Está en la página 1de 58

Introducción Conceptos de Auditoría de Sistemas * Tipos de Auditoría * Objetivos Generales de una Auditoría de Sistemas * Justificativos para efectuar una

Auditoría de Sistemas * Controles * Clasificación general de los controles * • Controles Preventivos * • Controles detectivos * • Controles Correctivos * Principales Controles físicos y lógicos * Controles automáticos o lógicos * Controles administrativos en un ambiente de Procesamiento de Datos * • Controles de Preinstalación * • Controles de organización y Planificación * • Controles de Sistema en Desarrollo y Producción * • Controles de Procesamiento * • Controles de Operación * • Controles en el uso del Microcomputador * • Análisis de Casos de Controles Administrativos * Metodología de una Auditoría de Sistemas * • Caso Práctico * Introducción

Conceptos de Auditoría de Sistemas La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas. A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia: Auditoría de Sistemas es:

• •

La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. La actividad dirigida a verificar y juzgar información. El examen y evaluación de los procesos del Area de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado:

Daños Salvaguarda activos Destrucción Uso no autorizado Robo Mantiene Integridad de Información Precisa, los datos Completa Oportuna Confiable Alcanza metas Contribución de la organizacionales función informática Consume recursos Utiliza los recursos adecuadamente

eficientemente en el procesamiento de la información

• • •

Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a: Eficiencia en el uso de los recursos informáticos Validez de la información Efectividad de los controles establecidos

Tipos de Auditoría Existen algunos tipos de auditoría entre las que la Auditoría de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la función informática. Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo mismo que Auditoría Financiera. Entre los principales enfoques de Auditoría tenemos los siguientes: Financiera Veracidad de estados financieros Preparación de informes de acuerdo a principios contables Evalúa la eficiencia, Operacional Eficacia Economía de los métodos y procedimientos que rigen un proceso de una empresa Sistemas Se preocupa de la función informática Fiscal Se dedica a observar el cumplimiento de las leyes fiscales Administrativa Analiza: Logros de los objetivos de la Administración Desempeño de funciones administrativas Evalúa: Calidad Métodos Mediciones

Controles de los bienes y servicios Revisa la contribución a la sociedad Social así como la participación en actividades socialmente orientadas Objetivos Generales de una Auditoría de Sistemas
• • • • • • • • • •

Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD Incrementar la satisfacción de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de función informática a las metas y objetivos de la organización Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático Minimizar existencias de riesgos en el uso de Tecnología de información Decisiones de inversión y gastos innecesarios Capacitación y educación sobre controles en los Sistemas de Información

Justificativos para efectuar una Auditoría de Sistemas
• • • • • •

• •

Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) Desconocimiento en el nivel directivo de la situación informática de la empresa Falta total o parcial de seguridades lógicas y fisicas que garanticen la integridad del personal, equipos e información. Descubrimiento de fraudes efectuados con el computador Falta de una planificación informática Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción Controles

Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos.

Clasificación general de los controles

Controles Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones . Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones Sistemas de claves de acceso

Controles detectivos

Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditoría Procedimientos de validación

Controles Correctivos

Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar dificil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores. Principales Controles físicos y lógicos Controles particulares tanto en la parte fisica como en la lógica se detallan a continuación Autenticidad Permiten verificar la identidad 1. Passwords 1. Firmas digitales Exactitud Aseguran la coherencia de los datos 1. Validación de campos 1. Validación de excesos Totalidad Evitan la omisión de registros así como garantizan la conclusión de un proceso de envio

Mantenimiento de activos Protección de Activos Destrucción o corrupción de información o del hardware 1. Análisis costo-beneficio Controles automáticos o lógicos Periodicidad de cambio de claves de acceso .1. Passwords Efectividad Aseguran el logro de los objetivos 1. Cancelación de lotes 1. Conteo de regitros 1. Medición de niveles de servicio Eficiencia Aseguran el uso óptimo de los recursos 1. Encuestas de satisfacción 1. Compactación 1. Programas monitores 1. Encriptación Existencia Aseguran la disponibilidad de los datos 1. Cifras de control Redundancia Evitan la duplicidad de datos 1. Verificación de secuencias Privacidad Aseguran la protección de los datos 1. Bitácora de estados 1. Extintores 1.

columnas. Verificación de datos de entrada Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión.Los cambios de las claves de acceso a los programas se deben realizar periódicamente. Confidenciales De forma confidencial los usuarios deberán ser instruidos formalmente respecto al uso de las claves. separando solo aquellos formularios o registros con diferencias. Totales de Control Se realiza mediante la creación de totales de linea. tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango. ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave. Combinación de alfanuméricos en claves de acceso No es conveniente que la clave este compuesta por códigos de empleados. por tanto es individual y personal. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. Verficación de limites . cantidad de formularios. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente. . No significativas Las claves no deben corresponder a números secuenciales ni a nombres o fechas. y automáticamente verificar con un campo en el cual se van acumulando los registros. El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación. Conteo de registros Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados. etc. Para redefinir claves es necesario considerar los tipos de claves que existen: Individuales Pertenecen a un solo usuario. cifras de control.

Tal es el caso por ejemplo del decimo dígito de la cédula de identidad. entre otros.Controles de Sistemas en Desarrollo y Producción 4. que detecta la corrección o no del código. Dígito autoerificador Consiste en incluir un dígito adicional a una codificación.. el mismo que es resultado de la aplicación de un algoritmo o formula. códigos. de tal modo que solo el personal autorizado pueda utilizarlo.... Adicionalmente. LATTICE. Verificación de secuencias En ciertos procesos los registros deben observar cierta secuencia numerica o alfabetica. limites mínimos y máximos o bajo determinadas condiciones dadas previamente. Controles administrativos en un ambiente de Procesamiento de Datos La máxima autoridad del Area de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma: 1.Controles de Preinstalación 2. conocido como MODULOS. .SECRET DISK..Controles de Operación 6. esta verificacion debe hacerse mediante rutinas independientes del programa en si.Controles de Procesamiento 5.. calculado con el modulo 10 o el ultimo dígito del RUC calculado con el módulo 11. ascendente o descendente.Consiste en la verificación automática de tablas. este software permite reforzar la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que están autorizados.Controles de Organización y Planificación 3. Utilizar software de seguridad en los microcomputadores El software de seguridad permite restringir el acceso al microcomputador.Controles de uso de Microcomputadores • Controles de Preinstalación Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes. Programas de este tipo son: WACHDOG.

actividades. programación y diseño de sistemas deben estar claramente delimitadas. responsables) el mismo que debe contar con la aprobación de los proveedores del equipo. Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación Elaborar un plan de instalación de equipo y software (fechas. incluyendo un estudio costobeneficio. software y servicios de computación. Este proceso debe enmarcarse en normas y disposiciones legales. Efectuar las acciones necesarias para una mayor participación de proveedores. Garantizar la selección adecuada de equipos y sistemas de computación Asegurar la elaboración de un plan de actividades previo a la instalación Acciones a seguir: • • • • • • • Elaboración de un informe técnico en el que se justifique la adquisición del equipo. cuente con el apoyo necesario y la dirección efectiva.Objetivos: • • • Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. . Diseñar un sistema Elaborar los programas Operar el sistema Control de calidad Se debe evitar que una misma persona tenga el control de toda una operación. 1. Asegurar respaldo de mantenimiento y asistencia técnica. linea de autoridad y responsabilidad de las diferentes unidades del área PAD. Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas. 1. Es importante la utilización óptima de recursos en el PAD mediante la preparación de planes a ser evaluados continuamente Acciones a seguir • • • La unidad informática debe estar al mas alto nivel de la pirámide administrativa de manera que cumpla con sus objetivos. 1. Las funciones de operación. en labores tales como: 1. Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos. programas y servicios computacionales. Controles de organización y Planificación Se refiere a la definición clara de funciones.

La documentación deberá contener: Informe de factibilidad Diagrama de bloque Diagrama de lógica del programa Objetivos del programa Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobación de modificaciones Formatos de salida Resultados de pruebas realizadas . Las actividades del PAD deben obedecer a planificaciones a corto. que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados. Controles de Sistema en Desarrollo y Producción Se debe justificar que los sistemas han sido la mejor opción para la empresa.• • • • • • Debe existir una unidad de control de calidad. El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito. bajo una relación costo-beneficio que proporcionen oportuna y efectiva información. procedimientos y en general a normatividad escrita y aprobada. usuarios y personal del PAD en la planificación y evaluación del cumplimiento del plan. Todos los sistemas deben estar debidamente documentados y actualizados. metodologías estándares. Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores. Las instrucciones deben impartirse por escrito. diseño y mantenimiento de sistemas obedece a planes específicos. Los programas antes de pasar a Producción deben ser probados con datos que agoten todas las excepciones posibles. mediano y largo plazo sujetos a evaluación y ajustes periódicos "Plan Maestro de Informática" Debe existir una participación efectiva de directivos. Acciones a seguir: Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio • • • • • El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir y solicitar la implantación de rutinas de control El desarrollo. tanto de datos de entrada como de los resultado del procesamiento.

• • Implantar procedimientos de solicitud. Analizar conveniencia costo-beneficio de estandarización de formularios. formatos de los sistemas en desarrollo. Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema. Adoptar acciones necesaria para correcciones de errores. Preparación de datos de entrada debe ser responsabilidad de usuarios y consecuentemente su corrección. fuente para agilitar la captura de datos y minimizar errores. Acciones a seguir: • • • • • • • Validación de datos de entrada previo procesamiento debe ser realizada en forma automática: clave. etc. El sistema concluido sera entregado al usuario previo entrenamiento y elaboración de los manuales de operación respectivos Controles de Procesamiento • Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información. Los controles tienen como fin: • • • • Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD Garantizar la integridad de los recursos informáticos. tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios. aprobación y ejecución de cambios a programas. la administración de la cintoteca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line. Planificar el mantenimiento del hardware y software. Controles de Operación • Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento. dígito autoverificador. Recepción de datos de entrada y distribución de información de salida debe obedecer a un horario elaborado en coordinación con el usuario. totales de lotes. . realizando un debido control de calidad. lo que conlleva al establecimiento de una serie de seguridades para: • • • • Asegurar que todos los datos sean procesados Garantizar la exactitud de los datos procesados Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones. Asegurar la utilización adecuada de equipos acorde a planes y objetivos.

asi como extintores de incendio. de fácil acceso. humo. preferentemente en bóvedas de bancos. a personal autorizado. Contratar pólizas de seguros para proteger la información. Controles en el uso del Microcomputador • Es la tarea mas difícil pues son equipos mas vulnerables. UPS. etc. Se deben implantar calendarios de operación a fin de establecer prioridades de proceso. dejando constancia de suspensiones o cancelaciones de procesos. Todas las actividades del Centro de Computo deben normarse mediante manuales. Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados. intentos de violación y como responder ante esos eventos. personal y todo riesgo que se produzca por casos fortuitos o mala operación. generadores de energía. vandalismo. Acciones a seguir: . instructivos. Instalar equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje. conexiones eléctricas seguras. robo y uso indebido. El proveedor de hardware y software deberá proporcionar lo siguiente: Manual de operación de equipos Manual de lenguaje de programación Manual de utilitarios disponibles Manual de Sistemas operativos • • • Las instalaciones deben contar con sistema de alarma por presencia de fuego. Formular políticas respecto a seguridad. de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información. supresores pico. entre otras.Recursos Informáticos Acciones a seguir: • • • • • • • • • El acceso al centro de computo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado Implantar claves o password para garantizar operación de consola y equipo central (mainframe). privacidad y protección de las facilidades de procesamiento ante eventos como: incendio. normas. equipos. Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en caso de destrucción de archivos. Mantener un registro permanente (bitácora) de todos los procesos realizados. reglamentos.

software utilizado como procesadores de palabras. procedió a destruirlo.Identifique uno o más controles alternativos que hubieran ayudado a prevenir o a detectar el problema. Propender a la estandarización del Sistema Operativo.• • • • • • Adquisicion de equipos de protección como supresores de pico. Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa. reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo. Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos. manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas. Alternativas de Solución • Los formularios para modificarse a los archivos maestros deberían ser prenumerados. Analizados los distintos tipos de controles que se aplican en la Auditoría de Sistemas efectuaremos a continuación el análisis de casos de situaciones hipotéticas planteadas como problemáticas en distintas empresas . Establecer procedimientos para obtención de backups de paquetes y de archivos de datos. Cuando el listado de modificaciones al archivo maestro de proveedores (impreso por esta única modificación procesada en la oportunidad ) le fue enviado para su verificación con los datos de entrada. y fueran luego remitidos a la citada casilla de correo. • Análisis de Casos de Controles Administrativos Controles sobre datos fijos Lea cada situación atentamente y 1.. el departamento usuario respectivo debería controlar su secuencia numérica. Su objetivo era que el sistema emitiera cheques a la orden del referido proveedor. Situación 1 Un empleado del grupo de control de datos obtuvo un formulario para modificaciones al archivo maestro de proveedores (en blanco) y lo completo con el código y nombre de un proveedor ficticio. 2. asignándole como domicilio el numero de una casilla de correo que previamente había abierto a su nombre. .. con la finalidad de efectuar el análisis del caso e identificar las acciones que se deberían implementar .Enuncie un control que hubiera prevenido el problema o posibilitado su detección. hojas electrónicas.

y los mismos son atendidos directamente por los supervisores de ventas. en la misma proporción que aquellas facturadas a los clientes especiales. Alternativas de Solución • • • • • Uso de formularios prenumerados para modificaciones y controles programados diseñado para detectar alteraciones en la secuencia numérica de los mismos. razón por la cual el archivo maestro de precios estaba desactualizado. Alternativas de Solución • • Preparación de totales de control del usuario y reconciliación con los acumulados del campo remuneraciones. debido al volumen de sus compras. suma de campos importantes. Conciliación de totales de control de campos significativos con los acumulados por el computador.) que deberían ser reconciliados por los departamentos usuarios con los listados anteriores. Revisión de listados periódicos del contenido del archivo maestro de precios.• Los listados de modificaciones a los archivos maestros no sólo deberían listar los cambios recientemente procesados. . Situación 3 El operador del turno de la noche. Aplicación de control de límites de razonabilidad. Sus clientes son minoristas locales y del exterior. modifico (por consola) al archivo maestro de remuneraciones a efectos de lograr que se abonara a una remuneración más elevada a un operario del área de producción con el cual estaba emparentado. fecha de la última modificación . algunos son considerados " clientes especiales". sino también contener totales de control de los campos importantes. El fraude fue descubierto accidentalmente varios meses después. Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido procesados.(número de registros. Los clientes especiales no se incrementan por lo general. por el computador.etc. Situación 4 XX Inc. Situación 2 Al realizar una prueba de facturación los auditores observaron que los precios facturados en algunos casos no coincidían con los indicados en las listas de precios vigente. Es un mayorista de equipos de radio que comercializa sus equipos a través de una vasta red de representantes. cuyos conocimientos de programación eran mayores de los que los demás suponían. Creación de totales de control por lotes de formularios de modificaciones y su posterior reconciliación con un listado de las modificaciones procesadas. Generación y revisión de los listados de modificaciones procesadas por un delegado responsable.

por funcionarios competentes en la oficina central. Alternativas de Solución • • • • La empresa debería actualizar el archivo maestro de precios y condiciones de venta aplicando la totalidad del porcentaje de incremento. como resultado de las cuales se despacharon mercaderías a clientes inexistentes. los propios supervisores estipulan qué porción del incremento se aplica a cada uno de los clientes especiales. Situación 5 Un empleado del almacén de productos terminados ingresos al computador ordenes de despacho ficticias. Estos nuevos precios de venta fueron informados a la oficina central por medio de formularios de datos de entrada. Los supervisores de venta deberían remitir formularios de entrada de datos transcribiendo los descuentos propuestos para clientes especiales.recomendaron incrementos inferiores que oscilaron entre un 10% y un 20%. Esta situación fue descubierta hasta que los auditores realizaron pruebas de cumplimientos y comprobaron que existían algunos despachos no autorizados. el archivo maestro de precios y condiciones de venta a clientes especiales no es automáticamente actualizado. en tanto que otros -por razones comerciales. diseñados al efecto. algunos supervisores incrementaron los precios en el referido porcentaje.Al incrementarse los precios. despidiéndose al involucrado. antes de su procesamiento. En lo que atañe a los clientes especiales. Los formularios deberían ser prenumerados. Debe realizarse una revisión critica de listados de excepción emitidos con la nómina de aquellos clientes cuyos precios de venta se hubiesen incrementado en menos de un determinado porcentaje. El fraude fue descubierto accidentalmente. procediéndose a la actualización del archivo maestro. con documentación . El 2 de mayo de 1983 la compañía incrementó sus precios de venta en un 23%. En la oportunidad. pero no se interrumpió la relación comercial. Alternativas de Solución • Un empleado independiente de la custodia de los inventarios debería reconciliar diariamente la información sobre despachos generada como resultado del procesamiento de las órdenes de despacho. Ningún funcionario en la oficina central detectó la no actualización de los precios facturados a referido cliente razón por la cual la compañía se vio perjudicada por el equivalente a US$ 50.000. uno de los supervisores acordó con uno de sus clientes especiales no incrementar los precios de venta (omitió remitir el citado formulario para su procesamiento) a cambio de una "comisión’’ del 5% de las ventas. controlados y aprobados. el archivo maestro de precios y condiciones de venta a clientes comunes fue actualizado en dicho porcentaje.

01. notas de pedido aprobadas por la gerencia de ventas.801 según surge del listado diario de cobranzas en efectivo. Generación y revisión de listados periódicos del contenido del archivo maestro de precios. razón por la cual el archivo maestro de precios estaba desactualizado. Generación y revisión. De esta manera se detectarían los despachos ficticios.procesada independientemente. los auditores observaron que los precios facturados en algunos casos no coincidían con los indicados en las listas de precios vigentes. Introducción Conceptos de Auditoría de Sistemas * Tipos de Auditoría * Objetivos Generales de una Auditoría de Sistemas * Justificativos para efectuar una Auditoría de Sistemas * Controles * Clasificación general de los controles * • Controles Preventivos * • Controles detectivos * • Controles Correctivos * . fue ingresada al computador por $ 1. Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido procesados. de los listados de modificaciones procesadas. Alternativas de Solución • • • • Creación de totales de control por lotes de formularios de modificaciones y su posterior reconciliación con un listado de las modificaciones procesadas. Situación 6 Al realizar una prueba de facturación. Situación 7 Una cobranza en efectivo a un cliente registrada claramente en el correspondiente recibo como de $ 18. por ejemplo. Conciliación de totales de control con los acumulados por el computador referentes al contenido de campos significativos. por un funcionario responsable.

desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. en caso de que existan.Principales Controles físicos y lógicos * Controles automáticos o lógicos * Controles administrativos en un ambiente de Procesamiento de Datos * • Controles de Preinstalación * • Controles de organización y Planificación * • Controles de Sistema en Desarrollo y Producción * • Controles de Procesamiento * • Controles de Operación * • Controles en el uso del Microcomputador * • Análisis de Casos de Controles Administrativos * Metodología de una Auditoría de Sistemas * • Caso Práctico * Introducción Conceptos de Auditoría de Sistemas La palabra auditoría viene del latín auditorius y de esta proviene auditor. La actividad dirigida a verificar y juzgar información. El examen y evaluación de los procesos del Area de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen. para . o bien mejorar la forma de actuación. pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que. Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión. se tomen decisiones que permitan corregir los errores. que tiene la virtud de oir y revisar cuentas. A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia: Auditoría de Sistemas es: • • • La verificación de controles en el procesamiento de la información. por medio del señalamiento de cursos alternativos de acción. evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.

efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. crítico(evidencia). selectivo (muestras) de las políticas. prácticas. El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado: Daños Salvaguarda activos Destrucción Uso no autorizado Robo Mantiene Integridad de Información Precisa. sistemático (normas). los datos Completa Oportuna Confiable Alcanza metas Contribución de la organizacionales función informática Consume recursos Utiliza los recursos adecuadamente eficientemente en el procesamiento de la información • • • • Es el examen o revisión de carácter objetivo (independiente). con el fin de emitir una opinión profesional (imparcial) con respecto a: Eficiencia en el uso de los recursos informáticos Validez de la información Efectividad de los controles establecidos Tipos de Auditoría Existen algunos tipos de auditoría entre las que la Auditoría de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la función informática. procedimientos e informes relacionados con los sistemas de información computarizados. Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo mismo que Auditoría Financiera. Entre los principales enfoques de Auditoría tenemos los siguientes: Financiera Veracidad de estados financieros .• llegar a establecer el grado de eficiencia. normas. procesos. funciones.

Preparación de informes de acuerdo a principios contables Evalúa la eficiencia. Operacional Eficacia Economía de los métodos y procedimientos que rigen un proceso de una empresa Sistemas Se preocupa de la función informática Fiscal Se dedica a observar el cumplimiento de las leyes fiscales Administrativa Analiza: Logros de los objetivos de la Administración Desempeño de funciones administrativas Evalúa: Calidad Métodos Mediciones Controles de los bienes y servicios Revisa la contribución a la sociedad Social así como la participación en actividades socialmente orientadas Objetivos Generales de una Auditoría de Sistemas • • • • • • Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD Incrementar la satisfacción de los usuarios de los sistemas computarizados Asegurar una mayor integridad. datos. confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. software e instalaciones Apoyo de función informática a las metas y objetivos de la organización . Seguridad de personal. hardware.

permitiendo cierto margen de violaciones . objetivos. confianza. ordenes impartidas y principios admitidos. metodología. equipos e información. falta de políticas.• • • • Seguridad. Descubrimiento de fraudes efectuados con el computador Falta de una planificación informática Organización que no funciona correctamente. asignación de tareas y adecuada administración del Recurso Humano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción Controles Conjunto de disposiciones metódicas. utilidad. Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones Sistemas de claves de acceso • Controles detectivos Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Ejemplo: Archivos y procesos que sirvan como pistas de auditoría Procedimientos de validación . Son los mas importantes para el auditor. cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados. privacidad y disponibilidad en el ambiente informático Minimizar existencias de riesgos en el uso de Tecnología de información Decisiones de inversión y gastos innecesarios Capacitación y educación sobre controles en los Sistemas de Información Justificativos para efectuar una Auditoría de Sistemas • • • • • • • • Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) Desconocimiento en el nivel directivo de la situación informática de la empresa Falta total o parcial de seguridades lógicas y fisicas que garanticen la integridad del personal. Clasificación general de los controles • Controles Preventivos Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. normas.

debido a que la corrección de errores es en si una actividad altamente propensa a errores. Compactación 1. Firmas digitales Exactitud Aseguran la coherencia de los datos 1. Passwords 1. Cancelación de lotes 1.• Controles Correctivos Ayudan a la investigación y corrección de las causas del riesgo. Validación de campos 1. La corrección adecuada puede resultar dificil e ineficiente. siendo necesaria la implantación de controles detectivos sobre los controles correctivos. Verificación de secuencias Privacidad Aseguran la protección de los datos 1. Cifras de control Redundancia Evitan la duplicidad de datos 1. Principales Controles físicos y lógicos Controles particulares tanto en la parte fisica como en la lógica se detallan a continuación Autenticidad Permiten verificar la identidad 1. Encriptación Existencia Aseguran la disponibilidad de los datos . Validación de excesos Totalidad Evitan la omisión de registros así como garantizan la conclusión de un proceso de envio 1. Conteo de regitros 1.

Passwords Efectividad Aseguran el logro de los objetivos 1. Bitácora de estados 1. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente. Extintores 1. Combinación de alfanuméricos en claves de acceso No es conveniente que la clave este compuesta por códigos de empleados. . por tanto es individual y personal. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. Análisis costo-beneficio Controles automáticos o lógicos Periodicidad de cambio de claves de acceso Los cambios de las claves de acceso a los programas se deben realizar periódicamente. Para redefinir claves es necesario considerar los tipos de claves que existen: Individuales Pertenecen a un solo usuario.1. ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave. Programas monitores 1. El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación. Medición de niveles de servicio Eficiencia Aseguran el uso óptimo de los recursos 1. Encuestas de satisfacción 1. Mantenimiento de activos Protección de Activos Destrucción o corrupción de información o del hardware 1. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio.

conocido como MODULOS. limites mínimos y máximos o bajo determinadas condiciones dadas previamente. códigos. Tal es el caso por ejemplo del decimo dígito de la cédula de identidad. Totales de Control Se realiza mediante la creación de totales de linea. .Confidenciales De forma confidencial los usuarios deberán ser instruidos formalmente respecto al uso de las claves. ascendente o descendente. calculado con el modulo 10 o el ultimo dígito del RUC calculado con el módulo 11. etc. No significativas Las claves no deben corresponder a números secuenciales ni a nombres o fechas. Conteo de registros Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados. separando solo aquellos formularios o registros con diferencias. cifras de control. cantidad de formularios. tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango. y automáticamente verificar con un campo en el cual se van acumulando los registros. Verificación de secuencias En ciertos procesos los registros deben observar cierta secuencia numerica o alfabetica. el mismo que es resultado de la aplicación de un algoritmo o formula. Dígito autoerificador Consiste en incluir un dígito adicional a una codificación. Verificación de datos de entrada Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión. . esta verificacion debe hacerse mediante rutinas independientes del programa en si. de tal modo que solo el personal autorizado pueda utilizarlo. Verficación de limites Consiste en la verificación automática de tablas. Utilizar software de seguridad en los microcomputadores El software de seguridad permite restringir el acceso al microcomputador. columnas. que detecta la corrección o no del código.

. Objetivos: • • • Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. LATTICE.. este software permite reforzar la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que están autorizados.SECRET DISK. Garantizar la selección adecuada de equipos y sistemas de computación Asegurar la elaboración de un plan de actividades previo a la instalación Acciones a seguir: • • • • • Elaboración de un informe técnico en el que se justifique la adquisición del equipo. Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos. Efectuar las acciones necesarias para una mayor participación de proveedores.Controles de Operación 6. Controles administrativos en un ambiente de Procesamiento de Datos La máxima autoridad del Area de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma: 1.. Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación Elaborar un plan de instalación de equipo y software (fechas.Controles de Sistemas en Desarrollo y Producción 4. programas y servicios computacionales.Controles de Organización y Planificación 3. incluyendo un estudio costobeneficio. responsables) el mismo que debe contar con la aprobación de los proveedores del equipo. software y servicios de computación. entre otros.Controles de uso de Microcomputadores • Controles de Preinstalación Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes. Programas de este tipo son: WACHDOG.Controles de Preinstalación 2.. actividades.Adicionalmente... Este proceso debe enmarcarse en normas y disposiciones legales..Controles de Procesamiento 5.

El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito. mediano y largo plazo sujetos a evaluación y ajustes periódicos "Plan Maestro de Informática" Debe existir una participación efectiva de directivos. Debe existir una unidad de control de calidad. tanto de datos de entrada como de los resultado del procesamiento. programación y diseño de sistemas deben estar claramente delimitadas. Acciones a seguir: Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio . 1. usuarios y personal del PAD en la planificación y evaluación del cumplimiento del plan. linea de autoridad y responsabilidad de las diferentes unidades del área PAD. Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas. 1. que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados. cuente con el apoyo necesario y la dirección efectiva. Las actividades del PAD deben obedecer a planificaciones a corto. en labores tales como: 1. Las instrucciones deben impartirse por escrito.• • Asegurar respaldo de mantenimiento y asistencia técnica. Diseñar un sistema Elaborar los programas Operar el sistema Control de calidad Se debe evitar que una misma persona tenga el control de toda una operación. Controles de Sistema en Desarrollo y Producción Se debe justificar que los sistemas han sido la mejor opción para la empresa. Es importante la utilización óptima de recursos en el PAD mediante la preparación de planes a ser evaluados continuamente Acciones a seguir • • • • • • • • • La unidad informática debe estar al mas alto nivel de la pirámide administrativa de manera que cumpla con sus objetivos. 1. Las funciones de operación. Controles de organización y Planificación Se refiere a la definición clara de funciones. bajo una relación costo-beneficio que proporcionen oportuna y efectiva información.

procedimientos y en general a normatividad escrita y aprobada. El sistema concluido sera entregado al usuario previo entrenamiento y elaboración de los manuales de operación respectivos Controles de Procesamiento • Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información. formatos de los sistemas en desarrollo. La documentación deberá contener: Informe de factibilidad Diagrama de bloque Diagrama de lógica del programa Objetivos del programa Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobación de modificaciones Formatos de salida Resultados de pruebas realizadas • • Implantar procedimientos de solicitud. Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores. etc. diseño y mantenimiento de sistemas obedece a planes específicos. totales de lotes. lo que conlleva al establecimiento de una serie de seguridades para: • • • • Asegurar que todos los datos sean procesados Garantizar la exactitud de los datos procesados Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones. aprobación y ejecución de cambios a programas.• • • • • El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir y solicitar la implantación de rutinas de control El desarrollo. dígito autoverificador. Todos los sistemas deben estar debidamente documentados y actualizados. Los programas antes de pasar a Producción deben ser probados con datos que agoten todas las excepciones posibles. metodologías estándares. Acciones a seguir: • Validación de datos de entrada previo procesamiento debe ser realizada en forma automática: clave. .

• • • • • • Preparación de datos de entrada debe ser responsabilidad de usuarios y consecuentemente su corrección. Se deben implantar calendarios de operación a fin de establecer prioridades de proceso. Analizar conveniencia costo-beneficio de estandarización de formularios. Planificar el mantenimiento del hardware y software. Recepción de datos de entrada y distribución de información de salida debe obedecer a un horario elaborado en coordinación con el usuario. robo y uso indebido. intentos de violación y como responder ante esos eventos. tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios. fuente para agilitar la captura de datos y minimizar errores. a personal autorizado. Adoptar acciones necesaria para correcciones de errores. preferentemente en bóvedas de bancos. Mantener un registro permanente (bitácora) de todos los procesos realizados. Asegurar la utilización adecuada de equipos acorde a planes y objetivos. Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema. Los controles tienen como fin: • • • • Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD Garantizar la integridad de los recursos informáticos. Controles de Operación • Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento. Recursos Informáticos Acciones a seguir: • • • • • • • El acceso al centro de computo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado Implantar claves o password para garantizar operación de consola y equipo central (mainframe). Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados. Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en caso de destrucción de archivos. Formular políticas respecto a seguridad. la administración de la cintoteca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line. . dejando constancia de suspensiones o cancelaciones de procesos. vandalismo. privacidad y protección de las facilidades de procesamiento ante eventos como: incendio. realizando un debido control de calidad.

etc. asi como extintores de incendio. UPS. personal y todo riesgo que se produzca por casos fortuitos o mala operación. hojas electrónicas. equipos. Instalar equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje. reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo. Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos. generadores de energía. Controles en el uso del Microcomputador • Es la tarea mas difícil pues son equipos mas vulnerables. El proveedor de hardware y software deberá proporcionar lo siguiente: Manual de operación de equipos Manual de lenguaje de programación Manual de utilitarios disponibles Manual de Sistemas operativos • • • Las instalaciones deben contar con sistema de alarma por presencia de fuego. Analizados los distintos tipos de controles que se aplican en la Auditoría de Sistemas efectuaremos a continuación el análisis de casos de situaciones hipotéticas planteadas como problemáticas en distintas empresas . Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa. normas.• • Todas las actividades del Centro de Computo deben normarse mediante manuales. manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas. software utilizado como procesadores de palabras. instructivos. Establecer procedimientos para obtención de backups de paquetes y de archivos de datos. • Análisis de Casos de Controles Administrativos . Propender a la estandarización del Sistema Operativo. de fácil acceso. reglamentos. humo. entre otras. de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información. Acciones a seguir: • • • • • • Adquisicion de equipos de protección como supresores de pico. Contratar pólizas de seguros para proteger la información. conexiones eléctricas seguras. con la finalidad de efectuar el análisis del caso e identificar las acciones que se deberían implementar . supresores pico.

suma de campos importantes.Controles sobre datos fijos Lea cada situación atentamente y 1. procedió a destruirlo. el departamento usuario respectivo debería controlar su secuencia numérica.Identifique uno o más controles alternativos que hubieran ayudado a prevenir o a detectar el problema.. razón por la cual el archivo maestro de precios estaba desactualizado. sino también contener totales de control de los campos importantes.(número de registros. 2. asignándole como domicilio el numero de una casilla de correo que previamente había abierto a su nombre. Alternativas de Solución • • Los formularios para modificarse a los archivos maestros deberían ser prenumerados. Los listados de modificaciones a los archivos maestros no sólo deberían listar los cambios recientemente procesados. Cuando el listado de modificaciones al archivo maestro de proveedores (impreso por esta única modificación procesada en la oportunidad ) le fue enviado para su verificación con los datos de entrada.. Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido procesados. Su objetivo era que el sistema emitiera cheques a la orden del referido proveedor. y fueran luego remitidos a la citada casilla de correo. fecha de la última modificación .) que deberían ser reconciliados por los departamentos usuarios con los listados anteriores. . Situación 1 Un empleado del grupo de control de datos obtuvo un formulario para modificaciones al archivo maestro de proveedores (en blanco) y lo completo con el código y nombre de un proveedor ficticio. Alternativas de Solución • • Uso de formularios prenumerados para modificaciones y controles programados diseñado para detectar alteraciones en la secuencia numérica de los mismos.Enuncie un control que hubiera prevenido el problema o posibilitado su detección. Situación 2 Al realizar una prueba de facturación los auditores observaron que los precios facturados en algunos casos no coincidían con los indicados en las listas de precios vigente. Creación de totales de control por lotes de formularios de modificaciones y su posterior reconciliación con un listado de las modificaciones procesadas.etc.

En la oportunidad. y los mismos son atendidos directamente por los supervisores de ventas.• • • Conciliación de totales de control de campos significativos con los acumulados por el computador. procediéndose a la actualización del archivo maestro. algunos supervisores incrementaron los precios en el referido porcentaje. por el computador. el archivo maestro de precios y condiciones de venta a clientes especiales no es automáticamente actualizado. modifico (por consola) al archivo maestro de remuneraciones a efectos de lograr que se abonara a una remuneración más elevada a un operario del área de producción con el cual estaba emparentado. Estos nuevos precios de venta fueron informados a la oficina central por medio de formularios de datos de entrada. El fraude fue descubierto accidentalmente varios meses después. Situación 4 XX Inc. Generación y revisión de los listados de modificaciones procesadas por un delegado responsable. Alternativas de Solución • • Preparación de totales de control del usuario y reconciliación con los acumulados del campo remuneraciones. El 2 de mayo de 1983 la compañía incrementó sus precios de venta en un 23%. uno de los supervisores acordó con uno de sus clientes especiales no incrementar los precios de venta (omitió remitir el citado formulario para su procesamiento) a cambio de una "comisión’’ del 5% de las ventas. En lo que atañe a los clientes especiales. algunos son considerados " clientes especiales". en la misma proporción que aquellas facturadas a los clientes especiales. Sus clientes son minoristas locales y del exterior. Al incrementarse los precios. diseñados al efecto. el archivo maestro de precios y condiciones de venta a clientes comunes fue actualizado en dicho porcentaje. Revisión de listados periódicos del contenido del archivo maestro de precios. Situación 3 El operador del turno de la noche. debido al volumen de sus compras.recomendaron incrementos inferiores que oscilaron entre un 10% y un 20%. Los clientes especiales no se incrementan por lo general. Aplicación de control de límites de razonabilidad. los propios supervisores estipulan qué porción del incremento se aplica a cada uno de los clientes especiales. cuyos conocimientos de programación eran mayores de los que los demás suponían. Ningún funcionario en la oficina central detectó la no actualización de los precios facturados a referido cliente razón por la cual la compañía se vio perjudicada por el . Es un mayorista de equipos de radio que comercializa sus equipos a través de una vasta red de representantes. en tanto que otros -por razones comerciales.

de los listados de modificaciones procesadas. razón por la cual el archivo maestro de precios estaba desactualizado. Esta situación fue descubierta hasta que los auditores realizaron pruebas de cumplimientos y comprobaron que existían algunos despachos no autorizados. El fraude fue descubierto accidentalmente. Los supervisores de venta deberían remitir formularios de entrada de datos transcribiendo los descuentos propuestos para clientes especiales. antes de su procesamiento. De esta manera se detectarían los despachos ficticios. despidiéndose al involucrado. notas de pedido aprobadas por la gerencia de ventas.000. por ejemplo. Alternativas de Solución • • • Creación de totales de control por lotes de formularios de modificaciones y su posterior reconciliación con un listado de las modificaciones procesadas. Alternativas de Solución • Un empleado independiente de la custodia de los inventarios debería reconciliar diariamente la información sobre despachos generada como resultado del procesamiento de las órdenes de despacho. por funcionarios competentes en la oficina central. Los formularios deberían ser prenumerados. por un funcionario responsable. Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido procesados. Situación 5 Un empleado del almacén de productos terminados ingresos al computador ordenes de despacho ficticias. los auditores observaron que los precios facturados en algunos casos no coincidían con los indicados en las listas de precios vigentes. . pero no se interrumpió la relación comercial. Situación 6 Al realizar una prueba de facturación. como resultado de las cuales se despacharon mercaderías a clientes inexistentes. Debe realizarse una revisión critica de listados de excepción emitidos con la nómina de aquellos clientes cuyos precios de venta se hubiesen incrementado en menos de un determinado porcentaje. Generación y revisión. Alternativas de Solución • • • • La empresa debería actualizar el archivo maestro de precios y condiciones de venta aplicando la totalidad del porcentaje de incremento. con documentación procesada independientemente.equivalente a US$ 50. controlados y aprobados. Conciliación de totales de control con los acumulados por el computador referentes al contenido de campos significativos.

Consiste de la revisión de los diagramas de flujo de procesos. Un test de razonabilidad asumiendo que un pago de $361. reglamentos. Manuales de políticas. realización de pruebas de cumplimiento de las seguridades.01. Revisión de documentación y archivos. efectuar visitas a la unidad informática para conocer detalles de la misma.801 según surge del listado diario de cobranzas en efectivo. definirá la metodología de trabajo. el programa de auditoría. establecerá los motivos. Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto. revisión de aplicaciones de las áreas criticas. Situación 7 Una cobranza en efectivo a un cliente registrada claramente en el correspondiente recibo como de $ 18. la duración de la auditoría. elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno. Comparación automática de los pagos recibidos con las facturas pendientes por el número de factura y rechazar o imprimir aquellas discrepancias significativas o no razonables. entre otras actividades. Metodología de una Auditoría de Sistemas Existen algunas metodologías de Auditorías de Sistemas y todas depende de lo que se pretenda revisar o analizar.Incluye definir el grupo de trabajo.-Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo.300 está definido como no razonable. Alternativas de Solución • • • • Contraloría/Auditoría debería preparar y conservar totales de control de los lotes de recibos por cobranzas en efectivo. objetivos.. Efectuar la Doble digitación de campos criticos tales como valor o importe. pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión: • • • • Estudio preliminar Revisión y evaluación de controles y seguridades Examen detallado de áreas criticas Comunicación de resultados Estudio preliminar. Entrevistas con los principales funcionarios del PAD. alcance Recursos que usara. solicitud de plan de actividades.• Generación y revisión de listados periódicos del contenido del archivo maestro de precios. fue ingresada al computador por $ 1. . Examen detallado de áreas criticas. Estos totales deberian ser luego comparados con los totales según el listado diario de cobranzas en efectivo. Revisión de procesos históricos (backups). Revisión y evaluación de controles y seguridades..

.. Departamento de Desarrollo de Proyectos. Así mismo los Departamentos que la componen son: Departamento de Desarrollo de Sistemas y Producción.Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo. Subdirección. POLÍTICAS EN INFORMÁTICA TITULO I DISPOSICIONES GENERALES ARTICULO 1°. El informe debe contener lo siguiente: • • • • • • • • Motivos de la Auditoría Objetivos Alcance Estructura Orgánico-Funcional del área Informática Configuración del Hardware y Software instalado Control Interno Resultados de la Auditoría Caso Práctico A continuación se presenta una política en Informática establecida como propuesta a fin de ilustrar el trabajo realizado de una auditoría de sistemas enfocada en los controles de Organización y planificación.Para los efectos de este instrumento se entenderá por: Comité: Al equipo integrado por la Dirección . los efectos y las recomendaciones de la Auditoría. ARTICULO 2°. Departamento de Soporte Técnico y Departamento de Redes/ Comunicaciones.Comunicación de resultados. Subdirección. el cual presentara esquemáticamente en forma de matriz. Esta política fue creada con la finalidad de que satisfaga a un grupo de empresas jurídicamente establecidas con una estructura departamental del Area de Sistemas integrada por: Dirección . los Jefes departamentales y el personal administrativo de las diferentes unidades administrativas (Ocasionalmente) convocado para fines específicos como: • Adquisiciones de Hardware y software .El presente ordenamiento tiene por objeto estandarizar y contribuir al desarrollo informático de las diferentes unidades administrativas de la Empresa NN. Jefes Departamentales del Area de Sistemas en cada una de las empresas que pertenecen al grupo. cuadros o redacción simple y concisa que destaque los problemas encontrados . Para el efecto se ha creado una Administración de Sistemas que efectúa reuniones periódicas a fin de regular y normar el funcionamiento del área de Sistemas y un Comité en el que participan personal del área de Sistemas y personal administrativo..

al conjunto de reglas obligatorias. y el organismo competente para la aplicación de este ordenamiento. que vigilará la correcta aplicación de los ordenamientos establecidos por el Comité y demás disposiciones aplicables. ARTICULO 6°. cuyo incumplimiento generará que se incurra en responsabilidad administrativa. ARTICULO 7°..Las Políticas en Informática son el conjunto de ordenamientos y lineamientos enmarcados en el ámbito jurídico y administrativo de la Empresa NN. por aquellas instancias que intervengan directa y/o indirectamente en ello.Las empresas de la Empresa NN deberán contar con un Jefe o responsable del Area de Sistemas.. siendo responsabilidad de la Administración de Informática. las cuales son responsables de: • • • • • • • Velar por el funcionamiento de la tecnología informática que se utilice en las diferentes unidades administrativas Elaborar y efectuar seguimiento del Plan Maestro de Informática Definir estrategias y objetivos a corto. es el Comité. tomando las medidas preventivas y correctivas para que se cumplan. las cuales se deberán de acatar invariablemente. vigilar su estricta observancia en el ámbito de su competencia.• • • Establecimiento de estándares de la Empresa NN tanto de hardware como de software Establecimiento de la Arquitectura tecnológica de grupo... ARTICULO 4°. Establecimiento de lineamientos para concursos de ofertas Administración de Informática: Está integrada por la Dirección. TITULO II LINEAMIENTOS PARA LA ADQUISICION DE BIENES DE INFORMATICA .. Estas normas inciden en la adquisición y el uso de los Bienes y Servicios Informáticos en la Empresa NN. en la Empresa NN. ARTICULO 5°. son de observancia para la adquisición y uso de bienes y servicios informáticos. mediano y largo plazo Mantener la Arquitectura tecnológica Controlar la calidad del servicio brindado Mantener el Inventario actualizado de los recursos informáticos Velar por el cumplimiento de las Políticas y Procedimientos establecidos. que deben observar los Jefes de Sistemas responsables del hardware y software existente en la Empresa NN.Las presentes Políticas aquí contenidas. ARTICULO 3°.La instancia rectora de los sistemas de informática de la Empresa NN es la Administración.Para los efectos de este documento. se entiende por Políticas en Informática. sujetándose a lo dispuesto en la sección Responsabilidades Administrativas de Sistemas. Subdirección y Jefes Departamentales. en el que recaiga la administración de los Bienes y Servicios.

b) Deberán tener un año de garantía como mínimo c) Deberán ser equipos integrados de fábrica o ensamblados con componentes previamente evaluados por el Comité.. deberán estar acordes con la tecnología de punta vigente.. quedará sujeta a los lineamientos establecidos en este documento.ARTICULO 8°.. calidad. Experiencia.Para la adquisición de Hardware se observará lo siguiente: a) El equipo que se desee adquirir deberá estar dentro de las listas de ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro de los estándares de la Empresa NN. d) La marca de los equipos o componentes deberá contar con presencia y permanencia demostrada en el mercado nacional e internacional. costo de mantenimiento y consumibles por el período estimado de uso de los equipos.Presencia en el mercado nacional e internacional.. estructura de servicio.Se deberá analizar si satisface la demanda actual con un margen de holgura y capacidad de crecimiento para soportar la carga de trabajo del área. su nivel tecnológico con respecto a la oferta existente y su permanencia en el mercado. precio. Desarrollo Tecnológico. establecerá prioridades y en su selección deberá tomar en cuenta: estudio técnico. como en el ciclo del proceso... e) Tratándose de equipos microcomputadoras. tanto en velocidad de transferencia de datos. el Comité emitirá periódicamente las especificaciones técnicas mínimas para su adquisición. a fin de mantener actualizado la arquitectura informático de la Empresa NN. experiencia. al planear las operaciones relativas a la adquisición de Bienes informáticos. ARTICULO 9°. así como con asistencia técnica y refaccionaria local. f) Los dispositivos de almacenamiento. es decir la arquitectura de grupo empresarial establecida por el Comité.Se deberá analizar su grado de obsolescencia. Esta arquitectura tiene una permanencia mínima de dos a cinco años. • • ARTICULO 11°. entendiéndose por: • • • • Precio.. Calidad. ARTICULO 10°.. así como las interfaces de entrada/salida.La Administración de Informática.Parámetro cualitativo que especifica las características técnicas de los recursos informáticos.. que está conformado por el personal de la Administración de Informática y Gerente Administrativo de la unidad solicitante de bienes o servicios informáticos. estándares y capacidad. . Estándares. desarrollo tecnológico.Toda adquisición se basa en los estándares.La adquisición de Bienes de Informática en la Empresa NN.Costo inicial.Toda adquisición de tecnología informática se efectúa a través del Comité.. la confiabilidad de los bienes y certificados de calidad con los que se cuente. Capacidades.

papel. ARTICULO 13°. equipo de comunicaciones como enrutadores y concentradores de medios. etc. Manejadores de bases de datos: . siendo la lista de productos autorizados la siguiente: a. h) Conjuntamente con los equipos. b. MS. deben de contar con un programa de mantenimiento preventivo y correctivo que incluya el suministro de refacciones. VisualFox. Informix c.g) Las impresoras deberán apegarse a los estándares de Hardware y Software vigentes en el mercado y la Empresa NN. l) En lo que se refiere a los computadores denominados personales. y otros que se justifiquen por ser de operación crítica y/o de alto costo. Access d. corroborando que los suministros (cintas. se deberá adquirir el equipo complementario adecuado para su correcto funcionamiento de acuerdo con las especificaciones de los fabricantes. Bases de Datos: Foxpro para DOS. y que esta adquisición se manifieste en el costo de la partida inicial. i)Los equipos complementarios deberán tener una garantía mínima de un año y deberán contar con el servicio técnico correspondiente en el país. Plataformas de Sistemas Operativos: Foxpro. Todo proyecto de adquisición de bienes de informática. ARTICULO 12°: En la adquisición de Equipo de cómputo se deberá incluir el Software vigente precargado con su licencia correspondiente considerando las disposiciones del artículo siguiente. debe sujetarse al análisis. j) Los equipos adquiridos deben contar.) se consigan fácilmente en el mercado y no estén sujetas a un solo proveedor. el Comité dará a conocer periódicamente las tendencias con tecnología de punta vigente. deben de contar por lo menos con un programa de servicio de mantenimiento correctivo que incluya el suministro de refacciones. al vencer su período de garantía.Para la adquisición de Software base y utilitarios.. Unix(Automotriz). k) En lo que se refiere a los computadores denominados servidores. al vencer su garantía por adquisición. aprobación y autorización del Comité. MS-DOS.Windows 95 Español. de preferencia con asistencia técnica durante la instalación de los mismos. Windows NT. Novell Netware.

SQL Windows Visual Basic VisualFox CenturaWeb Notes Designer e. Programas antivirus. Todos los productos de Software que se adquieran deberán contar con su licencia de uso. ARTICULO 14°. Hojas de cálculo: Word g. sólo se adquirirán las últimas versiones liberadas de los productos seleccionados. Diseño Gráfico: F-prot.Todos los productos de Software que se utilicen a partir de la fecha en que entre en vigor el presente ordenamiento. Notes Mail j. documentación y garantía respectivas. salvo situaciones específicas que se deberán justificar ante el Comité. Procesadores de palabras: Page Maker. Norton Antivirus i. Corel Draw h. Lenguajes de programación: Excel f.Los lenguajes de programación que se utilicen deben ser compatibles con las plataformas enlistadas. Browser de Internet Netscape En la generalidad de los casos.. Command Antivirus. Correo electrónico k. deberán contar con su licencia de uso .

las cintas de respaldo deberán guardarse en un lugar de acceso restringido con condiciones ambientales suficientes para garantizar su conservación.. c) El titular de la unidad administrativa responsable del sistema de información debe autorizar y solicitar la asignación de clave de acceso al titular de la Unidad de Informática. la Unidad de Informática recomienda a los usuarios que realicen sus propios respaldos en la red o en medios de almacenamiento alternos. e) En cuanto a la información de los equipos de cómputo personales. f) Todos los sistemas de información que se tengan en operación.respectiva. deben contar con sus respectivos manuales actualizados. debe contar con los privilegios ó niveles de seguridad de acceso suficientes para garantizar la seguridad total de la información institucional. Se deben delimitar las responsabilidades en cuanto a quién está autorizado a consultar y/o modificar en cada caso la información. Detalle explicativo se aprecia en la Política de respaldos en vigencia. así como la clave del usuario y fecha en que se realizó (Normas Básicas de Auditoría y Control). Uno técnico que describa la estructura interna del sistema así como los programas. Los niveles de seguridad de acceso deberán controlarse por un administrador único y poder ser manipulado por software. seguridad y recuperación de información en caso de falla del sistema de cómputo. deben ser respaldados de acuerdo a la frecuencia de actualización de sus datos. asimismo. tomando las medidas de seguridad pertinentes para cada caso. i )Se deben implantar rutinas periódicas de auditoría a la integridad de los datos y de los programas de cómputo.. rotando los dispositivos de respaldo y guardando respaldos históricos periódicamente. h) Los sistemas de información. d) Los datos de los sistemas de información.Para la contratación del servicio de desarrollo o construcción de Software aplicativo se observará lo siguiente: . para garantizar su confiabilidad. por lo que se promoverá la regularización o eliminación de los productos ya instalados que no cuenten con la licencia respectiva. catálogos y archivos que lo conforman y otro que describa a los usuarios del sistema. Es indispensable llevar una bitácora oficial de los respaldos realizados. ARTICULO 16°.Para la operación del software de red se debe tener en consideración lo siguiente: a) Toda la información institucional debe invariablemente ser operada a través de un mismo tipo de sistema manejador de base de datos para beneficiarse de los mecanismos de integridad. b) El acceso a los sistemas de información. deben contemplar el registro histórico de las transacciones sobre datos relevantes. ARTICULO 15°. los procedimientos para su utilización.

Referencias de clientes (Mínimo 3) f. d. esto es para determinar si está o no facultada para realizar la obra d. Copia de los Estatutos de la empresa. b. d. el Comité establecerá una reunión en la que se debe considerar los siguientes factores: a. en que aparezca claramente definido el objeto de la compañía.Todo proyecto de contratación de desarrollo o construcción de software requiere de un estudio de factibilidad que permita establecer la rentabilidad del proyecto así como los beneficios que se obtendrán del mismo. c. De las empresas oferentes: Los requisitos que se deben solicitar a las empresas oferentes son: a. c. De la contratante Las responsabilidades de la contratante son: a. Copia de los nombramientos actualizados de los representantes legales de la compañía c. Copia del RUC de la compañía e. Copia de la Cédula de Identidad del o los representantes de la compañía b. Delinear adecuadamente los objetivos y alcance del aplicativo. b. delimita las responsabilidades de la empresa oferente y la contratante. La carta con la oferta definitiva del contratista debe estar firmada por el representante legal de la compañía oferente. Costo Calidad Tiempo de permanencia en el mercado de la empresa oferente Experiencia en el desarrollo de aplicativos Referencias comprobadas de Clientes . e. Establecer los requerimientos del aplicativo Definir responsabilidades de la contratista y contratante Establecer campos de acción Análisis de ofertas y Selección de oferta ganadora: Para definir la empresa oferente ganadora del concurso. Todo proyecto deberá ser aprobado por el Comité en base a un informe técnico que contenga lo siguiente: • • Bases del concurso (Requerimientos claramente especificados) Análisis de ofertas (Tres oferentes como mínimo) y Selección de oferta ganadora Bases del Concurso Las bases del concurso especifican claramente los objetivos del trabajo.

quedará sujeta a los siguientes lineamientos: a) Los equipos para uso interno se instalarán en lugares adecuados. garantías.La instalación del equipo de cómputo. responsabilidades.. Esta garantía se devolverá en su integridad una vez que el anticipo se haya amortizado en la forma de pago estipulada en el contrato. irrevocable y de cobro inmediato por el 5% del monto total del contrato para asegurar su fiel cumplimiento. precio. lejos de polvo y tráfico de personas. Una garantía bancaria o una póliza de seguros. Junto al contrato se deberá mantener la historia respectiva del mismo que se compone de la siguiente documentación soporte: • • • • • • Estudio de factibilidad Bases del concurso Ofertas presentadas Acta de aceptación de oferta firmada por los integrantes del Comité Informes de fiscalización Acta de entrega provisional y definitiva TITULO III INSTALACIONES ARTICULO 17°. incondicional. entrega recepción de obra provisional y definitiva. irrevocable y de cobro inmediato equivalente al 100 % (ciento por ciento) del anticipo. rescisión del contrato. disposiciones supletorias. Cumplimiento en la entrega de los requisitos Aprobada la oferta se debe considerar los siguientes lineamientos en la elaboración de contratos: Todo contrato debe incluir lo siguiente: Antecedentes. objeto del contrato. Las garantías necesarias para cada contrato deben ser incluídas en forma conjunta con el Departamento Legal. documentos incorporados. b. entre otros aspectos. sanciones por incumplimientos. plazo. Un fondo de garantía que será retenido de cada planilla en un porcentaje del 5 %. Las garantías que se deben aplicar de acuerdo al tipo de contrato son: a. la cual se mantendrá vigente durante todo el tiempo que subsista la obligación motivo de la garantía. solución de controversias.f. obligaciones del contratista. forma de pago. . fiscalizador de la obra. quienes deben asesorar el tipo de garantía necesaria en la elaboración de cada contrato. c. Una garantía bancaria o una póliza de seguros. incondicional.

Información vital para el funcionamiento de la unidad administrativa. d) Las instalaciones se apegarán estrictamente a los requerimientos de los equipos.La supervisión y control de las instalaciones se llevará a cabo en los plazos y mediante los mecanismos que establezca el Comité. ARTICULO 18°. estarán de preferencia fijas o en su defecto resguardadas del paso de personas o máquinas. 4. anexando la descripción y las especificaciones de los mismos.Se establecen tres tipos de prioridad para la información: 1. Información ocasional o eventual. 2. Información de interés exclusivo de algún área en particular. b) La Administración de Informática. Información histórica para auditorías 2. . cuidando las especificaciones del cableado y de los circuitos de protección necesarios. f) Cuando en la instalación se alimenten elevadores.. clasificando la información en tres categorías: 1.. motores y maquinaria pesada. ARTICULO 21°. TITULO IV LINEAMIENTOS EN INFORMATICA CAPITULO I INFORMACION ARTICULO 19°.En las áreas de atención directa al público los equipos se instalarán en lugares adecuados. Información necesaria.Los jefes de sistemas responsables del equipo de cómputo y de la información contenida en los centros de cómputo a su cargo. delimitarán las responsabilidades de sus subordinados y determinarán quien está autorizado a efectuar operaciones emergentes con dicha información tomando las medidas de seguridad pertinentes. 3. así como las áreas operativas deberán contar con un croquis actualizado de las instalaciones eléctricas y de comunicaciones del equipo de cómputo en red. exclusivo para el equipo y/o red de cómputo.. y libres de cualquier interferencia eléctrica o magnética. se deberá tener un circuito independiente.. c) Las instalaciones eléctricas y de comunicaciones. ARTICULO 20°. e) En ningún caso se permitirán instalaciones improvisadas o sobrecargadas. pero no indispensable en la unidad administrativa. Información de interés de la Empresa NN 3.Los archivos magnéticos de información se deberán inventariar.

Es obligación de la Administración de Informática vigilar que el equipo de cómputo se use bajo las condiciones especificadas por el proveedor y de acuerdo a las funciones del área a la que se asigne. se deberán tener procesos concomitantes. ARTICULO 23°. catálogos y archivos. deberá ser respaldada con una frecuencia mínima de una semana.. ARTICULO 26°.En caso de información vital para el funcionamiento de la unidad administrativa.Los sistemas de información en operación.Los archivos magnéticos de información. la entrega conveniente de los archivos magnéticos de información.. ARTICULO 29°. fumar o realizar actos que perjudiquen el funcionamiento del mismo o deterioren la información almacenada en medios magnéticos..Por seguridad de los recursos informáticos se deben establecer seguridades: • • • • • • • Físicas Sistema Operativo Software Comunicaciones Base de Datos Proceso Aplicaciones Por ello se establecen los siguientes lineamientos: . ARTICULO 25°. CAPITULO II FUNCIONAMIENTO ARTICULO 27°.. etc. así como tener el respaldo diario de las modificaciones efectuadas.El respaldo de la información ocasional o eventual queda a criterio de la unidad administrativa.Los colaboradores de la empresa al usar el equipo de cómputo.. rotando los dispositivos de respaldo y guardando respaldos históricos mensualmente. ópticos.. ARTICULO 28°.. como los que se desarrollen deberán contar con sus respectivos manuales. Un manual del usuario que describa los procedimientos de operación y el manual técnico que describa su estructura interna. de carácter histórico quedarán documentados como activos de la unidad académica y estarán debidamente resguardados en su lugar de almacenamiento. rotando los dispositivos de respaldo y guardando respaldos históricos semanalmente.. ARTICULO 24°.ARTICULO 22°. a quien le suceda en el cargo. programas.La información necesaria pero no indispensable. Es obligación del responsable del equipo de cómputo. se abstendrán de consumir alimentos.

se prohibe el ingreso y/o instalación de hardware y software particular. excepto en casos emergentes que la Dirección autorice. Verificar la información que provenga de fuentes externas a fin de corroborar que estén libres de cualquier agente externo que pueda contaminarla o perjudique el funcionamiento de los equipos. es decir que no sea propiedad de una unidad administrativa de la Empresa NN. Por consiguiente.. c) Tener el apoyo por medios magnéticos o en forma documental. CAPITULO III PLAN DE CONTINGENCIAS ARTICULO 31°. fuera del lugar en el que se encuentran los equipos.. . f) Ejecutar pruebas de la funcionalidad del plan f) Mantener revisiones del plan a fin de efectuar las actualizantes respectivas CAPITULO IV ESTRATEGIAS ARTICULO 32. b) Tener los respaldos de información en un lugar seguro. para que toda acción correctiva se efectúe con la mínima degradación posible de los datos. al cual se pueda recurrir en el momento en que se detecte cualquier anomalía. d) Contar con un instructivo de operación para la detección de posibles fallas.La estrategia informática de la DDT se consolida en el Plan Maestro de Informática y está orientada hacia los siguientes puntos: a) Plataforma de Sistemas Abiertos. e) Contar con un directorio del personal interno y del personal externo de soporte. de las operaciones necesarias para reconstruir los archivos dañados. Mantener pólizas de seguros de los recursos informáticos en funcionamiento ARTICULO 30°.La Administración de Informática creará para las empresas y departamentos un plan de contingencias informáticas que incluya al menos los siguientes puntos: a) Continuar con la operación de la unidad administrativa con procedimientos informáticos alternos.En ningún caso se autorizará la utilización de dispositivos ajenos a los procesos informáticos de la unidad administrativa..• • • Mantener claves de acceso que permitan el uso solamente al personal autorizado para ello.

g) Manejo de proyectos conjuntos con las diferentes unidades administrativas. utilitarios y estructuras de datos e) Intercomunicación entre unidades y equipos mediante protocolos estándares f) Intercambio de experiencias entre Departamentos de Informática..Para la elaboración de los proyectos informáticos y para la presupuestación de los mismos.Las disposiciones aquí enmarcadas.Las normas y políticas objeto de este documento. se establecerá su vigencia. k) Integración de sistemas teleinformáticos (Intranet De grupo empresarial). . como la disponibilidad de recursos con que éstas cuenten. Controles Administrativos del PAD... Facilitando interfases amigables al usuario final. ARTICULO SEGUNDO. Conceptos de Auditoría de Sistemas. h) Programa de capacitación permanente para los colaboradores de la empresa del área de informática i) Integración de sistemas y bases de datos de la Empresa NN. para tener como meta final un Sistema Integral de Información Corporativo. software base. ARTICULO TERCERO. ARTICULO CUARTO.. Palabras clave: Controles automáticos o lógicos..b) Descentralización del proceso de información c) Esquemas de operación bajo el concepto cliente/servidor d) Estandarización de hardware. se tomarán en cuentan tanto las necesidades de hardware y software de la unidad administrativa solicitante. entrarán en vigor a partir del día siguiente de su difusión. mediante acuerdo del Comité Técnico de Informática de la Empresa NN (CTI).La falta de desconocimiento de las normas aquí descritas por parte de los colaboradores no los libera de la aplicación de sanciones y/o penalidades por el incumplimiento de las mismas. DISPOSICIONES TRANSITORIAS ARTICULO PRIMERO.Las disposiciones aquí descritas constan de forma detallada en los manuales de políticas y procedimientos específicos existentes. j) Programación con ayudas visuales e interactivas. una vez aprobadas dichas modificaciones o adecuaciones. podrán ser modificadas o adecuadas conforme a las necesidades que se vayan presentando. ARTICULO 33°.

solicitud de plan de actividades. Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto.Alternativas de Solución • • • • Contraloría/Auditoría debería preparar y conservar totales de control de los lotes de recibos por cobranzas en efectivo. Revisión de procesos históricos (backups).-Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo. elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno. Entrevistas con los principales funcionarios del PAD.. Revisión de documentación y archivos. Examen detallado de áreas criticas. Estos totales deberian ser luego comparados con los totales según el listado diario de cobranzas en efectivo. efectuar visitas a la unidad informática para conocer detalles de la misma.. pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión: • • • • Estudio preliminar Revisión y evaluación de controles y seguridades Examen detallado de áreas criticas Comunicación de resultados Estudio preliminar. Un test de razonabilidad asumiendo que un pago de $361. cuadros o redacción simple y concisa que destaque los problemas encontrados . Efectuar la Doble digitación de campos criticos tales como valor o importe. . la duración de la auditoría. reglamentos.. revisión de aplicaciones de las áreas criticas. los efectos y las recomendaciones de la Auditoría. alcance Recursos que usara.Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo. definirá la metodología de trabajo.300 está definido como no razonable. entre otras actividades. objetivos. Manuales de políticas. Comunicación de resultados. el cual presentara esquemáticamente en forma de matriz. realización de pruebas de cumplimiento de las seguridades. establecerá los motivos. Comparación automática de los pagos recibidos con las facturas pendientes por el número de factura y rechazar o imprimir aquellas discrepancias significativas o no razonables. el programa de auditoría.Incluye definir el grupo de trabajo. Revisión y evaluación de controles y seguridades. Metodología de una Auditoría de Sistemas Existen algunas metodologías de Auditorías de Sistemas y todas depende de lo que se pretenda revisar o analizar.Consiste de la revisión de los diagramas de flujo de procesos.

POLÍTICAS EN INFORMÁTICA TITULO I DISPOSICIONES GENERALES ARTICULO 1°. Subdirección..Para los efectos de este instrumento se entenderá por: Comité: Al equipo integrado por la Dirección . ARTICULO 2°. Establecimiento de lineamientos para concursos de ofertas .El informe debe contener lo siguiente: • • • • • • • • Motivos de la Auditoría Objetivos Alcance Estructura Orgánico-Funcional del área Informática Configuración del Hardware y Software instalado Control Interno Resultados de la Auditoría Caso Práctico A continuación se presenta una política en Informática establecida como propuesta a fin de ilustrar el trabajo realizado de una auditoría de sistemas enfocada en los controles de Organización y planificación. Para el efecto se ha creado una Administración de Sistemas que efectúa reuniones periódicas a fin de regular y normar el funcionamiento del área de Sistemas y un Comité en el que participan personal del área de Sistemas y personal administrativo. Esta política fue creada con la finalidad de que satisfaga a un grupo de empresas jurídicamente establecidas con una estructura departamental del Area de Sistemas integrada por: Dirección . los Jefes departamentales y el personal administrativo de las diferentes unidades administrativas (Ocasionalmente) convocado para fines específicos como: • • • • Adquisiciones de Hardware y software Establecimiento de estándares de la Empresa NN tanto de hardware como de software Establecimiento de la Arquitectura tecnológica de grupo..El presente ordenamiento tiene por objeto estandarizar y contribuir al desarrollo informático de las diferentes unidades administrativas de la Empresa NN. Departamento de Soporte Técnico y Departamento de Redes/ Comunicaciones. Subdirección. Departamento de Desarrollo de Proyectos. Jefes Departamentales del Area de Sistemas en cada una de las empresas que pertenecen al grupo. Así mismo los Departamentos que la componen son: Departamento de Desarrollo de Sistemas y Producción.

vigilar su estricta observancia en el ámbito de su competencia. que está conformado por el personal de la Administración de Informática y Gerente Administrativo de la unidad solicitante de bienes o servicios informáticos. son de observancia para la adquisición y uso de bienes y servicios informáticos. que deben observar los Jefes de Sistemas responsables del hardware y software existente en la Empresa NN.Las empresas de la Empresa NN deberán contar con un Jefe o responsable del Area de Sistemas. Subdirección y Jefes Departamentales. por aquellas instancias que intervengan directa y/o indirectamente en ello. ARTICULO 4°. . en la Empresa NN. ARTICULO 5°.. en el que recaiga la administración de los Bienes y Servicios. las cuales son responsables de: • • • • • • • Velar por el funcionamiento de la tecnología informática que se utilice en las diferentes unidades administrativas Elaborar y efectuar seguimiento del Plan Maestro de Informática Definir estrategias y objetivos a corto. es el Comité. Estas normas inciden en la adquisición y el uso de los Bienes y Servicios Informáticos en la Empresa NN... tomando las medidas preventivas y correctivas para que se cumplan. siendo responsabilidad de la Administración de Informática.. mediano y largo plazo Mantener la Arquitectura tecnológica Controlar la calidad del servicio brindado Mantener el Inventario actualizado de los recursos informáticos Velar por el cumplimiento de las Políticas y Procedimientos establecidos. ARTICULO 3°. ARTICULO 6°.. TITULO II LINEAMIENTOS PARA LA ADQUISICION DE BIENES DE INFORMATICA ARTICULO 8°. ARTICULO 9°.Las presentes Políticas aquí contenidas. cuyo incumplimiento generará que se incurra en responsabilidad administrativa.. que vigilará la correcta aplicación de los ordenamientos establecidos por el Comité y demás disposiciones aplicables. quedará sujeta a los lineamientos establecidos en este documento.Administración de Informática: Está integrada por la Dirección.La instancia rectora de los sistemas de informática de la Empresa NN es la Administración. sujetándose a lo dispuesto en la sección Responsabilidades Administrativas de Sistemas. y el organismo competente para la aplicación de este ordenamiento..Toda adquisición de tecnología informática se efectúa a través del Comité. al conjunto de reglas obligatorias. las cuales se deberán de acatar invariablemente.Las Políticas en Informática son el conjunto de ordenamientos y lineamientos enmarcados en el ámbito jurídico y administrativo de la Empresa NN. ARTICULO 7°. se entiende por Políticas en Informática.La adquisición de Bienes de Informática en la Empresa NN.Para los efectos de este documento.

Desarrollo Tecnológico.. costo de mantenimiento y consumibles por el período estimado de uso de los equipos. estándares y capacidad. desarrollo tecnológico. Capacidades. el Comité emitirá periódicamente las especificaciones técnicas mínimas para su adquisición. así como con asistencia técnica y refaccionaria local. a fin de mantener actualizado la arquitectura informático de la Empresa NN.Para la adquisición de Hardware se observará lo siguiente: a) El equipo que se desee adquirir deberá estar dentro de las listas de ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro de los estándares de la Empresa NN. al planear las operaciones relativas a la adquisición de Bienes informáticos. estructura de servicio. corroborando que los suministros (cintas. experiencia. b) Deberán tener un año de garantía como mínimo c) Deberán ser equipos integrados de fábrica o ensamblados con componentes previamente evaluados por el Comité. Calidad. calidad... .. es decir la arquitectura de grupo empresarial establecida por el Comité. papel.Parámetro cualitativo que especifica las características técnicas de los recursos informáticos. tanto en velocidad de transferencia de datos. etc. d) La marca de los equipos o componentes deberá contar con presencia y permanencia demostrada en el mercado nacional e internacional. su nivel tecnológico con respecto a la oferta existente y su permanencia en el mercado. Experiencia..Presencia en el mercado nacional e internacional. f) Los dispositivos de almacenamiento. entendiéndose por: • • • • Precio. Esta arquitectura tiene una permanencia mínima de dos a cinco años.Se deberá analizar si satisface la demanda actual con un margen de holgura y capacidad de crecimiento para soportar la carga de trabajo del área.) se consigan fácilmente en el mercado y no estén sujetas a un solo proveedor. precio.Toda adquisición se basa en los estándares. e) Tratándose de equipos microcomputadoras.ARTICULO 10°. deberán estar acordes con la tecnología de punta vigente. Estándares..Costo inicial. g) Las impresoras deberán apegarse a los estándares de Hardware y Software vigentes en el mercado y la Empresa NN. • • ARTICULO 11°.. la confiabilidad de los bienes y certificados de calidad con los que se cuente.La Administración de Informática. como en el ciclo del proceso. establecerá prioridades y en su selección deberá tomar en cuenta: estudio técnico.Se deberá analizar su grado de obsolescencia. así como las interfaces de entrada/salida..

deben de contar por lo menos con un programa de servicio de mantenimiento correctivo que incluya el suministro de refacciones. el Comité dará a conocer periódicamente las tendencias con tecnología de punta vigente. MS. k) En lo que se refiere a los computadores denominados servidores. Access d. al vencer su período de garantía. se deberá adquirir el equipo complementario adecuado para su correcto funcionamiento de acuerdo con las especificaciones de los fabricantes.h) Conjuntamente con los equipos. Novell Netware..Para la adquisición de Software base y utilitarios. Plataformas de Sistemas Operativos: Foxpro. b. ARTICULO 13°. aprobación y autorización del Comité. y que esta adquisición se manifieste en el costo de la partida inicial. Manejadores de bases de datos: Los lenguajes de programación que se utilicen deben ser compatibles con las plataformas enlistadas. Windows NT. Todo proyecto de adquisición de bienes de informática. j) Los equipos adquiridos deben contar. l) En lo que se refiere a los computadores denominados personales.Windows 95 Español. siendo la lista de productos autorizados la siguiente: a. MS-DOS. VisualFox. al vencer su garantía por adquisición. debe sujetarse al análisis. Unix(Automotriz). SQL Windows . Informix c. equipo de comunicaciones como enrutadores y concentradores de medios. de preferencia con asistencia técnica durante la instalación de los mismos. ARTICULO 12°: En la adquisición de Equipo de cómputo se deberá incluir el Software vigente precargado con su licencia correspondiente considerando las disposiciones del artículo siguiente. Bases de Datos: Foxpro para DOS. i)Los equipos complementarios deberán tener una garantía mínima de un año y deberán contar con el servicio técnico correspondiente en el país. deben de contar con un programa de mantenimiento preventivo y correctivo que incluya el suministro de refacciones. y otros que se justifiquen por ser de operación crítica y/o de alto costo.

por lo que se promoverá la regularización o eliminación de los productos ya instalados que no cuenten con la licencia respectiva. Hojas de cálculo: Word g. Corel Draw h. ARTICULO 14°. Browser de Internet Netscape En la generalidad de los casos.Para la operación del software de red se debe tener en consideración lo siguiente: . Todos los productos de Software que se adquieran deberán contar con su licencia de uso.. Correo electrónico k. salvo situaciones específicas que se deberán justificar ante el Comité. deberán contar con su licencia de uso respectiva. Notes Mail j. Lenguajes de programación: Excel f.Visual Basic VisualFox CenturaWeb Notes Designer e. sólo se adquirirán las últimas versiones liberadas de los productos seleccionados. documentación y garantía respectivas.Todos los productos de Software que se utilicen a partir de la fecha en que entre en vigor el presente ordenamiento. Command Antivirus. Diseño Gráfico: F-prot. Norton Antivirus i. ARTICULO 15°. Procesadores de palabras: Page Maker.. Programas antivirus.

. ARTICULO 16°. los procedimientos para su utilización. i )Se deben implantar rutinas periódicas de auditoría a la integridad de los datos y de los programas de cómputo. la Unidad de Informática recomienda a los usuarios que realicen sus propios respaldos en la red o en medios de almacenamiento alternos. Uno técnico que describa la estructura interna del sistema así como los programas. debe contar con los privilegios ó niveles de seguridad de acceso suficientes para garantizar la seguridad total de la información institucional.a) Toda la información institucional debe invariablemente ser operada a través de un mismo tipo de sistema manejador de base de datos para beneficiarse de los mecanismos de integridad. Es indispensable llevar una bitácora oficial de los respaldos realizados. f) Todos los sistemas de información que se tengan en operación. Detalle explicativo se aprecia en la Política de respaldos en vigencia. catálogos y archivos que lo conforman y otro que describa a los usuarios del sistema. h) Los sistemas de información. así como la clave del usuario y fecha en que se realizó (Normas Básicas de Auditoría y Control). Los niveles de seguridad de acceso deberán controlarse por un administrador único y poder ser manipulado por software. las cintas de respaldo deberán guardarse en un lugar de acceso restringido con condiciones ambientales suficientes para garantizar su conservación. deben ser respaldados de acuerdo a la frecuencia de actualización de sus datos.Para la contratación del servicio de desarrollo o construcción de Software aplicativo se observará lo siguiente: Todo proyecto de contratación de desarrollo o construcción de software requiere de un estudio de factibilidad que permita establecer la rentabilidad del proyecto así como los beneficios que se obtendrán del mismo. tomando las medidas de seguridad pertinentes para cada caso. deben contemplar el registro histórico de las transacciones sobre datos relevantes. deben contar con sus respectivos manuales actualizados. seguridad y recuperación de información en caso de falla del sistema de cómputo. c) El titular de la unidad administrativa responsable del sistema de información debe autorizar y solicitar la asignación de clave de acceso al titular de la Unidad de Informática. rotando los dispositivos de respaldo y guardando respaldos históricos periódicamente. . asimismo. d) Los datos de los sistemas de información. para garantizar su confiabilidad. Se deben delimitar las responsabilidades en cuanto a quién está autorizado a consultar y/o modificar en cada caso la información. e) En cuanto a la información de los equipos de cómputo personales. b) El acceso a los sistemas de información.

De las empresas oferentes: Los requisitos que se deben solicitar a las empresas oferentes son: a. Costo Calidad Tiempo de permanencia en el mercado de la empresa oferente Experiencia en el desarrollo de aplicativos Referencias comprobadas de Clientes Cumplimiento en la entrega de los requisitos Aprobada la oferta se debe considerar los siguientes lineamientos en la elaboración de contratos: . c. d. d. De la contratante Las responsabilidades de la contratante son: a. c. Copia del RUC de la compañía e. La carta con la oferta definitiva del contratista debe estar firmada por el representante legal de la compañía oferente. Copia de los Estatutos de la empresa. el Comité establecerá una reunión en la que se debe considerar los siguientes factores: a. Referencias de clientes (Mínimo 3) f.Todo proyecto deberá ser aprobado por el Comité en base a un informe técnico que contenga lo siguiente: • • Bases del concurso (Requerimientos claramente especificados) Análisis de ofertas (Tres oferentes como mínimo) y Selección de oferta ganadora Bases del Concurso Las bases del concurso especifican claramente los objetivos del trabajo. Delinear adecuadamente los objetivos y alcance del aplicativo. f. delimita las responsabilidades de la empresa oferente y la contratante. b. Copia de los nombramientos actualizados de los representantes legales de la compañía c. Copia de la Cédula de Identidad del o los representantes de la compañía b. e. en que aparezca claramente definido el objeto de la compañía. b. Establecer los requerimientos del aplicativo Definir responsabilidades de la contratista y contratante Establecer campos de acción Análisis de ofertas y Selección de oferta ganadora: Para definir la empresa oferente ganadora del concurso. esto es para determinar si está o no facultada para realizar la obra d.

En las áreas de atención directa al público los equipos se instalarán en lugares adecuados.. irrevocable y de cobro inmediato equivalente al 100 % (ciento por ciento) del anticipo. documentos incorporados. quedará sujeta a los siguientes lineamientos: a) Los equipos para uso interno se instalarán en lugares adecuados. sanciones por incumplimientos. Las garantías necesarias para cada contrato deben ser incluídas en forma conjunta con el Departamento Legal. responsabilidades. plazo. fiscalizador de la obra. Una garantía bancaria o una póliza de seguros.Todo contrato debe incluir lo siguiente: Antecedentes. irrevocable y de cobro inmediato por el 5% del monto total del contrato para asegurar su fiel cumplimiento. obligaciones del contratista. incondicional. objeto del contrato. . quienes deben asesorar el tipo de garantía necesaria en la elaboración de cada contrato. Junto al contrato se deberá mantener la historia respectiva del mismo que se compone de la siguiente documentación soporte: • • • • • • Estudio de factibilidad Bases del concurso Ofertas presentadas Acta de aceptación de oferta firmada por los integrantes del Comité Informes de fiscalización Acta de entrega provisional y definitiva TITULO III INSTALACIONES ARTICULO 17°. disposiciones supletorias. Las garantías que se deben aplicar de acuerdo al tipo de contrato son: a. precio. entre otros aspectos. forma de pago.La instalación del equipo de cómputo. entrega recepción de obra provisional y definitiva. Un fondo de garantía que será retenido de cada planilla en un porcentaje del 5 %. solución de controversias. Una garantía bancaria o una póliza de seguros. rescisión del contrato. c. incondicional. b. la cual se mantendrá vigente durante todo el tiempo que subsista la obligación motivo de la garantía. lejos de polvo y tráfico de personas. Esta garantía se devolverá en su integridad una vez que el anticipo se haya amortizado en la forma de pago estipulada en el contrato. garantías.

3. d) Las instalaciones se apegarán estrictamente a los requerimientos de los equipos.. Información ocasional o eventual. TITULO IV LINEAMIENTOS EN INFORMATICA CAPITULO I INFORMACION ARTICULO 19°. c) Las instalaciones eléctricas y de comunicaciones. 4. Información de interés exclusivo de algún área en particular. ARTICULO 18°. y libres de cualquier interferencia eléctrica o magnética. ARTICULO 20°. se deberán tener procesos concomitantes.La supervisión y control de las instalaciones se llevará a cabo en los plazos y mediante los mecanismos que establezca el Comité. Información vital para el funcionamiento de la unidad administrativa. exclusivo para el equipo y/o red de cómputo..Se establecen tres tipos de prioridad para la información: 1. estarán de preferencia fijas o en su defecto resguardadas del paso de personas o máquinas.. pero no indispensable en la unidad administrativa. e) En ningún caso se permitirán instalaciones improvisadas o sobrecargadas. f) Cuando en la instalación se alimenten elevadores.Los jefes de sistemas responsables del equipo de cómputo y de la información contenida en los centros de cómputo a su cargo. Información histórica para auditorías 2. anexando la descripción y las especificaciones de los mismos. motores y maquinaria pesada. 2. clasificando la información en tres categorías: 1. se deberá tener un circuito independiente. Información de interés de la Empresa NN 3.Los archivos magnéticos de información se deberán inventariar. ARTICULO 21°.. Información necesaria. delimitarán las responsabilidades de sus subordinados y determinarán quien está autorizado a efectuar operaciones emergentes con dicha información tomando las medidas de seguridad pertinentes..En caso de información vital para el funcionamiento de la unidad administrativa. así como tener el respaldo .b) La Administración de Informática. así como las áreas operativas deberán contar con un croquis actualizado de las instalaciones eléctricas y de comunicaciones del equipo de cómputo en red. cuidando las especificaciones del cableado y de los circuitos de protección necesarios. ARTICULO 22°.

El respaldo de la información ocasional o eventual queda a criterio de la unidad administrativa. ARTICULO 24°. ópticos. deberá ser respaldada con una frecuencia mínima de una semana. Un manual del usuario que describa los procedimientos de operación y el manual técnico que describa su estructura interna.. como los que se desarrollen deberán contar con sus respectivos manuales.Es obligación de la Administración de Informática vigilar que el equipo de cómputo se use bajo las condiciones especificadas por el proveedor y de acuerdo a las funciones del área a la que se asigne.. ARTICULO 25°. fumar o realizar actos que perjudiquen el funcionamiento del mismo o deterioren la información almacenada en medios magnéticos. catálogos y archivos. ARTICULO 23°...Los colaboradores de la empresa al usar el equipo de cómputo..Los archivos magnéticos de información. a quien le suceda en el cargo.. Es obligación del responsable del equipo de cómputo.Por seguridad de los recursos informáticos se deben establecer seguridades: • • • • • • • Físicas Sistema Operativo Software Comunicaciones Base de Datos Proceso Aplicaciones Por ello se establecen los siguientes lineamientos: • Mantener claves de acceso que permitan el uso solamente al personal autorizado para ello. etc. ARTICULO 28°. de carácter histórico quedarán documentados como activos de la unidad académica y estarán debidamente resguardados en su lugar de almacenamiento.diario de las modificaciones efectuadas. ARTICULO 29°. se abstendrán de consumir alimentos.. ARTICULO 26°. rotando los dispositivos de respaldo y guardando respaldos históricos semanalmente. CAPITULO II FUNCIONAMIENTO ARTICULO 27°.Los sistemas de información en operación. rotando los dispositivos de respaldo y guardando respaldos históricos mensualmente.La información necesaria pero no indispensable. programas. la entrega conveniente de los archivos magnéticos de información. .

excepto en casos emergentes que la Dirección autorice. b) Descentralización del proceso de información ..La estrategia informática de la DDT se consolida en el Plan Maestro de Informática y está orientada hacia los siguientes puntos: a) Plataforma de Sistemas Abiertos. c) Tener el apoyo por medios magnéticos o en forma documental. CAPITULO III PLAN DE CONTINGENCIAS ARTICULO 31°. f) Ejecutar pruebas de la funcionalidad del plan f) Mantener revisiones del plan a fin de efectuar las actualizantes respectivas CAPITULO IV ESTRATEGIAS ARTICULO 32.La Administración de Informática creará para las empresas y departamentos un plan de contingencias informáticas que incluya al menos los siguientes puntos: a) Continuar con la operación de la unidad administrativa con procedimientos informáticos alternos.En ningún caso se autorizará la utilización de dispositivos ajenos a los procesos informáticos de la unidad administrativa. d) Contar con un instructivo de operación para la detección de posibles fallas. al cual se pueda recurrir en el momento en que se detecte cualquier anomalía. para que toda acción correctiva se efectúe con la mínima degradación posible de los datos.• • Verificar la información que provenga de fuentes externas a fin de corroborar que estén libres de cualquier agente externo que pueda contaminarla o perjudique el funcionamiento de los equipos. b) Tener los respaldos de información en un lugar seguro. de las operaciones necesarias para reconstruir los archivos dañados.. Por consiguiente. e) Contar con un directorio del personal interno y del personal externo de soporte. Mantener pólizas de seguros de los recursos informáticos en funcionamiento ARTICULO 30°. es decir que no sea propiedad de una unidad administrativa de la Empresa NN. fuera del lugar en el que se encuentran los equipos.. se prohibe el ingreso y/o instalación de hardware y software particular.

Controles Administrativos del PAD. k) Integración de sistemas teleinformáticos (Intranet De grupo empresarial). como la disponibilidad de recursos con que éstas cuenten. software base.Las disposiciones aquí descritas constan de forma detallada en los manuales de políticas y procedimientos específicos existentes. podrán ser modificadas o adecuadas conforme a las necesidades que se vayan presentando. utilitarios y estructuras de datos e) Intercomunicación entre unidades y equipos mediante protocolos estándares f) Intercambio de experiencias entre Departamentos de Informática.. ARTICULO CUARTO. se tomarán en cuentan tanto las necesidades de hardware y software de la unidad administrativa solicitante.Las normas y políticas objeto de este documento. mediante acuerdo del Comité Técnico de Informática de la Empresa NN (CTI). ARTICULO 33°.. entrarán en vigor a partir del día siguiente de su difusión.Para la elaboración de los proyectos informáticos y para la presupuestación de los mismos. Facilitando interfases amigables al usuario final. ARTICULO TERCERO. g) Manejo de proyectos conjuntos con las diferentes unidades administrativas.c) Esquemas de operación bajo el concepto cliente/servidor d) Estandarización de hardware. . Palabras clave: Controles automáticos o lógicos.. una vez aprobadas dichas modificaciones o adecuaciones. h) Programa de capacitación permanente para los colaboradores de la empresa del área de informática i) Integración de sistemas y bases de datos de la Empresa NN.Las disposiciones aquí enmarcadas. j) Programación con ayudas visuales e interactivas... se establecerá su vigencia. DISPOSICIONES TRANSITORIAS ARTICULO PRIMERO. para tener como meta final un Sistema Integral de Información Corporativo. ARTICULO SEGUNDO. Conceptos de Auditoría de Sistemas.La falta de desconocimiento de las normas aquí descritas por parte de los colaboradores no los libera de la aplicación de sanciones y/o penalidades por el incumplimiento de las mismas.