Documentos de Académico
Documentos de Profesional
Documentos de Cultura
[AUDITORIAINFORMATICA]
El siguiente trabajo desarrollara el tema de la Auditoria Informtica y como se desarrolla en una organizacin.
Tabla de contenido
Introduccin ........................................................................................................................................ 7 Calidad ................................................................................................................................................. 7 Evolucin del concepto. .................................................................................................................. 8 Etapas de la Evolucin de la Calidad. .............................................................................................. 9 Qu es la auditoria Informtica? ..................................................................................................... 10 Conceptos de auditora informtica.............................................................................................. 11 Mtodos, tcnicas y herramientas de auditora. .......................................................................... 11 Metodologa De trabajo. ........................................................................................................... 11 Plan de trabajo: ......................................................................................................................... 11 Tcnicas de Trabajo: .................................................................................................................. 12 Herramientas:............................................................................................................................ 12 Clasificacin de las normas de auditora. .......................................................................................... 12 Normas personales. ...................................................................................................................... 12 Entrenamiento tcnico y capacidad profesional....................................................................... 12 Cuidado y diligencia profesionales. ........................................................................................... 12 Independencia. .......................................................................................................................... 12 Normas de ejecucin del trabajo. ................................................................................................. 13 Planeacin y supervisin. .......................................................................................................... 13 Estudio y evaluacin del control interno. ................................................................................. 13 Obtencin de evidencia suficiente y competente. ................................................................... 13 Normas de informacin. ............................................................................................................... 13 Auditora interna y externa ............................................................................................................... 14 Auditora Externa .......................................................................................................................... 14 Auditora Interna ........................................................................................................................... 14 Diferencias entre auditora interna y externa:.............................................................................. 15 reas de aplicacin de la auditoria informtica................................................................................ 16 Investigacin cientfica y humanstica........................................................................................... 16 Aplicaciones tcnicas .................................................................................................................... 16 Documentacin e informacin ...................................................................................................... 16 Gestin administrativa .................................................................................................................. 16 Inteligencia artificial ...................................................................................................................... 17
Pgina 2
Pgina 3
Pgina 4
Pgina 5
Pgina 6
Introduccin
La informtica est inmersa en la gestin integral de la organizacin. A finales del siglo XX, los sistemas de TI (tecnologas de la informacin) se constituyeron como las herramientas ms poderosas para cualquier organizacin, puesto que apoyan la toma de decisiones, generando un alto grado de dependencia, as como una elevada inversin en ellas. Debido a la importancia que tienen en el funcionamiento de una organizacin, existe la auditora informtica. El trmino de auditora se ha empleado con frecuencia de forma incorrecta, porque ha sido tomado como sinnimo de deteccin de errores y fallas. El concepto de auditora es mucho ms que eso, pues tiene como fin evaluar y mejorar la eficacia y eficiencia de una organizacin, al examinar su gestin. Al igual que cualquier rea de la organizacin, los sistemas de TI deben estar sometidos a controles de calidad y auditora informtica porque las computadoras y los centros de procesamiento de datos son blancos apetecibles para el espionaje, la delincuencia y el terrorismo. Al perder de vista la naturaleza y calidad de los datos de entrada a los sistemas de TI se genera informacin errnea, con la posibilidad de que se provoque un efecto cascada y afecte a otras aplicaciones. Asimismo, un sistema de TI mal diseado puede convertirse en una herramienta muy peligrosa para la gestin y la coordinacin de la organizacin.
Calidad
A continuacin mencionaremos algunos conceptos de calidad. La calidad no es otra cosa ms que una serie de cuestionamiento hacia una mejora continua. La calidad es: "La adecuacin para el uso satisfaciendo las necesidades del cliente". Calidad: Desarrollar, disear, manufacturar y mantener un producto de calidad que sea el ms econmico, el til y siempre satisfactorio para el consumidor. La calidad, no como un concepto aislado, ni que se logra de un da para otro, descansa en fuertes valores que se presentan en el medio ambiente, as como en otros que se adquieren con esfuerzos y disciplina.
Con lo anterior se puede decir que la calidad es un proceso de mejora continuo, en donde todas los departamentos y reas de la organizacin, se ven involucradas en el desarrollo de productos y servicios, que satisfagan las necesidades del cliente, logrando con ello un alto grado de productividad.
Pgina 7
Pgina 8
Control de calidad. El control de la calidad es el conjunto de tcnicas y actividades, de carcter operativo, utilizadas para verificar los requisitos relativos a la calidad del producto o servicio.
Pgina 9
Qu es la auditoria Informtica?
La auditoria de la calidad es un proceso mediante el cual, se busca, obtener evidencias de los registros que se emiten en el proceso de calidad, en base a declaraciones de hechos o cualquier informacin, para evaluarlas de manera prctica, su objetivo es determinar si realmente se estn cumpliendo polticas y los procedimientos previamente establecidos. La auditora informtica es el proceso mediante el cual se recoge, agrupa y evala todo tipo de evidencias para determinar si un Sistema de Informacin, trabaja adecuadamente, con los parmetros establecidos, mantiene la integridad y seguridad de los datos, llevando eficazmente los fines de la organizacin. Objetivos. El control total de todo lo relacionado con la informtica empresarial. El estudio de la eficiencia de los Sistemas Informticos. La verificacin del cumplimiento de los parmetros que se establecieron. La revisin de la eficaz gestin de los recursos informticos.
La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como: Eficiencia Eficacia Rentabilidad Seguridad
Pgina 10
Metodologa De trabajo. Alcance y Objetivos de la auditora Informtica. Estudio inicial del entorno auditable. Determinacin de los recursos necesarios para realizar la auditora. Elaboracin del plan y de los programas de trabajo. Actividades propiamente dichas de la auditora. Confeccin y redaccin del Informe Final. Redaccin de la carta de Introduccin o carta de presentacin del Informe final.
Plan de trabajo: Toma de contacto. Planificacin. Desarrollo de la auditora. Fase de diagnstico. Presentacin de conclusiones. Formacin del plan de mejoras.
Pgina 11
Normas personales.
Las normas personales se refieren a las cualidades que el auditor debe tener para poder asumir, dentro de las exigencias que el carcter profesional de la auditoria impone, un trabajo de este tipo. Dentro de estas normas existen cualidades que el auditor debe tener pre adquiridas antes de poder asumir un trabajo profesional de auditora y cualidades que debe mantener durante el desarrollo de toda su actividad profesional. Entrenamiento tcnico y capacidad profesional. El trabajo de auditora, cuya finalidad es la de rendir una opinin profesional independiente, debe ser desempeado por personas que, teniendo ttulo profesional legalmente expedido y reconocido, tengan entrenamiento tcnico adecuado y capacidad profesional como auditores. Cuidado y diligencia profesionales. El auditor est obligado a ejercitar cuidado y diligencia razonables en la realizacin de su examen y en la preparacin de su dictamen o informe. Independencia. El auditor est obligado a mantener una actitud de independencia mental en todos los asuntos relativos a su trabajo profesional.
Pgina 12
Normas de informacin.
El resultado final del trabajo del auditor es su dictamen o informe. Mediante el, pone en conocimiento de las personas interesadas los resultados de su trabajo y la opinin que se ha formado a travs de su examen. El dictamen o informe del auditor es en lo que va a reposar la confianza de los interesados en los estados financieros para prestarles fe a las declaraciones que en ellos aparecen sobre la situacin financiera y los resultados de operaciones de la empresa. Por ltimo es, principalmente, a travs del informe o dictamen, como el pblico y el cliente se dan cuenta del trabajo del auditor y, en muchos casos, es la nica parte, de dicho trabajo, que queda a su alcance. En todos los casos en que el nombre de un contador pblico quede asociado con estados o informacin financiera deber expresar de manera clara e inequvoca la naturaleza de su relacin con dicha informacin, su opinin sobre la misma y, en su caso, las limitaciones importantes que haya tenido su examen, las salvedades que se deriven de ellas o todas las razones de importancia por las cuales expresa una opinin adversa o no puede expresar una opinin profesional a pesar de haber hecho un examen.
Pgina 13
Auditora Interna
La auditora Interna es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un profesional con vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulacin interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Pblica.
Pgina 14
Pgina 15
Pgina 16
Otras aplicaciones
Otros campos de aplicacin no vistos anteriormente: video-juegos, aplicaciones en el arte, procesamiento de imgenes
CONTROL INTERNO
El Control Interno Informtico puede definirse como el sistema integrado al proceso administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de los procesos operativos automatizados El Informe COSO define el Control Interno como Las normas, los procedimientos, las prcticas y las estructuras organizativas diseadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarn y que los eventos no deseados se prevern, se detectarn y se corregirn. Tambin se puede definir el Control Interno como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos En el ambiente informtico, el control interno se materializa fundamentalmente en controles de dos tipos: Controles manuales; aquellos que son ejecutados por el personal del rea usuaria o de informtica sin la utilizacin de herramientas computacionales. Controles Automticos; son generalmente los incorporados en el software, llmense estos de operacin, de comunicacin, de gestin de base de datos, programas de aplicacin, etc.
Pgina 17
Pgina 18
Controles de desarrollo y mantenimiento de sistemas de informacin Permiten alcanzar la eficacia del sistema, economa, eficiencia, integridad de datos, proteccin de recursos y cumplimiento con las leyes y regulaciones a travs de metodologas como la del Ciclo de Vida de Desarrollo de aplicaciones. Controles de explotacin de sistemas de informacin Tienen que ver con la gestin de los recursos tanto a nivel de planificacin, adquisicin y uso del hardware as como los procedimientos de, instalacin y ejecucin del software. Controles en aplicaciones Toda aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin, salida, validez y mantenimiento completos y exactos de los datos. Controles en sistemas de gestin de base de datos Tienen que ver con la administracin de los datos para asegurar su integridad, disponibilidad y seguridad. Controles informticos sobre redes Tienen que ver sobre el diseo, instalacin, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organizacin sean estas centrales y/o distribuidos. Controles sobre computadores y redes de rea local Se relacionan a las polticas de adquisicin, instalacin y soporte tcnico, tanto del hardware como del software de usuario, as como la seguridad de los datos que en ellos se procesan.
Pgina 19
Principio de calidad
En el auditor deber prestar sus servicios a tenor de las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. En los casos en el que la precariedad de medios puestos a su disposicin impida o dificulten seriamente la realizacin de la auditora, deber segarse a realizarla hasta que se garantice un mnimo de condiciones tcnicas que no comprometan la calidad de sus servicios o dictmenes.
Principio de capacidad
El auditor debe estar plenamente capacitado para la realizacin de la auditora encomendada, maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas.
Pgina 20
Principio de cautela
El auditor en todo momento debe ser consciente de que sus recomendaciones deben estar basadas en el experiencia contrastada que se le supone tiene adquirida, evitando que, por un exceso de vanidad, el auditado se embarque en proyectos de futuro fundamentos en simples intuiciones sobre la posible evolucin de las nuevas tecnologas de la informacin. Si bien es cierto que el auditor debe estar al corriente del desarrollo de dichas tecnologas de informacin e informar al auditado de su previsible evolucin, no es menos cierto que deben evitar la tentacin de creer que, gracias a sus conocimientos, puede aventurar, con un casi absoluto grado de certeza. Debe, por tanto, el auditor actuar con un cierto grado de humildad, evitando dar la impresin de estar al corriente de una informacin privilegiada sobre el estado real de la evolucin de los proyectos.
Pgina 21
Principio de confianza
El auditor deber facilitar e incrementar la confianza del auditoreo en base a una actuacin de transparencia en su actividad profesional sin alardes cientficos-tcnicos. Este principio requiere as mismo, por parte del auditor, el mantener una confianza en las indicaciones del auditado aceptndolas sin reservas como vlidas.
Pgina 22
Principio de discrecin
El auditor deber en todo momento mantener una cierta discrecin en la divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecucin de la auditoria
Principio de economa
El auditor deber proteger, en la medida de sus conocimientos, los derechos econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad. De igual forma, el auditor deber tener en cuenta la economa de medios materiales o humanos, eludiendo utilizar aquellos que no se precisen, lo que redundar en reducciones de gastos no justificados. En las recomendaciones y conclusiones realizadas en base a su trabajo deber as mismo eludir, incitar o proponer actuaciones que puedan generar gastos innecesarios o desproporcionados.
Pgina 23
Principio de independencia
Este principio, muy relacionado con el principio de criterio propio, obliga al auditor, tanto si acta como profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la auditoria informtica, a exigir una total autonoma e independencia en su trabajo, condicin esta imprescindible para permitirle actuar libremente segn su leal saber y entender. Esta independencia implica as mismo el rechazo de criterios con los que no est plenamente de acuerdo, debiendo reflejarse en su informe final tan solo aquellos que considere pertinentes evitando incluir en el mismo aquellos otros que segn su entender pudieran producir perjuicios al auditado, aunque este as se lo solicite.
Pgina 24
Principio de legalidad
La primaca de esta obligacin exige del auditor un comportamiento activo de oposicin a todo intento, por parte del auditado o de terceras personas, tendente a infringir cualquier precepto integrado en el derecho positivo.
Principio de no discriminacin
El auditor en su actuacin previa, durante y posterior a la auditoria deber evitar cualquier tipo de condicionantes personalizados y actuar en todos los casos con similar diligencia, su actuacin deber mantener una igualdad de trato profesional con la totalidad de personas con las que en virtud de su trabajo tenga que relacionarse.
Principio de no injerencia
El auditor, dada la injerencia que puede derivarse de su tarea, deber evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar un cierto desprestigio de su cualificacin profesional. Deber igualmente evitar aprovechar los datos obtenidos de la auditoria para entrar en competencia desleal con profesionales relacionados con ella de otras reas del conocimiento.
Principio de precisin
Este principio estrechamente relacionado con el principio de calidad exige del auditor la no conclusin de su trabajo hasta estar convencido, en la medida de lo posible, de la viabilidad de sus propuestas, debiendo ampliar sus estudios de ser necesario. En la exposicin de sus conclusiones deber ser suficientemente critico, no eludiendo poner de manifiesto aquellos aspectos concretos que considere puedan tener una incidencia en la calidad y fiabilidad de la auditoria. Es exigible asimismo del auditor que indique como evaluado nicamente aquello que directamente, o por medio de sus colaboradores, haya comprobado u observado de forma exhaustiva.
Pgina 25
Principio de responsabilidad
El auditor deber, como elemento intrnseco de todo comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje. Si bien este principio aparentemente puede resultar gravoso en auditorias de gran complejidad es preciso tenerlo presente a fin de poder garantizar su responsabilidad en los casos en que, debido a errores humanos durante la ejecucin de la auditoria, se produzcan daos a su cliente que le pudieran ser imputados. Por ello es conveniente impulsar la formalizacin y suscripcin de seguros, adaptados a las peculiares caractersticas de su actividad, que cubran la responsabilidad civil de los auditores con una suficiente cobertura a fin de acrecentar la confianza y solvencia de su actuacin profesional. La responsabilidad del auditor conlleva la obligacin de resarcimiento de los daos o perjuicios que pudieran derivarse de una actuacin negligente o culposa.
Pgina 26
Principio de veracidad
El Auditor en sus comunicaciones con el auditado deber tener siempre presente la obligacin de asegurar la veracidad de sus manifestaciones con los lmites impuestos por los deberes de respeto, correccin, y secreto profesional. El principio de veracidad no debe, sin embargo, considerarse como constreido a expresar nicamente aquello sobre lo que se tenga una absoluta y total certeza, sino que implica poner de manifiesto aquello que tenga el suficiente grado de fiabilidad como para ser considerado como veraz mientras no se aporten datos o pruebas que demuestren lo contrario. La aplicacin de este principio exige al auditor, en el marco de su obligacin de informar al auditado sobre el trabajo realizado, comunique a este ultimo sus conclusiones, diferenciando los hechos constatados de las opiniones, propuestas y valoraciones personales, debiendo actuar en la comprobacin de los primeros y en la fundamentacin de las restantes con una suficiente diligencia profesional para garantizar el cumplimiento de su obligacin de informar verazmente.
Pgina 27
Pgina 28
Pgina 29
Pgina 30
Pgina 31
Pruebas Sustantivas
El objetivo de las pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cundo pueden ocurrir perdidas materiales durante el proceso de la informacin. Se pueden identificar 8 diferentes pruebas sustantivas: 1. Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. 2. Prueba para asegurar la calidad de los datos. 3. Pruebas para identificar la inconsistencia de datos. 4. Prueba para comparar con los datos o contadores fsicos. 5. Confirmacin de datos con fuentes externas 6. Pruebas para confirmar la adecuada comunicacin. 7. Prueba para determinar falta de seguridad. 8. Pruebas para determinar problemas de legalidad.
Seguridad
Cualidad o estado de seguro Garanta o conjunto de garantas que se da a alguien sobre el cumplimiento de algo. Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administracin estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilacin; se financia con aportaciones del Estado, trabajadores y empresarios.
Pgina 32
Sistema de Acceso Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a: nivel de seguridad de acceso empleo de las claves de acceso evaluar la seguridad contemplando la relacin costo, ya que a mayor tecnologa de acceso mayor costo
Cantidad y Tipo de Informacin El tipo y la cantidad de informacin que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podran producir que: la informacin este en manos de algunas personas la alta dependencia en caso de prdida de datos
Control de Programacin Se debe tener conocer que el delito ms comn est presente en el momento de la programacin, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que: los programas no contengan bombas lgicas los programas deben contar con fuentes y sus ltimas actualizaciones los programas deben contar con documentacin tcnica, operativa y de emergencia
Personal Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que estn ligadas al sistema de informacin de forma directa y se deber contemplar principalmente: la dependencia del sistema a nivel operativo y tcnico evaluacin del grado de capacitacin operativa y tcnica contemplar la cantidad de personas con acceso operativo y administrativo conocer la capacitacin del personal en situaciones de emergencia
Pgina 33
Rasgos del Personal Se debe ver muy cuidadosamente el carcter del personal relacionado con el sistema, ya que pueden surgir: malos manejos de administracin malos manejos por negligencia malos manejos por ataques deliberados
Instalaciones Es muy importante no olvidar las instalaciones fsicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar: la continuidad del flujo elctrico efectos del flujo elctrico sobre el software y hardware evaluar las conexiones con los sistemas elctrico, telefnico, cable, etc. verificar si existen un diseo, especificacin tcnica, manual o algn tipo de documentacin sobre las instalaciones
Control de Residuos Observar cmo se maneja la basura de los departamentos de mayor importancia, donde se almacena y quien la maneja.
Establecer las reas y Grados de Riesgo Es muy importante el crear una conciencia en los usuarios de la organizacin sobre el riesgo que corre la informacin y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la funcin informtica y los medios de prevencin que se deben tener, para lo cual se debe: Establecer el Costo del Sistema de Seguridad (Anlisis Costo vs Beneficio) Este estudio se realiza considerando el costo que se presenta cuando se pierde la informacin vs el costo de un sistema de seguridad.
Pgina 34
Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar estos elementos en reas de riesgo que pueden ser: Riesgo Computacional Se debe evaluar las aplicaciones y la dependencia del sistema de informacin, para lo cual es importante considerar responder las siguientes cuatro preguntas: 1. Qu sucedera si no se puede utilizar el sistema? Si el sistema depende de la aplicacin por completo se debe definir el nivel de riesgo. Por ejemplo citemos: Un sistema de reservacin de boletos que dependa por completo de un sistema computarizado, es un sistema de alto riesgo. Una lista de clientes ser de menor riesgo. Un sistema de contabilidad fuera del tiempo de balance ser de mucho menor riesgo. 2. Qu consecuencias traera si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algn modo de cmo se soluciono este problema en el pasado. 3. Existe un procedimiento alternativo y que problemas ocasionara? Se debe verificar si el sistema es nico o es que existe otro sistema tambin computarizado de apoyo menor. Ejemplo: S el sistema principal est diseado para trabajar en red sea tipo WAN quiz haya un soporte de apoyo menor como una red LAN o mono usuario. En el caso de un sistema de facturacin en red, si esta cae, quiz pudiese trabajar en forma distribuida con un mdulo menor mono usuario y que tenga la capacidad de que al levantarse la red existan mtodos de actualizacin y verificacin automtica. 4. Qu se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, las consecuencias y las soluciones tomadas, considerando: Que exista un sistema paralelo al menos manual Si hay sistemas duplicados en las reas crticas (tarjetas de red, teclados, monitores, servidores, unidades de disco, aire acondicionado). Si hay sistemas de energa ininterrumpida UPS. Si las instalaciones elctricas, telefnicas y de red son adecuadas (se debe contar con el criterio de un experto). - Si se cuenta con un mtodo de respaldo y su manual administrativo.
Pgina 35
Una vez determinada esta informacin se la debe CUANTIFICAR, para lo cual se debe efectuar entrevistas con los altos niveles administrativos que sean afectados por la suspensin en el procesamiento y que cuantifiquen el impacto que podran causar estas situaciones. Disposiciones que Acompaan la Seguridad De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organizacin, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de accin para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe considerar: Obtener una especificacin de las aplicaciones, los programas y archivos de datos. Medidas en caso de desastre como prdida total de datos, abuso y los planes necesarios para cada caso. Prioridades en cuanto a acciones de seguridad de corto y largo plazo. Verificar el tipo de acceso que tiene las diferentes personas de la organizacin, cuidar que los programadores no cuenten con acceso a la seccin de operacin ni viceversa. Que los operadores no sean los nicos en resolver los problemas que se presentan.
Higiene Otro aspecto que parece de menor importancia es el de orden e higiene, que debe observarse con mucho cuidado en las reas involucradas de la organizacin (centro de cmputo y dems dependencias), pues esto ayudar a detectar problemas de disciplina y posibles fallas en la seguridad. Tambin podemos ver que la higiene y el orden son factores que elevan la moral del recurso humano, evita la acumulacin de desperdicios y limita las posibilidades de accidentes. Adems es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel formal como informal.
Pgina 36
Pgina 37
Un punto de partida ser conocer cmo ser la seguridad, de acuerdo a la siguiente ecuacin. Riesgo SEGURIDAD = --------------------------------------------Medidas preventivas y correctivas Donde: Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc.) Medidas preventivas y correctivas (polticas, sistemas de seguridad, planes de emergencia, plan de resguardo, seguridad de personal, etc.) Consideraciones para con el Personal Es de gran importancia la elaboracin del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluacin de su comportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos Cumplir promesas Innovar
Pgina 38
Pgina 39
Pgina 40
En el caso de sistemas complejos se deber contar con personal con conocimientos y experiencias en reas especficas como base de datos, redes y comunicaciones, etctera. Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias sealadas, pero si que deben intervenir una o varias personas con las caractersticas apuntadas. Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de presenta la carta (convenio de servicios profesionales en el caso de auditores externos -) y el plan de trabajo. La carta convenio es un compromiso que el auditor dirige a su cliente para su confirmacin de aceptacin. En ella se especifican el objetivo y el alcance de la auditoria, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y los informes que se han de entregar.
Pgina 41
Pgina 42
Pgina 43
Pgina 44
Pgina 45
Pgina 46
Pgina 47
Pgina 48
Pgina 49
Pgina 50
SEGURIDAD FSICA
1. Se ha adoptado medidas de seguridad en la direccin de informtica? Si/No 2. Existe una persona responsable de la seguridad? Si/No 3. Se ha dividido la responsabilidad para tener un mejor control de la seguridad? Si/No 4. Existe personal de vigilancia en la institucin? Si/No 5. La vigilancia se contrata: a. Directamente ( ) b. Por medio de empresas que brindan ese servicio ( ) 6. Se investiga a los vigilantes cuando son contratados directamente? Si/No 7. Se controla el trabajo fuera de horario? Si/No 8. Se registran las acciones de los operadores para evitar que realicen alguna que pueda daar el sistema? Si/No 9. Existe vigilancia en el cuarto de mquinas las 24 horas? Si/No 10. A la entrada del cuarto de mquinas existe: a. Vigilante Si/No b. Recepcionista Si/No c. Tarjeta de control de acceso Si/No d. Nadie Si/No 11. Se ha instruido a personas sobre qu medidas tomar en caso de que alguien pretenda entrar sin autorizacin? Si/No 12. El edificio donde se encuentra la computadora est situado a salvo de: a. Inundacin Si/No b. Terremoto Si/No c. Fuego Si/No d. Sabotaje Si/No 13. El centro de cmputo da al exterior? Si/No 14. Describa brevemente la construccin del centro de cmputo, de preferencia
Pgina 51
Pgina 52
Pgina 53
Pgina 54
Conclusiones
Principalmente, con la realizacin de este trabajo prctico, la principal conclusin a la que hemos podido llegar, es que toda empresa, pblica o privada, que posean Sistemas de Informacin medianamente complejos, deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, el 90 por ciento de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente. La empresa hoy, debe/precisa informatizarse. El xito de una empresa depende de la eficiencia de sus sistemas de informacin. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informtico propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldr a adelante. En cuanto al trabajo de la auditora en s, podemos remarcar que se precisa de gran conocimiento de Informtica, seriedad, capacidad, minuciosidad y responsabilidad; la auditora de Sistemas debe hacerse por gente altamente capacitada, una auditora mal hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas.
Pgina 55
Referencias
Memorias VIII Congreso Latinoamericano de Auditora Interna y Administracin de Riesgos CLAIN, La Habana, Cuba, Mayo 19 - 21 de 2004. The Auditors Role in IT Governance, Daniel Ramos, http://www.latinbanking.com/memorias _congreso_clain.php
Information Systems Control Journal, Volume 5, 2001. http://www.isaca.org/Template.cfm?Section=Archives&CONTETID=17354&TEMPLATE=/ContentM anagement/ContentDisplay.cfm Information Systems Audit and Control A-ssociation. http://www.isaca.org.mx/
Pgina 56