Auditoria Informatica

2012
UNIVERSIDAD NACIONAL AUTNOMA DE MXICO Javier Torrentera Villegas
[AUDITORIAINFORMATICA]
El siguiente trabajo desarrollara el tema de la Auditoria Informtica y como se desarrolla en una organizacin.
Facultad de Contadura y Administracin 4 de junio de 2012
Tabla de contenido
Introduccin ........................................................................................................................................ 7 Calidad ................................................................................................................................................. 7 Evolucin del concepto. .................................................................................................................. 8 Etapas de la Evolucin de la Calidad. .............................................................................................. 9 Qu es la auditoria Informtica? ..................................................................................................... 10 Conceptos de auditora informtica.............................................................................................. 11 Mtodos, tcnicas y herramientas de auditora. .......................................................................... 11 Metodologa De trabajo. ........................................................................................................... 11 Plan de trabajo: ......................................................................................................................... 11 Tcnicas de Trabajo: .................................................................................................................. 12 Herramientas:............................................................................................................................ 12 Clasificacin de las normas de auditora. .......................................................................................... 12 Normas personales. ...................................................................................................................... 12 Entrenamiento tcnico y capacidad profesional....................................................................... 12 Cuidado y diligencia profesionales. ........................................................................................... 12 Independencia. .......................................................................................................................... 12 Normas de ejecucin del trabajo. ................................................................................................. 13 Planeacin y supervisin. .......................................................................................................... 13 Estudio y evaluacin del control interno. ................................................................................. 13 Obtencin de evidencia suficiente y competente. ................................................................... 13 Normas de informacin. ............................................................................................................... 13 Auditora interna y externa ............................................................................................................... 14 Auditora Externa .......................................................................................................................... 14 Auditora Interna ........................................................................................................................... 14 Diferencias entre auditora interna y externa:.............................................................................. 15 reas de aplicacin de la auditoria informtica................................................................................ 16 Investigacin cientfica y humanstica........................................................................................... 16 Aplicaciones tcnicas .................................................................................................................... 16 Documentacin e informacin ...................................................................................................... 16 Gestin administrativa .................................................................................................................. 16 Inteligencia artificial ...................................................................................................................... 17
Universidad Nacional Autnoma de Mxico
Pgina 2

Otras aplicaciones ......................................................................................................................... 17 CONTROL INTERNO ........................................................................................................................... 17 Control interno informtico (Funcin) .......................................................................................... 18 Funciones especficas ................................................................................................................ 18 Control interno informtico (reas de aplicacin) ........................................................................ 19 Controles generales organizativos ............................................................................................ 19 Controles de desarrollo y mantenimiento de sistemas de informacin ................................... 19 Controles de explotacin de sistemas de informacin ............................................................. 19 Controles en aplicaciones ......................................................................................................... 19 Controles en sistemas de gestin de base de datos ................................................................. 19 Controles informticos sobre redes .......................................................................................... 19 Controles sobre computadores y redes de rea local............................................................... 19 Principios aplicados por auditores informticos ............................................................................... 19 Principio de beneficio de auditado ............................................................................................... 19 Principio de calidad ....................................................................................................................... 20 Principio de capacidad .................................................................................................................. 20 Principio de cautela ....................................................................................................................... 21 Principio de comportamiento profesional .................................................................................... 21 Principio de concentracin en el trabajo ...................................................................................... 22 Principio de confianza ................................................................................................................... 22 Principio de criterio propio ........................................................................................................... 23 Principio de discrecin .................................................................................................................. 23 Principio de economa................................................................................................................... 23 Principio de formacin continuada ............................................................................................... 23 Principio de fortalecimiento y respeto de la profesin ................................................................ 24 Principio de independencia ........................................................................................................... 24 Principio de informacin suficiente .............................................................................................. 24 Principio de integridad moral ........................................................................................................ 24 Principio de legalidad .................................................................................................................... 25 Principio de libre competencia ..................................................................................................... 25 Principio de no discriminacin ...................................................................................................... 25 Principio de no injerencia.............................................................................................................. 25
Pgina 3

Principio de precisin .................................................................................................................... 25 Principio de publicidad adecuada ................................................................................................. 26 Principio de responsabilidad ......................................................................................................... 26 Principio de secreto profesional ................................................................................................... 26 Principio de servicio publico.......................................................................................................... 26 Principio de veracidad ................................................................................................................... 27 Fases Auditoria Informtica .............................................................................................................. 27 Fase I: Conocimientos del Sistema ................................................................................................ 27 Aspectos Legales y Polticas Internas. ....................................................................................... 27 Caractersticas del Sistema Operativo....................................................................................... 27 Caractersticas de la aplicacin de computadora...................................................................... 27 Fase II: Anlisis de transacciones y recursos ................................................................................. 27 Definicin de las transacciones. ................................................................................................ 27 Anlisis de las transacciones ..................................................................................................... 28 Anlisis de los recursos ............................................................................................................. 28 Fase III: Anlisis de riesgos y amenazas ........................................................................................ 28 Identificacin de riesgos............................................................................................................ 28 Identificacin de las amenazas.................................................................................................. 28 Relacin entre recursos/amenazas/riesgos .............................................................................. 28 Fase IV: Anlisis de controles ........................................................................................................ 28 Codificacin de controles .......................................................................................................... 28 Relacin entre recursos/amenazas/riesgos .............................................................................. 28 Anlisis de cobertura de los controles requeridos .................................................................... 28 Fase V: Evaluacin de Controles ................................................................................................... 29 Objetivos de la evaluacin ........................................................................................................ 29 Plan de pruebas de los controles .............................................................................................. 29 Fase VI: Informe de Auditoria ....................................................................................................... 29 Fase VII: Seguimiento de Recomendaciones................................................................................. 29 Planeacin de la auditora en informtica ........................................................................................ 29 Revisin Preliminar Auditoria Informtica ........................................................................................ 30 Revisin Detallada Auditoria Informtica ......................................................................................... 30 Examen Evaluacin Informacin ....................................................................................................... 30
Pgina 4

Pruebas Controles De Usuario .......................................................................................................... 31 Pruebas de Comportamiento ........................................................................................................ 31 Prueba y Evaluacin de los Controles del Usuario ........................................................................ 32 Pruebas Sustantivas .......................................................................................................................... 32 Evaluacin sistemas de acuerdo al riesgo ......................................................................................... 32 Riesgo ............................................................................................................................................ 32 Seguridad....................................................................................................................................... 32 Consideraciones Inmediatas para la Auditora de la Seguridad .................................................... 33 Uso de la Computadora............................................................................................................. 33 Sistema de Acceso ..................................................................................................................... 33 Cantidad y Tipo de Informacin ................................................................................................ 33 Control de Programacin .......................................................................................................... 33 Personal ..................................................................................................................................... 33 Medios de Control ..................................................................................................................... 34 Rasgos del Personal ................................................................................................................... 34 Instalaciones .............................................................................................................................. 34 Control de Residuos .................................................................................................................. 34 Establecer las reas y Grados de Riesgo ................................................................................... 34 Establecer el Costo del Sistema de Seguridad (Anlisis Costo vs Beneficio)............................. 34 Riesgo Computacional ............................................................................................................... 35 Conclusin ................................................................................................................................. 36 Consideracin y Cuantificacin del Riesgo a Nivel Institucional (importante) ............................. 36 Disposiciones que Acompaan la Seguridad ............................................................................. 36 Higiene ...................................................................................................................................... 36 Cultura Personal ........................................................................................................................ 37 Consideraciones para Elaborar un Sistema de Seguridad Integral ............................................... 37 Sistema Integral de Seguridad................................................................................................... 37 Etapas para Implementar un Sistema de Seguridad ................................................................. 38 Plan de Seguridad Ideal (o Normativo) ......................................................................................... 38 Consideraciones para con el Personal....................................................................................... 38 Etapas para Implantar un Sistema de Seguridad en Marcha .................................................... 39 Beneficios de un Sistema de Seguridad .................................................................................... 39
Pgina 5

Personal Participante Auditoria Informtica..................................................................................... 40 Cuestionarios de la auditora informtica ......................................................................................... 41 ORGANIZACIN (para aplicar al jefe del rea Informtica o al responsable de ella) ................... 41 RECURSOS HUMANOS (Para trabajadores del rea)..................................................................... 48 SEGURIDAD FSICA ........................................................................................................................ 51 Conclusiones ..................................................................................................................................... 55 Referencias ........................................................................................................................................ 56
Pgina 6
Introduccin
La informtica est inmersa en la gestin integral de la organizacin. A finales del siglo XX, los sistemas de TI (tecnologas de la informacin) se constituyeron como las herramientas ms poderosas para cualquier organizacin, puesto que apoyan la toma de decisiones, generando un alto grado de dependencia, as como una elevada inversin en ellas. Debido a la importancia que tienen en el funcionamiento de una organizacin, existe la auditora informtica. El trmino de auditora se ha empleado con frecuencia de forma incorrecta, porque ha sido tomado como sinnimo de deteccin de errores y fallas. El concepto de auditora es mucho ms que eso, pues tiene como fin evaluar y mejorar la eficacia y eficiencia de una organizacin, al examinar su gestin. Al igual que cualquier rea de la organizacin, los sistemas de TI deben estar sometidos a controles de calidad y auditora informtica porque las computadoras y los centros de procesamiento de datos son blancos apetecibles para el espionaje, la delincuencia y el terrorismo. Al perder de vista la naturaleza y calidad de los datos de entrada a los sistemas de TI se genera informacin errnea, con la posibilidad de que se provoque un efecto cascada y afecte a otras aplicaciones. Asimismo, un sistema de TI mal diseado puede convertirse en una herramienta muy peligrosa para la gestin y la coordinacin de la organizacin.
Calidad
A continuacin mencionaremos algunos conceptos de calidad. La calidad no es otra cosa ms que una serie de cuestionamiento hacia una mejora continua. La calidad es: "La adecuacin para el uso satisfaciendo las necesidades del cliente". Calidad: Desarrollar, disear, manufacturar y mantener un producto de calidad que sea el ms econmico, el til y siempre satisfactorio para el consumidor. La calidad, no como un concepto aislado, ni que se logra de un da para otro, descansa en fuertes valores que se presentan en el medio ambiente, as como en otros que se adquieren con esfuerzos y disciplina.
Con lo anterior se puede decir que la calidad es un proceso de mejora continuo, en donde todas los departamentos y reas de la organizacin, se ven involucradas en el desarrollo de productos y servicios, que satisfagan las necesidades del cliente, logrando con ello un alto grado de productividad.
Pgina 7
Evolucin del concepto.

El concepto de calidad conforme el tiempo ha pasado ha sufrido diversos cambios, hasta llegar a lo que hoy conocemos como: Calidad total, que significa crear productos o servicios, que satisfagan las necesidades de los clientes en un 100%, en donde estn involucrados, los empleados, los accionistas y de la sociedad, en un sentido ms amplio. Ms recientemente el concepto de calidad ha trascendido hacia todos los mbitos de la empresa y as actualmente se define como: Todas las formas a travs de las cuales la empresa satisface las necesidades y expectativas de sus clientes, sus empleados, las entidades implicadas financieramente y toda la sociedad en general
Pgina 8
Etapas de la Evolucin de la Calidad.
Control de calidad. El control de la calidad es el conjunto de tcnicas y actividades, de carcter operativo, utilizadas para verificar los requisitos relativos a la calidad del producto o servicio.
Pgina 9

Autocontrol de la calidad. La idea de que la calidad se autocontrola se basa en la responsabilidad del trabajador que realiza su tarea. Es el propio operario que interviene en el proceso quien controla la calidad del producto a su paso por la cadena de montaje. Aseguramiento de la calidad. El Aseguramiento de la Calidad nace como una evolucin natural del Control de Calidad, que resultaba limitado y poco eficaz para prevenir la aparicin de defectos. Gestin de la calidad. En trminos generales asociamos el concepto de gestin al cumplimiento de ciertos objetivos marcados. Cuando decimos que la calidad se puede gestionar, estamos asumiendo el hecho de que la calidad pueda ser tratada con las mismas tcnicas y herramientas que podamos aplicar a otras reas funcionales como puedan ser las finanzas, los recursos humanos, etc. Calidad total. La calidad total es una sistemtica de gestin a travs de la cual la empresa satisface las necesidades y expectativas de sus clientes, de sus empleados, de los accionistas y de toda la sociedad en general, utilizando los recursos de que dispone: personas, materiales, tecnologa, sistemas productivos, etc.
Qu es la auditoria Informtica?
La auditoria de la calidad es un proceso mediante el cual, se busca, obtener evidencias de los registros que se emiten en el proceso de calidad, en base a declaraciones de hechos o cualquier informacin, para evaluarlas de manera prctica, su objetivo es determinar si realmente se estn cumpliendo polticas y los procedimientos previamente establecidos. La auditora informtica es el proceso mediante el cual se recoge, agrupa y evala todo tipo de evidencias para determinar si un Sistema de Informacin, trabaja adecuadamente, con los parmetros establecidos, mantiene la integridad y seguridad de los datos, llevando eficazmente los fines de la organizacin. Objetivos. El control total de todo lo relacionado con la informtica empresarial. El estudio de la eficiencia de los Sistemas Informticos. La verificacin del cumplimiento de los parmetros que se establecieron. La revisin de la eficaz gestin de los recursos informticos.
La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como: Eficiencia Eficacia Rentabilidad Seguridad
Pgina 10

Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas: Gobierno corporativo Administracin del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Proteccin y Seguridad Planes de continuidad y Recuperacin de desastres
Conceptos de auditora informtica.

Es el proceso de recoger, agrupar y evaluar evidencias para determinar si los sistemas de la organizacin trabajan adecuadamente en base a los parmetros, previamente establecidos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. Dicho en otras palabras, la auditoria informtica es un examen que se realiza a los sistemas de informacin, con el fin, de evaluar la eficacia y eficiencia de los mismos. Esta se lleva a cabo en base a diferentes, tcnicas, procedimientos y herramientas, que son de gran apoyo para, analizar, evaluar , verificar y recomendar posibles mejoras, trayendo consigo seguridad y un trabajo informtico de calidad en la empresa.
Mtodos, tcnicas y herramientas de auditora.
Metodologa De trabajo. Alcance y Objetivos de la auditora Informtica. Estudio inicial del entorno auditable. Determinacin de los recursos necesarios para realizar la auditora. Elaboracin del plan y de los programas de trabajo. Actividades propiamente dichas de la auditora. Confeccin y redaccin del Informe Final. Redaccin de la carta de Introduccin o carta de presentacin del Informe final.
Plan de trabajo: Toma de contacto. Planificacin. Desarrollo de la auditora. Fase de diagnstico. Presentacin de conclusiones. Formacin del plan de mejoras.
Pgina 11

Tcnicas de Trabajo: Anlisis de la informacin recabada del auditado. Anlisis de la informacin propia. Cruzamiento de las informaciones anteriores. Entrevistas. Simulacin. Muestreos. Herramientas: Cuestionario general inicia Cuestionario Checklist. Estndares. Monitores. Simuladores (Generadores de datos). Paquetes de auditora (Generadores de Programas). Matrices de riesgo.
Clasificacin de las normas de auditora.

Las normas de auditora de estados financieros se clasifican en normas personales, normas de ejecucin del trabajo y normas de informacin.
Normas personales.
Las normas personales se refieren a las cualidades que el auditor debe tener para poder asumir, dentro de las exigencias que el carcter profesional de la auditoria impone, un trabajo de este tipo. Dentro de estas normas existen cualidades que el auditor debe tener pre adquiridas antes de poder asumir un trabajo profesional de auditora y cualidades que debe mantener durante el desarrollo de toda su actividad profesional. Entrenamiento tcnico y capacidad profesional. El trabajo de auditora, cuya finalidad es la de rendir una opinin profesional independiente, debe ser desempeado por personas que, teniendo ttulo profesional legalmente expedido y reconocido, tengan entrenamiento tcnico adecuado y capacidad profesional como auditores. Cuidado y diligencia profesionales. El auditor est obligado a ejercitar cuidado y diligencia razonables en la realizacin de su examen y en la preparacin de su dictamen o informe. Independencia. El auditor est obligado a mantener una actitud de independencia mental en todos los asuntos relativos a su trabajo profesional.
Pgina 12
Normas de ejecucin del trabajo.

Al tratar de las normas personales, se sealo que el auditor est obligado a ejecutar su trabajo con cuidado y diligencia. Aun cuando es difcil definir lo que en cada tarea puede representar un cuidado y diligencia adecuados, existen ciertos elementos que, por su importancia, deben ser cumplidos. Estos elementos bsicos, fundamentales en la ejecucin de trabajo, que constituyen la especificacin particular, por lo menos al mnimo indispensable, de la exigencia de cuidado y diligencia, son los que constituyen las normas denominadas de ejecucin del trabajo. Planeacin y supervisin. El trabajo de auditora deber ser planeado adecuadamente y, si se usan ayudantes, estos deben ser supervisados en forma apropiada. Estudio y evaluacin del control interno. El auditor debe efectuar un estudio y evaluacin adecuados del control interno existente, que le sirvan de base para determinar el grado de confianza que va depositar en l; asimismo, que le permita determinar la naturaleza, extensin y oportunidad que va dar procedimientos de auditora. Obtencin de evidencia suficiente y competente. Mediante sus procedimientos de auditora, el auditor debe obtener evidencia comprobatoria suficiente y competente en el grado que requiera suministrar una base objetiva para su opinin.
Normas de informacin.
El resultado final del trabajo del auditor es su dictamen o informe. Mediante el, pone en conocimiento de las personas interesadas los resultados de su trabajo y la opinin que se ha formado a travs de su examen. El dictamen o informe del auditor es en lo que va a reposar la confianza de los interesados en los estados financieros para prestarles fe a las declaraciones que en ellos aparecen sobre la situacin financiera y los resultados de operaciones de la empresa. Por ltimo es, principalmente, a travs del informe o dictamen, como el pblico y el cliente se dan cuenta del trabajo del auditor y, en muchos casos, es la nica parte, de dicho trabajo, que queda a su alcance. En todos los casos en que el nombre de un contador pblico quede asociado con estados o informacin financiera deber expresar de manera clara e inequvoca la naturaleza de su relacin con dicha informacin, su opinin sobre la misma y, en su caso, las limitaciones importantes que haya tenido su examen, las salvedades que se deriven de ellas o todas las razones de importancia por las cuales expresa una opinin adversa o no puede expresar una opinin profesional a pesar de haber hecho un examen.
Pgina 13
Auditora interna y externa

Auditora Externa
Aplicando el concepto general, se puede decir que la auditora Externa es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un Contador Pblico sin vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir una opinin independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento. El dictamen u opinin independiente tiene trascendencia a los terceros, pues da plena validez a la informacin generada por el sistema ya que se produce bajo la figura de la Fe Pblica, que obliga a los mismos a tener plena credibilidad en la informacin examinada. La Auditora Externa examina y evala cualquiera de los sistemas de informacin de una organizacin y emite una opinin independiente sobre los mismos, pero las empresas generalmente requieren de la evaluacin de su sistema de informacin financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el trmino Auditora Externa a Auditora de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir Auditora Externa del Sistema de Informacin Tributario, Auditora Externa del Sistema de Informacin Administrativo, Auditora Externa del Sistema de Informacin Automtico etc. La Auditora Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella informacin producida por los sistemas de la organizacin. Una Auditora Externa se lleva a cabo cuando se tiene la intencin de publicar el producto del sistema de informacin examinado con el fin de acompaar al mismo una opinin independiente que le d autenticidad y permita a los usuarios de dicha informacin tomar decisiones confiando en las declaraciones del Auditor. Una auditora debe hacerla una persona o firma independiente de capacidad profesional reconocidas. Esta persona o firma debe ser capaz de ofrecer una opinin imparcial y profesionalmente experta a cerca de los resultados de auditora, basndose en el hecho de que su opinin ha de acompaar el informe presentado al trmino del examen y concediendo que pueda expresarse una opinin basada en la veracidad de los documentos y de los estados financieros y en que no se imponga restricciones al auditor en su trabajo de investigacin.
Auditora Interna
La auditora Interna es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un profesional con vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulacin interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Pblica.
Pgina 14

Las auditoras internas son hechas por personal de la empresa. Un auditor interno tiene a su cargo la evaluacin permanente del control de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los mtodos y procedimientos de control interno que redunden en una operacin ms eficiente y eficaz. Cuando la auditora est dirigida por Contadores Pblicos profesionales independientes, la opinin de un experto desinteresado e imparcial constituye una ventaja definida para la empresa y una garanta de proteccin para los intereses de los accionistas, los acreedores y el Pblico. La imparcialidad e independencia absolutas no son posibles en el caso del auditor interno, puesto que no puede divorciarse completamente de la influencia de la alta administracin, y aunque mantenga una actitud independiente como debe ser, esta puede ser cuestionada ante los ojos de los terceros. Por esto se puede afirmar que el Auditor no solamente debe ser independiente, sino parecerlo para as obtener la confianza del Pblico. La auditora interna es un servicio que reporta al ms alto nivel de la direccin de la organizacin y tiene caractersticas de funcin asesora de control, por tanto no puede ni debe tener autoridad de lnea sobre ningn funcionario de la empresa, a excepcin de los que forman parte de la planta de la oficina de auditora interna, ni debe en modo alguno involucrarse o comprometerse con las operaciones de los sistemas de la empresa, pues su funcin es evaluar y opinar sobre los mismos, para que la alta direccin toma las medidas necesarias para su mejor funcionamiento. La auditora interna solo interviene en las operaciones y decisiones propias de su oficina, pero nunca en las operaciones y decisiones de la organizacin a la cual presta sus servicios, pues como se dijo es una funcin asesora.
Diferencias entre auditora interna y externa:

Existen diferencias substanciales entre la Auditora Interna y la Auditora Externa, algunas de las cuales se pueden detallar as: En la Auditora Interna existe un vnculo laboral entre el auditor y la empresa, mientras que en la Auditora Externa la relacin es de tipo civil. En la Auditora Interna el diagnstico del auditor, est destinado para la empresa; en el caso de la Auditora Externa este dictamen se destina generalmente para terceras personas o sea ajena a la empresa. La Auditora Interna est inhabilitada para dar Fe Pblica, debido a su vinculacin contractual laboral, mientras la Auditora Externa tiene la facultad legal de dar Fe Pblica.
Pgina 15
reas de aplicacin de la auditoria informtica

Algunos campos de aplicacin de la informtica son las siguientes:
Investigacin cientfica y humanstica: Se usan la las computadoras para la resolucin

de de clculos matemticos, recuentos numricos, etc. Algunas de estas operaciones: Resolucin de ecuaciones. Anlisis de datos de medidas experimentales, encuestas etc. Anlisis automticos de textos
Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y de

productos comerciales, trazado de planos, etc. Algunas de estas operaciones: Anlisis y diseo de circuitos de computadora. Clculo de estructuras en obras de ingeniera. Minera. Cartografa.
Documentacin e informacin: Es uno de los campos ms importantes para la utilizacin

de computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperacin controlada de los mismos en bases de datos. Ejemplos de este campo de aplicacin son: Documentacin cientfica y tcnica. Archivos automatizados de bibliotecas. Bases de datos jurdicas.
Gestin administrativa: Automatiza las funciones de gestin tpicas de una empresa.

Existen programas que realizan las siguientes actividades: Contabilidad. Facturacin. Control de existencias. Nminas.
Pgina 16
Inteligencia artificial: Las computadoras se programan de forma que emulen el

comportamiento de la mente humana. Los programas responden como previsiblemente lo hara una persona inteligente. Aplicaciones como: Reconocimiento del lenguaje natural. Programas de juego complejos (ajedrez). Instrumentacin y control: Instrumentacin electrnica, electro-medicina, robots industriales, entre otros.
Otras aplicaciones
Otros campos de aplicacin no vistos anteriormente: video-juegos, aplicaciones en el arte, procesamiento de imgenes
CONTROL INTERNO
El Control Interno Informtico puede definirse como el sistema integrado al proceso administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de los procesos operativos automatizados El Informe COSO define el Control Interno como Las normas, los procedimientos, las prcticas y las estructuras organizativas diseadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarn y que los eventos no deseados se prevern, se detectarn y se corregirn. Tambin se puede definir el Control Interno como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos En el ambiente informtico, el control interno se materializa fundamentalmente en controles de dos tipos: Controles manuales; aquellos que son ejecutados por el personal del rea usuaria o de informtica sin la utilizacin de herramientas computacionales. Controles Automticos; son generalmente los incorporados en el software, llmense estos de operacin, de comunicacin, de gestin de base de datos, programas de aplicacin, etc.
Pgina 17

Los controles segn su finalidad se clasifican en: Controles Preventivos, para tratar de evitar la produccin de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado. Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos. Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos. Objetivos principales: Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas Colaborar y apoyar el trabajo de Auditora Informtica interna/externa Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento de los servicios informticos. Realizar en los diferentes sistemas y entornos informticos el control de las diferentes actividades que se realizan.
Control interno informtico (Funcin)

El Control Interno Informtico es una funcin del departamento de Informtica de una organizacin, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de informacin automatizados se realicen cumpliendo las normas, estndares, procedimientos y disposiciones legales establecidas interna y externamente. Funciones especficas Difundir y controlar el cumplimiento de las normas, estndares y procedimientos al personal de programadores, tcnicos y operadores. Disear la estructura del Sistema de Control Interno de la Direccin de Informtica en los siguientes aspectos: Desarrollo y mantenimiento del software de aplicacin. Explotacin de servidores principales Software de Base Redes de Computacin Seguridad Informtica Licencias de software Relaciones contractuales con terceros Cultura de riesgo informtico en la organizacin
Pgina 18
Control interno informtico (reas de aplicacin)

Controles generales organizativos Son la base para la planificacin, control y evaluacin por la Direccin General de las actividades del Departamento de Informtica, y debe contener la siguiente planificacin: Plan Estratgico de Informacin realizado por el Comit de Informtica. Plan Informtico, realizado por el Departamento de Informtica. Plan General de Seguridad (fsica y lgica). Plan de Contingencia ante desastres.
Controles de desarrollo y mantenimiento de sistemas de informacin Permiten alcanzar la eficacia del sistema, economa, eficiencia, integridad de datos, proteccin de recursos y cumplimiento con las leyes y regulaciones a travs de metodologas como la del Ciclo de Vida de Desarrollo de aplicaciones. Controles de explotacin de sistemas de informacin Tienen que ver con la gestin de los recursos tanto a nivel de planificacin, adquisicin y uso del hardware as como los procedimientos de, instalacin y ejecucin del software. Controles en aplicaciones Toda aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin, salida, validez y mantenimiento completos y exactos de los datos. Controles en sistemas de gestin de base de datos Tienen que ver con la administracin de los datos para asegurar su integridad, disponibilidad y seguridad. Controles informticos sobre redes Tienen que ver sobre el diseo, instalacin, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organizacin sean estas centrales y/o distribuidos. Controles sobre computadores y redes de rea local Se relacionan a las polticas de adquisicin, instalacin y soporte tcnico, tanto del hardware como del software de usuario, as como la seguridad de los datos que en ellos se procesan.
Principios aplicados por auditores informticos

Principio de beneficio de auditado
El auditor deber ver como se puede conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones ms idneas segn los problemas detectados en el sistema informtico de esta ltima.
Pgina 19

En ningn caso est justificado que realice su trabajo el prisma del propio beneficio. Cualquiera actitud que se anteponga intereses personales del auditor a los del auditado deber considerarse como no tica. Para garantizar le beneficio del auditado como la necesaria independencia del auditor, este ltimo deber evitar estar ligado en cualquier forma, a intereses de determinadas marcas, productos o equipos compatibles con los de su cliente. La adaptacin del auditor al sistema del auditado debe implicar una cierta simbiosis con el mismo, a fin de adquirir un conocimiento pormenorizado de sus caractersticas intrnsecas. nicamente en los casos en el que el auditor dedujese la imposibilidad de que el sistema pudiera acomodarse a las exigencias propias de su cometido, este podr proponer un cambio cualitativamente significativo de determinados elementos o del propio sistema informtico globalmente contemplado. Una vez estudiado el sistema informtico a auditar, el auditor deber establecer los requisitos mnimos, aconsejables y ptimos para su adecuacin a la finalidad para la que ha sido diseado. El auditor deber lgicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dainas o que generen riesgos injustificados para el auditado. Una de las cuestiones ms controvertidas, respecto de la aplicacin de este principio, es la referente a facilitar el derecho de las organizaciones auditadas a la libre eleccin del auditor. Si el auditado decidiera encomendar posteriores auditoras a otros profesionales, stos deberas poder tener acceso a los informes de los trabajos profesionales, stos deberan poder tener acceso a los informes de los trabajos anteriormente realizados sobre el sistema del auditado.
Principio de calidad
En el auditor deber prestar sus servicios a tenor de las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. En los casos en el que la precariedad de medios puestos a su disposicin impida o dificulten seriamente la realizacin de la auditora, deber segarse a realizarla hasta que se garantice un mnimo de condiciones tcnicas que no comprometan la calidad de sus servicios o dictmenes.
Principio de capacidad
El auditor debe estar plenamente capacitado para la realizacin de la auditora encomendada, maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas.
Pgina 20

Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditora evitando que una sobreestimacin personal pudiera provocar el incumplimiento parcial o total de la misma. Conviene indicar que en los casos de producirse, por el contrario, una subestimacin de su capacidad de su capacidad profesional, esta circunstancia podra afectar negativamente en la confianza del auditado sobre el resultado final de la auditora. A efectos de garantizar, en la medida de lo posible, la pertinencia de sus conocimientos, el auditor deber procurar que stos evolucionen, al unsono con el desarrollo de las tecnologas de la informacin, en una forma dinmica. Es deseable que se fortalezca la certificacin profesional de la aptitud de los auditores para realizar unos trabajos de ndole tan compleja. Esta certificacin que deber tener a plazo de validez acorde con la evolucin de las nuevas tecnologas de la informacin de la informacin, debera estar validada y garantizada por la metodologa empleada para acreditar dicha especializacin.
Principio de cautela
El auditor en todo momento debe ser consciente de que sus recomendaciones deben estar basadas en el experiencia contrastada que se le supone tiene adquirida, evitando que, por un exceso de vanidad, el auditado se embarque en proyectos de futuro fundamentos en simples intuiciones sobre la posible evolucin de las nuevas tecnologas de la informacin. Si bien es cierto que el auditor debe estar al corriente del desarrollo de dichas tecnologas de informacin e informar al auditado de su previsible evolucin, no es menos cierto que deben evitar la tentacin de creer que, gracias a sus conocimientos, puede aventurar, con un casi absoluto grado de certeza. Debe, por tanto, el auditor actuar con un cierto grado de humildad, evitando dar la impresin de estar al corriente de una informacin privilegiada sobre el estado real de la evolucin de los proyectos.
Principio de comportamiento profesional

El auditor, tanto en sus relaciones con el auditado como con terceras personas, deber, en todo momento, actuar conforma a las normas, implcitas o explcitas, de dignidad de la profesin y de correccin en el trato personal. Para ello deber cuidar la moderacin en la exposicin de sus juicios u opiniones evitando caer en exageraciones o atemorizaciones innecesarias procurando, en todo momento, transmitir una imagen de precisin y exactitud en sus comentarios.
Pgina 21

El comportamiento profesional exige del auditor una seguridad en sus conocimientos tcnicos y una clara percepcin de sus carencias, debiendo eludir las injerencias no solicitadas por l, de profesionales de otras reas, en temas relacionadas o que puedan incidir en el resultado da la auditora. El auditor debe asimismo guardar un escrupuloso respecto por la poltica empresarial del auditado, aunque sta difiera ostentablemente de las del resto el sector en las que desarrolla su actividad. Igualmente debe evitarse realizar actos que simulen aplicaciones de tratamientos ficticios, encubran comportamientos no profesionales o den publicidad a metodologas propias o ajenas insuficientemente contrastadas y garantizadas.
Principio de concentracin en el trabajo

En su lnea de actuacin, el auditor deber evitar que un exceso de trabajo supere sus posibilidades de concentracin y precisin en cada una de las tareas a l encomendadas, y a que la estructuracin y dispersin de trabajos suele a menudo, si no est debidamente controlada, provocar la conclusin de los mismos sin las debidas garantas de seguridad. A este efecto, el auditor deber sopesar las posibles consecuencias de una acumulacin excesiva de trabajos a fin de no asumir aquellos que objetivamente no tengan tiempo de realizar con las debidas garantas de calidad. Asimismo deber evitar la desaconsejable prctica de ahorro de esfuerzos basada en la reproduccin de partes significativas de trabajos o conclusiones obtenidas de trabajos previos en otros posteriores elaborados como colofn de nuevas auditoras. Por el contrario, si es admisible el que, una vez analizados en profundidad los aspectos a tener en cuenta y obtenidas las correspondientes conclusiones, se contrasten las mismas a tenor de la experiencia adquirida y reflejada en anteriores informes, ya que este modo de actuar permite detectar posibles omisiones en el estudio. Este comportamiento profesional permitir al auditor dedicar a su cliente la mayor parte de los recursos posibles obtenidos de sus conocimientos y experiencias previas con una completa atencin durante la ejecucin de la auditora.
Principio de confianza
El auditor deber facilitar e incrementar la confianza del auditoreo en base a una actuacin de transparencia en su actividad profesional sin alardes cientficos-tcnicos. Este principio requiere as mismo, por parte del auditor, el mantener una confianza en las indicaciones del auditado aceptndolas sin reservas como vlidas.
Pgina 22

El auditor deber, en consonancia con esta forma de actuar, adecuar su lenguaje al nivel de comprensin del auditado, descendiendo y detallando cuando haga falta en su explicacin debiendo solicitar, cuando lo considere necesario, la presencia de alguno de los colaboradores de confianza de su cliente.
Principio de criterio propio

El auditor durante la ejecucin deber actuar con criterio propio y no permitir que est subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el mismo. La defensa a ultranza del propio criterio no es bice para respetar las crticas adversas de terceros, aunque el auditor debe evitar que, si una vez analizadas contina discrepando de las mismas, stas pueden seguir influyendo en su trabajo, ya que la libertad de criterio impone al auditor la obligacin de tica de actuar en todo momento. Este principio exige asimismo del auditor una actitud cuasi beligerante en los casos en que llegue al convencimiento de que la actividad que se solicita, presuntamente para evaluar y mejorar un sistema informtico, tiene otra finalidad ajena a la auditora. De igual forma cuando el auditor observe que, de forma reiterada, el auditado se niega, sin justificacin alguna, a adoptar a sus propuestas deber plantearse la continuidad de sus servicios en funcin de las razones y causas que considere puedan justificar dicho proceder.
Principio de discrecin
El auditor deber en todo momento mantener una cierta discrecin en la divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecucin de la auditoria
Principio de economa
El auditor deber proteger, en la medida de sus conocimientos, los derechos econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad. De igual forma, el auditor deber tener en cuenta la economa de medios materiales o humanos, eludiendo utilizar aquellos que no se precisen, lo que redundar en reducciones de gastos no justificados. En las recomendaciones y conclusiones realizadas en base a su trabajo deber as mismo eludir, incitar o proponer actuaciones que puedan generar gastos innecesarios o desproporcionados.
Principio de formacin continuada

Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente actualizacin de sus conocimientos y mtodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta.
Pgina 23
Principio de fortalecimiento y respeto de la profesin

La defensa de los auditados pasa por el fortalecimiento de la profesin de los auditores informticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la actividad desarrollada por los mismos y un comportamiento acorde con los requisitos exigibles para el idneo cumplimiento de la finalidad de las auditorias. El auditor como integrante de un grupo profesional beber promover el respeto mutuo y la no confrontacin entre compaeros. En sus relaciones profesionales beber exigir as mismo una reciprocidad en el comportamiento tico de sus colegas y facilitar las relaciones de confraternidad y mutuo apoyo cuando as se le soliciten.
Principio de independencia
Este principio, muy relacionado con el principio de criterio propio, obliga al auditor, tanto si acta como profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la auditoria informtica, a exigir una total autonoma e independencia en su trabajo, condicin esta imprescindible para permitirle actuar libremente segn su leal saber y entender. Esta independencia implica as mismo el rechazo de criterios con los que no est plenamente de acuerdo, debiendo reflejarse en su informe final tan solo aquellos que considere pertinentes evitando incluir en el mismo aquellos otros que segn su entender pudieran producir perjuicios al auditado, aunque este as se lo solicite.
Principio de informacin suficiente

Este principio obliga al auditor a ser plenamente consciente de su obligacin de aportar, en forma pormenorizada, clara, precisa e inteligible para el auditado, informacin tanto sobre todos y cada uno de los puntos relacionados con la auditoria que puedan tener algn inters para l, como sobre las conclusiones a las que ha llegado. Es importante asimismo que la informacin transmitida al auditado ponga de manifiesto una prudencia y sentido de la responsabilidad, caractersticas estas que nunca deben estar reidas con los principios de suficiencia informativa y de veracidad evitando recrear los aspectos negativos o los errores humanos detectados que deben quedar reflejados con un cierto tacto profesional.
Principio de integridad moral

Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor a ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales de justicia y prioridad, y a evitar participar, voluntaria o inconscientemente, en cualquier acto de corrupcin personal o de terceras personas.
Pgina 24
Principio de legalidad
La primaca de esta obligacin exige del auditor un comportamiento activo de oposicin a todo intento, por parte del auditado o de terceras personas, tendente a infringir cualquier precepto integrado en el derecho positivo.
Principio de libre competencia

La actual economa de mercado exige que el ejercicio de la profesin se realice en el marco de la libre competencia siendo rechazables, por tanto, las prcticas colusorias tendentes a impedir o limitar la legtima competencia de otros profesionales y las prcticas abusivas consistentes en el aprovechamiento en beneficio propio, y en contra de los intereses de los auditados, de posiciones predominantes.
Principio de no discriminacin
El auditor en su actuacin previa, durante y posterior a la auditoria deber evitar cualquier tipo de condicionantes personalizados y actuar en todos los casos con similar diligencia, su actuacin deber mantener una igualdad de trato profesional con la totalidad de personas con las que en virtud de su trabajo tenga que relacionarse.
Principio de no injerencia
El auditor, dada la injerencia que puede derivarse de su tarea, deber evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar un cierto desprestigio de su cualificacin profesional. Deber igualmente evitar aprovechar los datos obtenidos de la auditoria para entrar en competencia desleal con profesionales relacionados con ella de otras reas del conocimiento.
Principio de precisin
Este principio estrechamente relacionado con el principio de calidad exige del auditor la no conclusin de su trabajo hasta estar convencido, en la medida de lo posible, de la viabilidad de sus propuestas, debiendo ampliar sus estudios de ser necesario. En la exposicin de sus conclusiones deber ser suficientemente critico, no eludiendo poner de manifiesto aquellos aspectos concretos que considere puedan tener una incidencia en la calidad y fiabilidad de la auditoria. Es exigible asimismo del auditor que indique como evaluado nicamente aquello que directamente, o por medio de sus colaboradores, haya comprobado u observado de forma exhaustiva.
Pgina 25
Principio de publicidad adecuada

La oferta y promocin de los servicios de auditora debern en todo momento ajustarse a las caractersticas, condiciones y finalidad perseguidas, siendo contraria a la tica profesional la difusin de publicidad falsa o engaosa que tenga como objetivo confundir a los potenciales usuarios de dichos servicios.
Principio de responsabilidad
El auditor deber, como elemento intrnseco de todo comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje. Si bien este principio aparentemente puede resultar gravoso en auditorias de gran complejidad es preciso tenerlo presente a fin de poder garantizar su responsabilidad en los casos en que, debido a errores humanos durante la ejecucin de la auditoria, se produzcan daos a su cliente que le pudieran ser imputados. Por ello es conveniente impulsar la formalizacin y suscripcin de seguros, adaptados a las peculiares caractersticas de su actividad, que cubran la responsabilidad civil de los auditores con una suficiente cobertura a fin de acrecentar la confianza y solvencia de su actuacin profesional. La responsabilidad del auditor conlleva la obligacin de resarcimiento de los daos o perjuicios que pudieran derivarse de una actuacin negligente o culposa.
Principio de secreto profesional

La confidencia y confianza con caractersticas esenciales de las relaciones entre el auditor y el auditado e imponen al primero la obligacin de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional. Solamente por imperativo legal podr decaer esa obligacin. Este principio obliga primero a no difundir a terceras personas ningn dato que haya visto, odo, o deducido durante el desarrollo de su trabajo que pudiera perjudicar a su cliente. Establecimiento de las medidas y mecanismos de seguridad pertinentes para garantizar al auditado que la informacin documentada, obtenida a lo largo de la auditoria, va a quedar almacenada en entornos o soportes que impidan la accesibilidad a la misma por terceras personas no autorizadas.
Principio de servicio publico

La aplicacin de este principio debe incitar al auditor a hacer lo que est en su mano y sin perjuicio de los intereses de su cliente, para evitar daos sociales. Deber poner de manifiesto sus opciones personales cuando entren en contradiccin con la tica social que el auditado pueda presumir que esta implcitamente aceptada por el auditor. Exige una continua elevacin del arte de la ciencia en el campo de la auditoria informtica.
Pgina 26
Principio de veracidad
El Auditor en sus comunicaciones con el auditado deber tener siempre presente la obligacin de asegurar la veracidad de sus manifestaciones con los lmites impuestos por los deberes de respeto, correccin, y secreto profesional. El principio de veracidad no debe, sin embargo, considerarse como constreido a expresar nicamente aquello sobre lo que se tenga una absoluta y total certeza, sino que implica poner de manifiesto aquello que tenga el suficiente grado de fiabilidad como para ser considerado como veraz mientras no se aporten datos o pruebas que demuestren lo contrario. La aplicacin de este principio exige al auditor, en el marco de su obligacin de informar al auditado sobre el trabajo realizado, comunique a este ultimo sus conclusiones, diferenciando los hechos constatados de las opiniones, propuestas y valoraciones personales, debiendo actuar en la comprobacin de los primeros y en la fundamentacin de las restantes con una suficiente diligencia profesional para garantizar el cumplimiento de su obligacin de informar verazmente.
Fases Auditoria Informtica

Fase I: Conocimientos del Sistema
Aspectos Legales y Polticas Internas. Sobre estos elementos est construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluacin. Caractersticas del Sistema Operativo. Organigrama del rea que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditora realizadas anteriormente Caractersticas de la aplicacin de computadora Manual tcnico de la aplicacin del sistema Funcionarios (usuarios) autorizados para administrar la aplicacin Equipos utilizados en la aplicacin de computadora Seguridad de la aplicacin (claves de acceso) Procedimientos para generacin y almacenamiento de los archivos de la aplicacin.
Fase II: Anlisis de transacciones y recursos

Definicin de las transacciones. Dependiendo del tamao del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deber ser asignada con los administradores.
Pgina 27

Anlisis de las transacciones Establecer el flujo de los documentos. En esta etapa se hace uso de los flujo gramas ya que facilita la visualizacin del funcionamiento y recorrido de los procesos. Anlisis de los recursos Identificar y codificar los recursos que participan en el sistema.
Fase III: Anlisis de riesgos y amenazas

Identificacin de riesgos Daos fsicos o destruccin de los recursos Prdida por fraude o desfalco Extravo de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupcin de las operaciones del negocio Prdida de integridad de los datos Ineficiencia de operaciones Errores Identificacin de las amenazas Amenazas sobre los equipos: Amenazas sobre documentos fuente Amenazas sobre programas de aplicaciones Relacin entre recursos/amenazas/riesgos La relacin entre estos elementos deber establecerse a partir de la observacin de los recursos en su ambiente real de funcionamiento.
Fase IV: Anlisis de controles

Codificacin de controles Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificacin de los controles debe contener una codificacin la cual identifique el grupo al cual pertenece el recurso protegido. Relacin entre recursos/amenazas/riesgos La relacin con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o ms controles. Anlisis de cobertura de los controles requeridos Este anlisis tiene como propsito determinar si los controles que el auditor identific como necesarios proveen una proteccin adecuada de los recursos.
Pgina 28
Fase V: Evaluacin de Controles

Objetivos de la evaluacin Verificar la existencia de los controles requeridos Determinar la operatividad y suficiencia de los controles existentes Plan de pruebas de los controles Incluye la seleccin del tipo de prueba a realizar. Debe solicitarse al rea respectiva, todos los elementos necesarios de prueba. Pruebas de controles Anlisis de resultados de las pruebas
Fase VI: Informe de Auditoria

Informe detallado de recomendaciones Evaluacin de las respuestas Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las reas. o Introduccin: objetivo y contenido del informe de auditoria o Objetivos de la auditora o Alcance: cobertura de la evaluacin realizada o Opinin: con relacin a la suficiencia del control interno del sistema evaluado o Hallazgos o Recomendaciones
Fase VII: Seguimiento de Recomendaciones

Informes del seguimiento Evaluacin de los controles implantados
Planeacin de la auditora en informtica

Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos: Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.
Pgina 29

Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo
Revisin Preliminar Auditoria Informtica

En esta fase el auditor debe de armarse de un conocimiento amplio del rea que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y personal que lo opera sin trabajar porque esto le genera prdidas sustanciosas), herramientas y conocimientos previos, as como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. Es de tomarse en cuenta que el propietario de dicha empresa, ordena una auditoria cuando siente que un rea tiene una falla o simplemente no trabaja productivamente como se sugiere, por esta razn habr puntos claves que se nos instruya sean revisados, hay que recordar que las auditorias parten desde un mbito administrativo y no solo desde la parte tecnolgica, porque al fin de cuentas hablamos de tiempo y costo de produccin, ejercicio de ventas, etc. Es decir, todo aquello que representa un gasto para la empresa.
Revisin Detallada Auditoria Informtica

Los objetos de la fase detallada son los de obtener la informacin necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica. El auditor debe de decidir se debe continuar elaborando pruebas de consentimiento, con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a revisin con los usuarios (pruebas compensatorias) o a las pruebas sustantivas.
Examen Evaluacin Informacin

Es el examen crtico y sistemtico que hace un Contador Pblico para evaluar el sistema de procesamiento electrnico de datos y sus resultados, el cual, le ofrece al auditor las oportunidades de llevar a cabo un trabajo ms selectivo y de mayor penetracin sobre las actividades, procedimientos que involucran un gran nmero de transacciones. El examen de los objetivos de la auditora, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluacin, nos lleva a la conclusin de que el papel del computador afecta significativamente las tcnicas a aplicar. Mediante una revisin adecuada del sistema de procesamiento electrnico de datos del cliente, y el uso de formatos bien diseados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente.
Pgina 30

Recreando programas de auditora por computador, el auditor cubre una actividad ms grande de la utilidad mercantil tanto financiera como operacional; y puede utilizar recursos para analizar y evaluar campos de problemas de evaluacin en las operaciones del cliente. Tal mtodo incrementa su aptitud para remitir ptimos servicios a los mismos. La evaluacin de un sistema informtico, estriba primero en la revisin del mismo para obtener un conocimiento de cmo se dice que funciona, y ponerlo a prueba para acumular evidencias que demuestren como es el funcionamiento en la realidad. Al evaluar la informacin automtica, el auditor debe revisar varios documentos, como diagramas de flujo y documentos de programacin, para lograr un mejor entendimiento del sistema y los controles que se disearon en l. En el sistema de procesamiento electrnico de datos, el auditor probablemente, encuentre nuevos controles, algunos de ellos necesarios para la automatizacin del proceso, y algunos que sustituyen aquellos que en los mtodos manuales se basaron en juicios humanos y la divisin de labores. Muchos de los controles en ambientes informticos, pueden combinarse en los programas de computadoras con en el proceso manual. Para ayudar en la revisin de los sistemas de procesamiento de datos y los controles internos, en ocasiones de suma utilidad los cuestionarios para obtener informacin respecto al sistema. Una vez obtenida la informacin, el auditor debe proceder a obtener evidencias de la existencia y efectividad de los procedimientos para l. Una parte significativa del sistema de control interno est comprendida en el programa de la computadora. Existen baches en la ruta de auditora, haciendo difcil e poco prctico obtener resultados o verificar clculos. Esta situacin es posible tanto en aplicaciones sencillas, como en sistemas integrados complejos. El volumen de registros que quizs sea ms econmico y efectivo usar mtodos de datos de prueba, en vez de mtodos de prueba manual.
Pruebas Controles De Usuario

Pruebas de Comportamiento
El objetivo de esta fase es comprobar que los controles internos funcionan como lo deben de hacer, es decir, que los controles que se supona que existan, existen realmente y funcionan bien. Las tcnicas utilizadas, adems de la recogida manual de evidencias ya descrita, contemplan el uso del ordenador para verificar los controles. Al final de la fase, el auditor puede decidir evaluar de nuevo el sistema de controles internos, de acuerdo con la fiabilidad que han mostrado los controles individuales. El procedimiento de evaluacin y la eleccin de nuevos procedimientos de auditora son los mismos que los de las fases anteriores.
Pgina 31
Prueba y Evaluacin de los Controles del Usuario

El auditor puede decidir que no hace falta confiar en los controles internos porque existen controles del usuario que los sustituyen o compensan. Para un auditor externo, revisar estos controles del usuario puede resultar ms costoso que revisar los controles internos. Para un auditor interno, es importante hacerlo para eliminar posibles controles duplicados, bien internos o bien del usuario, para evitar la redundancia.
Pruebas Sustantivas
El objetivo de las pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cundo pueden ocurrir perdidas materiales durante el proceso de la informacin. Se pueden identificar 8 diferentes pruebas sustantivas: 1. Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. 2. Prueba para asegurar la calidad de los datos. 3. Pruebas para identificar la inconsistencia de datos. 4. Prueba para comparar con los datos o contadores fsicos. 5. Confirmacin de datos con fuentes externas 6. Pruebas para confirmar la adecuada comunicacin. 7. Prueba para determinar falta de seguridad. 8. Pruebas para determinar problemas de legalidad.
Evaluacin sistemas de acuerdo al riesgo

Riesgo
Proximidad o posibilidad de un dao, peligro, etc. Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro. Sinnimos: amenaza, contingencia, emergencia, urgencia, apuro.
Seguridad
Cualidad o estado de seguro Garanta o conjunto de garantas que se da a alguien sobre el cumplimiento de algo. Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administracin estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilacin; se financia con aportaciones del Estado, trabajadores y empresarios.
Pgina 32
Consideraciones Inmediatas para la Auditora de la Seguridad

A continuacin se citarn las consideraciones inmediatas que se deben tener para elaborar la evaluacin de la seguridad, pero luego se tratarn las reas especficas con mucho mayor detalle. Uso de la Computadora Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a: tiempo de mquina para uso ajeno copia de programas de la organizacin para fines de comercializacin (copia pirata) acceso directo o telefnico a bases de datos con fines fraudulentos
Sistema de Acceso Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a: nivel de seguridad de acceso empleo de las claves de acceso evaluar la seguridad contemplando la relacin costo, ya que a mayor tecnologa de acceso mayor costo
Cantidad y Tipo de Informacin El tipo y la cantidad de informacin que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podran producir que: la informacin este en manos de algunas personas la alta dependencia en caso de prdida de datos
Control de Programacin Se debe tener conocer que el delito ms comn est presente en el momento de la programacin, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que: los programas no contengan bombas lgicas los programas deben contar con fuentes y sus ltimas actualizaciones los programas deben contar con documentacin tcnica, operativa y de emergencia
Personal Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que estn ligadas al sistema de informacin de forma directa y se deber contemplar principalmente: la dependencia del sistema a nivel operativo y tcnico evaluacin del grado de capacitacin operativa y tcnica contemplar la cantidad de personas con acceso operativo y administrativo conocer la capacitacin del personal en situaciones de emergencia
Pgina 33

Medios de Control Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema. Tambin se debe observar con detalle el sistema ya que podra generar indicadores que pueden actuar como elementos de auditora inmediata, aunque esta no sea una especificacin del sistema.
Rasgos del Personal Se debe ver muy cuidadosamente el carcter del personal relacionado con el sistema, ya que pueden surgir: malos manejos de administracin malos manejos por negligencia malos manejos por ataques deliberados
Instalaciones Es muy importante no olvidar las instalaciones fsicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar: la continuidad del flujo elctrico efectos del flujo elctrico sobre el software y hardware evaluar las conexiones con los sistemas elctrico, telefnico, cable, etc. verificar si existen un diseo, especificacin tcnica, manual o algn tipo de documentacin sobre las instalaciones
Control de Residuos Observar cmo se maneja la basura de los departamentos de mayor importancia, donde se almacena y quien la maneja.
Establecer las reas y Grados de Riesgo Es muy importante el crear una conciencia en los usuarios de la organizacin sobre el riesgo que corre la informacin y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la funcin informtica y los medios de prevencin que se deben tener, para lo cual se debe: Establecer el Costo del Sistema de Seguridad (Anlisis Costo vs Beneficio) Este estudio se realiza considerando el costo que se presenta cuando se pierde la informacin vs el costo de un sistema de seguridad.
Pgina 34

Para realizar este estudio se debe considerar lo siguiente: clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) identificar las aplicaciones que tengan alto riesgo cuantificar el impacto en el caso de suspensin del servicio aquellas aplicaciones con un alto riesgo formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera la justificacin del costo de implantar las medidas de seguridad
Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar estos elementos en reas de riesgo que pueden ser: Riesgo Computacional Se debe evaluar las aplicaciones y la dependencia del sistema de informacin, para lo cual es importante considerar responder las siguientes cuatro preguntas: 1. Qu sucedera si no se puede utilizar el sistema? Si el sistema depende de la aplicacin por completo se debe definir el nivel de riesgo. Por ejemplo citemos: Un sistema de reservacin de boletos que dependa por completo de un sistema computarizado, es un sistema de alto riesgo. Una lista de clientes ser de menor riesgo. Un sistema de contabilidad fuera del tiempo de balance ser de mucho menor riesgo. 2. Qu consecuencias traera si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algn modo de cmo se soluciono este problema en el pasado. 3. Existe un procedimiento alternativo y que problemas ocasionara? Se debe verificar si el sistema es nico o es que existe otro sistema tambin computarizado de apoyo menor. Ejemplo: S el sistema principal est diseado para trabajar en red sea tipo WAN quiz haya un soporte de apoyo menor como una red LAN o mono usuario. En el caso de un sistema de facturacin en red, si esta cae, quiz pudiese trabajar en forma distribuida con un mdulo menor mono usuario y que tenga la capacidad de que al levantarse la red existan mtodos de actualizacin y verificacin automtica. 4. Qu se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, las consecuencias y las soluciones tomadas, considerando: Que exista un sistema paralelo al menos manual Si hay sistemas duplicados en las reas crticas (tarjetas de red, teclados, monitores, servidores, unidades de disco, aire acondicionado). Si hay sistemas de energa ininterrumpida UPS. Si las instalaciones elctricas, telefnicas y de red son adecuadas (se debe contar con el criterio de un experto). - Si se cuenta con un mtodo de respaldo y su manual administrativo.
Pgina 35

Conclusin Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas preventivas que se deben tomar y las correctivas en casi de desastre, sealando la prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de acuerdo a sus prioridades.
Consideracin y Cuantificacin del Riesgo a Nivel Institucional (importante)

Ahora que se han establecido los riesgos dentro la organizacin, se debe evaluar su impacto a nivel institucional, para lo cual se debe: Clasificar la informacin y los programas de soporte en cuanto a su disponibilidad y recuperacin. Identificar la informacin que tenga un alto costo financiero en caso de prdida o pueda tener impacto a nivel ejecutivo o gerencial. Determinar la informacin que tenga un papel de prioridad en la organizacin a tal punto que no pueda sobrevivir sin ella.
Una vez determinada esta informacin se la debe CUANTIFICAR, para lo cual se debe efectuar entrevistas con los altos niveles administrativos que sean afectados por la suspensin en el procesamiento y que cuantifiquen el impacto que podran causar estas situaciones. Disposiciones que Acompaan la Seguridad De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organizacin, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de accin para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe considerar: Obtener una especificacin de las aplicaciones, los programas y archivos de datos. Medidas en caso de desastre como prdida total de datos, abuso y los planes necesarios para cada caso. Prioridades en cuanto a acciones de seguridad de corto y largo plazo. Verificar el tipo de acceso que tiene las diferentes personas de la organizacin, cuidar que los programadores no cuenten con acceso a la seccin de operacin ni viceversa. Que los operadores no sean los nicos en resolver los problemas que se presentan.
Higiene Otro aspecto que parece de menor importancia es el de orden e higiene, que debe observarse con mucho cuidado en las reas involucradas de la organizacin (centro de cmputo y dems dependencias), pues esto ayudar a detectar problemas de disciplina y posibles fallas en la seguridad. Tambin podemos ver que la higiene y el orden son factores que elevan la moral del recurso humano, evita la acumulacin de desperdicios y limita las posibilidades de accidentes. Adems es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel formal como informal.
Pgina 36

Cultura Personal Cuando hablamos de informacin, su riesgo y su seguridad, siempre se debe considerar al elemento humano, ya que podra definir la existencia o no de los ms altos grados de riesgo. Por lo cual es muy importante considerar la idiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo.
Consideraciones para Elaborar un Sistema de Seguridad Integral

Como hablamos de realizar la evaluacin de la seguridad es importante tambin conocer cmo desarrollar y ejecutar el implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa: planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa. Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad. Sistema Integral de Seguridad Un sistema integral debe contemplar: Definir elementos administrativos Definir polticas de seguridad A nivel departamental A nivel institucional Organizar y dividir las responsabilidades Contemplar la seguridad fsica contra catstrofes (incendios, terremotos, inundaciones, etc.) Definir prcticas de seguridad para el personal: Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como extinguidores. Nmeros telefnicos de emergencia Definir el tipo de plizas de seguros Definir elementos tcnicos de procedimientos Definir las necesidades de sistemas de seguridad para: Hardware y software Flujo de energa Cableados locales y externos Aplicacin de los sistemas de seguridad incluyendo datos y archivos Planificacin de los papeles de los auditores internos y externos Planificacin de programas de desastre y sus pruebas (simulacin) Planificacin de equipos de contingencia con carcter peridico Control de desechos de los nodos importantes del sistema: Poltica de destruccin de basura copias, fotocopias, etc. Consideracin de las normas ISO 14000
Pgina 37

Etapas para Implementar un Sistema de Seguridad Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos: Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad. Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la informacin en la organizacin a nivel software, hardware, recursos humanos, y ambientales. Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando:
Plan de Seguridad Ideal (o Normativo)

Un plan de seguridad para un sistema de seguridad integral debe contemplar: El plan de seguridad debe asegurar la integridad y exactitud de los datos Debe permitir identificar la informacin que es confidencial Debe contemplar reas de uso exclusivo Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles Debe asegurar la capacidad de la organizacin para sobrevivir accidentes Debe proteger a los empleados contra tentaciones o sospechas innecesarias Debe contemplar la administracin contra acusaciones por imprudencia
Un punto de partida ser conocer cmo ser la seguridad, de acuerdo a la siguiente ecuacin. Riesgo SEGURIDAD = --------------------------------------------Medidas preventivas y correctivas Donde: Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc.) Medidas preventivas y correctivas (polticas, sistemas de seguridad, planes de emergencia, plan de resguardo, seguridad de personal, etc.) Consideraciones para con el Personal Es de gran importancia la elaboracin del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluacin de su comportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos Cumplir promesas Innovar
Para apoyar estos objetivos se debe cumplir los siguientes pasos:
Pgina 38

Motivar Se debe desarrollar mtodos de participacin reflexionando sobre lo que significa la seguridad y el riesgo, as como su impacto a nivel empresarial, de cargo y individual. Capacitacin General En un principio a los ejecutivos con el fin de que conozcan y entiendan la relacin entre seguridad, riesgo y la informacin, y su impacto en la empresa. El objetivo de este punto es que se podrn detectar las debilidades y potencialidades de la organizacin frente al riesgo. Este proceso incluye como prctica necesaria la implantacin la ejecucin de planes de contingencia y la simulacin de posibles delitos. Capacitacin de Tcnicos Se debe formar tcnicos encargados de mantener la seguridad como parte de su trabajo y que est capacitado para capacitar a otras personas en lo que es la ejecucin de medidas preventivas y correctivas. tica y Cultura Se debe establecer un mtodo de educacin estimulando el cultivo de elevados principios morales, que tengan repercusin a nivel personal e institucional. De ser posible realizar conferencias peridicas sobre: doctrina, familia, educacin sexual, relaciones humanas, etc. Etapas para Implantar un Sistema de Seguridad en Marcha Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguiente 8 pasos: 1. Introducir el tema de seguridad en la visin de la empresa. 2. Definir los procesos de flujo de informacin y sus riesgos en cuanto a todos los recursos participantes. 3. Capacitar a los gerentes y directivos, contemplando el enfoque global. 4. Designar y capacitar supervisores de rea. 5. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras relativamente rpidas. 6. Mejorar las comunicaciones internas. 7. Identificar claramente las reas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel. 8. Capacitar a todos los trabajadores en los elementos bsicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad fsica. Beneficios de un Sistema de Seguridad Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organizacin trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos:
Pgina 39

Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los RR.HH.
Personal Participante Auditoria Informtica

Una de las partes ms importantes en la planeacin de la auditoria en informtica es el personal que deber participar, ya que se debe contar con un equipo seleccionado y con ciertas caractersticas que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado. Aqu no se vera el nmero de persona que debern participar, ya que esto depende de las dimensiones de la organizacin, de los sistemas y de los equipos, lo que se deber considerar son exactamente las caractersticas que debe cumplir cada uno del personal que habr de participar en la auditoria. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga este debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases debemos considerar los conocimientos, la prctica profesional y la capacitacin que debe tener el personal que intervendr en la auditoria. Primeramente, debemos pensar que hay personal asignado por la organizacin, que debe tener el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionarnos toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. Este es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, ser casi imposible obtener informacin en el momento y con las caractersticas deseadas. Tambin se deben contar con personas asignadas por los usuarios para que en el momento que se solicite informacin, o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema.
Pgina 40

Para complementar el grupo, como colaboradores directos en la realizacin de la auditoria, se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Conocimientos de administracin, contadura y finanzas. Experiencia en el rea de informtica. Conocimientos y experiencias en psicologa industrial. Experiencia en operacin y anlisis de sistemas. Conocimientos de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del rea y caractersticas a auditar. Conocimientos de los sistemas ms importantes.
En el caso de sistemas complejos se deber contar con personal con conocimientos y experiencias en reas especficas como base de datos, redes y comunicaciones, etctera. Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias sealadas, pero si que deben intervenir una o varias personas con las caractersticas apuntadas. Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de presenta la carta (convenio de servicios profesionales en el caso de auditores externos -) y el plan de trabajo. La carta convenio es un compromiso que el auditor dirige a su cliente para su confirmacin de aceptacin. En ella se especifican el objetivo y el alcance de la auditoria, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y los informes que se han de entregar.
Cuestionarios de la auditora informtica

ORGANIZACIN (para aplicar al jefe del rea Informtica o al responsable de ella)
1. Los niveles jerrquicos establecidos actualmente son necesarios y suficientes para el desarrollo de las actividades del rea? SI NO 2. Por qu o cules son sus recomendaciones? _____________________________________________________________________ _____________________________________________________________________ 3. Permiten los niveles jerrquicos actuales que se desarrolle adecuadamente la: a. Operacin SI NO b. Supervisin SI NO c. Comunicacin ascendente SI NO
Pgina 41

d. Comunicacin descendente SI NO e. Toma de decisiones SI NO Si alguna de las respuestas en negativa, explique por qu: _____________________________________________________________________ _____________________________________________________________________ 4. El rea y sub reas tiene delimitadas con claridad sus responsabilidades? SI NO No, Qu efectos provoca esta situacin? _____________________________________________________________________ 5. Los puestos actuales son adecuados a las necesidades que tiene el rea para llevar a cabo sus funciones? SI NO No, Por qu razn? _____________________________________________________________________ 6. El nmero de empleados que trabajan actualmente es adecuado para cumplir con las funciones encomendadas? SI NO 7. Pida la planilla de personal 8. Cul es el nmero de personal que considerara adecuado? Seale el puesto o puestos. _____________________________________________________________________ _____________________________________________________________________ 9. Se encuentra definida adecuadamente la lnea de autoridad? SI NO No, Por qu razn? _____________________________________________________________________ 10. Su autoridad va de acuerdo a su responsabilidad? SI NO No, Por qu razn? _____________________________________________________________________ 11. En su rea se han presentado conflictos por el ejercicio de la autoridad? ? SINO Si, explique en qu casos: _____________________________________________________________________
Pgina 42

12. Existe en el rea algn sistema de sugerencias y quejas por parte del personal? SI NO 13. Se han establecido funciones del rea? SI NO No, Por qu razn? _____________________________________________________________________ 14. Estn por escrito en algn documento las funciones del rea? SI NO No, Explique Por qu razn? _____________________________________________________________________ 15. Solicite los manuales de descripcin de puestos (MOF) 16. Cul es la forma de dar a conocer las funciones? _____________________________________________________________________ 17. Quin elabor las funciones? _____________________________________________________________________ 18. Quin las autoriz o aprob? _____________________________________________________________________ 19. Las funciones estn encaminadas a la consecucin de los objetivos institucionales e internos? ? SI NO No, Por qu razn? _____________________________________________________________________ Sugerencias: _____________________________________________________________________ 20. Conocen otras reas las funciones del rea? SI NO No, Por qu razn? _____________________________________________________________________ 21. Considera que se deben dar a conocer? SI NO No, Por qu razn? _____________________________________________________________________ 22. Son adecuadas a la realidad las funciones? SINO
Pgina 43

No, Por qu no son adecuadas? _____________________________________________________________________ 23. Son adecuadas a las necesidades actuales? SI NO No, Por qu razn? _____________________________________________________________________ 24. Cules son sus principales limitaciones? _____________________________________________________________________ 25. Estn adecuadas a la carga de trabajo? SI NO No, Por qu razn? _____________________________________________________________________ 26. Existen conflictos por las cargas de trabajo desequilibradas? SI NO Si, De qu tipo? _____________________________________________________________________ 27. La falta de cumplimiento de sus funciones es por: a. Falta de personal b. Personal capacitado c. Cargas de trabajo excesivas d. Porque realiza otras actividades e. La forma en que las ordena 28. Cules son las funciones que realiza? Peridicamente: _______________________________________________________________________ _______________________________________________________________________ Eventualmente: _______________________________________________________________________ _______________________________________________________________________ 29. Tienen programas y tareas encomendadas? SI NO
Pgina 44

No, Por qu razn? ______________________________________________________________________ 30. Quin es el responsable de ordenar que se ejecuten las actividades? _________________________________________________________________ En caso de no encontrarse el jefe inmediato, quin lo puede realizar? _________________________________________________________________ 31. Para cumplir con sus funciones requiere de apoyos de otras reas? SI NO Si, De qu tipo? _____________________________________________________________________ Cul(es) es(son) el(las) rea(s) que proporciona(n) apoyo? _____________________________________________________________________ _____________________________________________________________________ 32. Se lo proporcionan con oportunidad? SI NO No, qu le ocasiona? _____________________________________________________________________ No, cmo resuelve esta falta de apoyo? _____________________________________________________________________ 33. Qu tipo de apoyo proporciona su rea a otras reas? rea, apoyo: _____________________________________________________________________ _____________________________________________________________________ 34. Existe duplicidad de funciones en la misma rea? SI NO Si, qu conflictos ocasiona y cules funciones? _____________________________________________________________________ _____________________________________________________________________ 35. Se pueden eliminar algunas funciones? SI NO Si, cules?
Pgina 45

_____________________________________________________________________ 36. Se pueden transferir funciones? SI NO Si, cules? _____________________________________________________________________ 37. Los programas de capacitacin incluyen al personal de: a. Direccin ( ) b. Anlisis ( ) c. Programacin ( ) d. Operacin ( ) e. Administracin ( ) f. Otros_______________________________________________________ 38. Se han identificado las necesidades actuales y futuras de capacitacin del personal del rea? SI NO Por qu no? _____________________________________________________________________ 39. Se desarrollan programas de capacitacin para el personal del rea? SI NO Por qu no? _____________________________________________________________________ 40. Se evalan los resultados de los programas de capacitacin? SI NO Por qu no? _____________________________________________________________________ 41. Solicite el plan de capacitacin del presente ao. 42. Cmo se lleva a cabo la supervisin del personal? _____________________________________________________________________ 43. Cmo se controla el ausentismo y los retardos del personal? _____________________________________________________________________ 44. Cmo se evala el desempeo del personal?
Pgina 46

_____________________________________________________________________ 45. Cul es la finalidad de la evaluacin del personal? _____________________________________________________________________ 46. Cmo se da la rotacin de personal? _____________________________________________________________________ 47. En trminos generales, se adapta el personal al mejoramiento administrativo (resistencia al cambio)? SI NO Cul es el grado de disciplina del personal?______________________________ Cul es el grado de asistencia y puntualidad del personal?___________________ 48. Existe una poltica uniforme y consistente para sancionar la indisciplina del personal? _____________________________________________________________________ 49. Puede el personal presentar quejas y/o problemas? SI NO Si, Cmo se solucionan?_____________________________________________ 50. Cmo se otorgan los ascensos, promociones y aumentos salariales? _____________________________________________________________________ 51. Cules son las principales causas de faltas y ausentismos? _____________________________________________________________________ 52. Cmo se realiza la motivacin del personal del rea? _____________________________________________________________________ 53. Cmo se estimula y recompensa al personal del rea? _____________________________________________________________________
Pgina 47
RECURSOS HUMANOS (Para trabajadores del rea)

Se deber obtener informacin sobre la situacin del personal del rea, para lo cual se puede utilizar la tabla de recursos humanos. 1. Es suficiente el nmero de personal para el desarrollo de las funciones del rea? SI NO 2. Se deja de realizar alguna actividad por falta de personal? SI NO 3. Est capacitado el personal para realizar con eficacia sus funciones? SI NO Por qu no? _____________________________________________________________________ 4. Es eficaz el cumplimiento de funciones? SI NO Por qu no? _____________________________________________________________________ 5. Es adecuada la calidad de trabajo del personal? SI NO Por qu no? _____________________________________________________________________ 6. Es frecuente la repeticin de los trabajos encomendados? SI NO 7. El personal es discreto en el manejo de informacin confidencial? SI NO No, repercusiones: _____________________________________________________________________ 8. En general, acata el personal las polticas, sistemas y procedimientos establecidos? SI NO Por qu no? _____________________________________________________________________ 9. Existe cooperacin por parte del personal para la realizacin del trabajo? SI NO Por qu no? _____________________________________________________________________
Pgina 48

10. El personal, tiene afn de superacin? SI NO 11. Presenta el personal sugerencias para mejorar el desempeo actual? SI NO Cmo considera las sugerencias? _____________________________________________________________________ Qu tratamiento se les da? _____________________________________________________________________ 12. Cules son los principales factores internos que limitan el desempeo del personal? _____________________________________________________________________ 13. Cules son los principales factores externos que limitan el desempeo del personal? _____________________________________________________________________ 14. Est el personal adecuadamente remunerado con respecto a: a. Trabajo desempeado SI NO b. Puestos similares en otras organizaciones SI NO 15. Conseguir informacin sobre los sueldos de los mismos niveles en otras organizaciones. 16. El personal est integrado como grupo de trabajo? SI NO Por qu no? _____________________________________________________________________ 17. Cul es el grado de convivencia del personal? _____________________________________________________________________ 18. Son adecuadas las condiciones ambientales con respecto a: a. Espacio del rea SI NO b. Iluminacin SI NO c. Ventilacin SI NO d. Equipo de oficina SI NO e. Mobiliario SI NO f. Ruido SI NO g. Limpieza/ Aseo SI NO
Pgina 49

h. Instalaciones Sanitarias SI NO i. Instalaciones de comunicaciones SI NO Incluir: - Nombre del puesto - Puesto del jefe inmediato - Puestos a que se reporta - Puestos de las personas que reportan al entrevistado - Nmero de personas que reportan al entrevistado - Actividades diarias de su puesto - Actividades peridicas - Actividades eventuales - Con qu manuales cuenta para el desempeo de su puesto? - Cmo recibe las instrucciones de los trabajos encomendados? - Con qu frecuencia recibe capacitacin y de qu tipo? - Mencione la capacitacin obtenida y dada al personal durante el ltimo ao.
Pgina 50
SEGURIDAD FSICA
1. Se ha adoptado medidas de seguridad en la direccin de informtica? Si/No 2. Existe una persona responsable de la seguridad? Si/No 3. Se ha dividido la responsabilidad para tener un mejor control de la seguridad? Si/No 4. Existe personal de vigilancia en la institucin? Si/No 5. La vigilancia se contrata: a. Directamente ( ) b. Por medio de empresas que brindan ese servicio ( ) 6. Se investiga a los vigilantes cuando son contratados directamente? Si/No 7. Se controla el trabajo fuera de horario? Si/No 8. Se registran las acciones de los operadores para evitar que realicen alguna que pueda daar el sistema? Si/No 9. Existe vigilancia en el cuarto de mquinas las 24 horas? Si/No 10. A la entrada del cuarto de mquinas existe: a. Vigilante Si/No b. Recepcionista Si/No c. Tarjeta de control de acceso Si/No d. Nadie Si/No 11. Se ha instruido a personas sobre qu medidas tomar en caso de que alguien pretenda entrar sin autorizacin? Si/No 12. El edificio donde se encuentra la computadora est situado a salvo de: a. Inundacin Si/No b. Terremoto Si/No c. Fuego Si/No d. Sabotaje Si/No 13. El centro de cmputo da al exterior? Si/No 14. Describa brevemente la construccin del centro de cmputo, de preferencia
Pgina 51

proporcionando planos y material con que fue construido y equipo (muebles, sillas, etc.) dentro del centro. 15. Tiene el cuarto de mquinas una instalacin de escape? Si/No 16. Pueden ser rotos los vidrios con facilidad? Si/No 17. Existe control en el acceso a este cuarto: a. Por identificacin personal Si/No b. Por tarjeta magntica Si/No c. Por claves verbales Si/No d. Otras____________________ 18. Son controladas las visitas y demostraciones en el centro de cmputo? Si/No Si, Cmo son controladas? ________________________________________________________________ 19. Se registra el acceso al cuarto de personas ajenas a la direccin de informtica? Si/No 20. Se vigilan la moral y el comportamiento del personal de la direccin de informtica con el fin de mantener una buena imagen y evitar un posible fraude? Si/No 21. Existe alarma para: a. Detectar fuego forma automtica Si/No b. Avisar en forma manual la presencia de fuego Si/No c. Detectar una fuga de agua Si/No d. Otros_____________________________ e. No existe 22. Dnde estn ubicadas las alarmas? __________________________________________________________________ 23. La alarma es perfectamente audible? Si/No 24. Esta alarma tambin est conectada a? a. Al puesto de polica b. A la estacin de bomberos
Pgina 52

c. A ningn otro lado d. Otro 25. Existen extintores de fuego? a. Manuales b. Automticos c. No existen 26. Se ha adiestrado al personal en el manejo de los extintores? Si/No 27. Los extintores manuales o automticos, funcionan a base de: a. Agua b. Gas c. Otros 28. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? Si/No 29. Verifique el nmero de extintores y su estado. 30. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para alcanzarlos? Si/No 31. Saben qu hacer los operadores del cuarto de mquinas en caso de que ocurra una emergencia ocasionada por fuego? Si/No 32. Existe salida de emergencia? Si/No 33. Se revisa frecuentemente que no est abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? Si/No 34. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? Si/No 35. Se han tomado medidas para minimizar la posibilidad de fuego?: a. Evitando artculos inflamables ( ) b. Prohibiendo fumar a los operadores en el interior ( ) c. Vigilando y manteniendo el sistema elctrico ( ) d. No se ha previsto ( )
Pgina 53

36. Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del cuarto de mquinas para evitar daos al equipo? Si/No 37. Se limpia con frecuencia el polvo acumulado debajo del piso falso? Si/No 38. Explique la forma cmo se ha clasificado la informacin vital, esencial, no esencial, etc. 39. Se cuenta con copias de los archivos en lugar distinto al de la computadora? Si/No 40. Explique la forma en que estn protegidas fsicamente estas copias (bveda, cajas de seguridad, etc.) que garantice su integridad en caso de incendio, inundacin, terremoto, etc. 41. Se tienen establecidos procedimientos de actualizacin a estas copias? Si/No
Pgina 54
Conclusiones
Principalmente, con la realizacin de este trabajo prctico, la principal conclusin a la que hemos podido llegar, es que toda empresa, pblica o privada, que posean Sistemas de Informacin medianamente complejos, deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, el 90 por ciento de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente. La empresa hoy, debe/precisa informatizarse. El xito de una empresa depende de la eficiencia de sus sistemas de informacin. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informtico propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldr a adelante. En cuanto al trabajo de la auditora en s, podemos remarcar que se precisa de gran conocimiento de Informtica, seriedad, capacidad, minuciosidad y responsabilidad; la auditora de Sistemas debe hacerse por gente altamente capacitada, una auditora mal hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas.
Pgina 55
Referencias
Memorias VIII Congreso Latinoamericano de Auditora Interna y Administracin de Riesgos CLAIN, La Habana, Cuba, Mayo 19 - 21 de 2004. The Auditors Role in IT Governance, Daniel Ramos, http://www.latinbanking.com/memorias _congreso_clain.php
Information Systems Control Journal, Volume 5, 2001. http://www.isaca.org/Template.cfm?Section=Archives&CONTETID=17354&TEMPLATE=/ContentM anagement/ContentDisplay.cfm Information Systems Audit and Control A-ssociation. http://www.isaca.org.mx/
http://www.enterate.unam.mx/Articulos/2005/octubre/auditoria.htm http://elsitio10.awardspace.com/wp-content/uploads/2007/11/cuestionario-auditoria.pdf http://www.mitecnologico.com/Main/AuditoriaInformatica
Pgina 56

Auditoria Informatica

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Informatica

Cargado por

Copyright:

Formatos disponibles

2012

UNIVERSIDAD NACIONAL AUTNOMA DE MXICO Javier Torrentera Villegas

Facultad de Contadura y Administracin 4 de junio de 2012

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Evolucin del concepto.

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Etapas de la Evolucin de la Calidad.

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Conceptos de auditora informtica.

Mtodos, tcnicas y herramientas de auditora.

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Clasificacin de las normas de auditora.

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Normas de ejecucin del trabajo.

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Auditora interna y externa

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Diferencias entre auditora interna y externa:

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

reas de aplicacin de la auditoria informtica

Investigacin cientfica y humanstica: Se usan la las computadoras para la resolucin

Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y de

Documentacin e informacin: Es uno de los campos ms importantes para la utilizacin

Gestin administrativa: Automatiza las funciones de gestin tpicas de una empresa.

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Inteligencia artificial: Las computadoras se programan de forma que emulen el

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Control interno informtico (Funcin)

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Control interno informtico (reas de aplicacin)

Principios aplicados por auditores informticos

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Principio de comportamiento profesional

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012

Principio de concentracin en el trabajo

Universidad Nacional Autnoma de Mxico

Facultad de Contadura y Administracin 4 de junio de 2012