los puntos que deben ser inspeccionados en funcin de los conocimientos que se tienen sobre las caractersticas y riesgos de las instalaciones.
El check-list debe referirse a cuatro aspectos distintos de la prevencin de riesgos laborales:

Al agente material: instalaciones, mquinas, herramientas, sustancias peligrosas, suelos, paredes, objetos Al entorno ambiental: orden y limpieza, ruido, iluminacin, temperatura, condiciones higromtricas, corrientes de aire A las caractersticas personales de los trabajadores: conocimientos, aptitudes, actitudes, grado de adiestramiento, comportamiento A la organizacin: gestin de la prevencin, formacin, mtodos y procedimientos, sistema de comunicaciones

Fase de Adquisicin de informacin. Acuerdo de Empresa para el plan de contingencia. Acuerdo de un Proceso Alternativo. Proteccin de datos. Manual del Plan de Contingencia. Entrega conclusiones.

Recomendaciones

1. Verificar la elaboracin y actualizacin constante de normas, polticas y

procedimientos de las reas vitales de la organizacin. 2. Determinar de manera clara, sencilla y objetiva: visin, misin, valores y objetivos de la empresa; la organizacin obtiene resultados cuando centra la accin de mejora en una filosofa que rige su diario desarrollo. 3. Elaborar los objetivos departamentales que apoyan a los de la empresa, con la participacin y colaboracin del personal. 4. Establecer una definicin clara del rol de las reas corporativas de las organizaciones (asesora, servicio, direccin), definindose claramente la relacin cliente- proveedor, generando hasta -donde sea posible las reas corporativas su propia informacin, para evitar entorpecer las operaciones de las entidades a las que se da servicio y asesora. 5. Concientizar a los lderes de las organizaciones que para mandar no se requiere nicamente la autoridad, es necesario tambin un liderazgo. Un buen lder demuestra en su actuacin diaria en el trabajo: Constancia Congruencia Integridad Confiabilidad Autenticidad. 6. Mantener como parte de la cultura de la empresa, estar a la vanguardia y atento a los ltimos adelantos en tecnologa y equipos, no slo en reas tcnicas sino en las administrativas. 7. Clarificar los objetivos y el rol de cada puesto, definiendo objetivamente el perfil del mismo, elaborar polticas claras para contratar al personal con base en ello y no en el criterio personal del jefe inmediato y/o reclutador. 8. Dar instrucciones claras y precisas a los subordinados, pero al mismo tiempo fomentar la creatividad y la iniciativa de los mismos. 9. Implemente un sistema constructivo de disciplina y orden que evite comportamientos inadecuados y seale que hacer en caso de desviaciones.

10. Mantener, como costumbre organizacional en la empresa, auditorias peridicas en todas las reas de la misma (no slo las contables), con el objetivo de sealar posibles desviaciones a normas, polticas y procedimientos. Esto evitar que los problemas hagan crisis por no tener un sistema que los detecte en su inicio. 11. Si desea implementar un sistema de cambio en la organizacin no pretenda hacerlo Por decreto, evale y jerarquice qu hacer primero, hgalo por partes, generalmente esto requiere tiempo, no quiera comerse el pastel de un solo bocado, ya que no se puede, apyelo con un programa de "desarrollo organizacional", recuerde: la empresa no cambia siempre ser la misma, lo que hay que cambiar es la forma de ser y actuar de las personas que tienen a su cargo la organizacin.