Auditoria de Sistemas a Traves Del Computador

Curso:

AUDITORIA DE SISTEMAS

TEMA:

Auditoría de sistemas a través del

computador

PROFESOR: SUASNABAR AGUILAR, ALEX

ALUMNOS: CÓDIGO:

IBERICO ZUMAETA, José Carlos 090327E

RETUERTO MANSILLA, Diego Fernando 090353F

SANTOS LLANCE, Gustavo 090312h

AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR

INTRODUCCIÓN

Este tema relata sobre la auditoria informática, su relación con el computador y

algunos aspectos que la engloban tales como: áreas de aplicación, que trata de

los diferentes procedimientos que se van a emplear en el área informática, así

como también el procesamiento electrónico de datos, puesto que el auditor debe

conocer el programa que va a utilizar.

También se observará cuáles son los objetivos primordiales de una auditoria

de sistemas, pues es de mucha importancia centrarse en ellos debido a que se

evalúa la operatividad del sistema y el control de la función informática, que

influyen mucho en los resultados obtenidos (informe final); los procedimientos que

se realizan en la auditoria consiste en la metodología que se va a aplicar para

realizar el análisis correspondiente.

En la actualidad la informática se encuentra evidentemente vinculada con

la gestión de las empresas y es por esto que es de vital importancia que exista la

auditoria informática, para analizar el desempeño y funcionamiento de los

sistemas de información, de los cuales depende la organización.

Cabe aclarar que la informática no gestiona propiamente la empresa, ayuda a la

toma de decisiones, pero no decide por sí misma.

UNIVERSIDAD NACIONAL DEL CALLAO Página 2


ÍNDICECAPITULO 1. CONCEPTO DE AUDITORIA DE SISTEMAS 4

1.1. CONCEPTO DE AUDITORIA DE SISTEMAS 4

1.2. CONCEPTO DE AUDITORÍA INFORMÁTICA 5

1.3. ENFOQUE DE LA AUDITORIA TRADICIONAL 7

1.4. ENFOQUE DE LA AUDITORIA MODERNA - EL AUDITOR DE SISTEMAS ASESOR GERENCIAL 7

1.5. ENFOQUE DE LA AUDITORIA INFORMÁTICA 9

CAPITULO 2. CONOCIMIENTOS GENERALES DEL CONTADOR PRINCIPIANTE 13

2.1. CONOCIMIENTO DEL COMPUTADOR 13

2.2. COMPOSICIÓN DE UN DEPARTAMENTO DE P.E.D. 18

2.3. TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR 19

2.4.CONCEPTO DE SISTEMAS AVANZADOS 22

2.5. MATRIZ DE PLANEAMIENTO 24

2.6. PLANILLA DE CONTROL INTERNO 25

CAPITULO 3. EVALUACIÓN DE LAS SEGURIDAD 27

3.1. SEGURIDAD LÓGICA Y CONFIDENCIAL 27

3.2. SEGURIDAD EN EL PERSONAL 33

3.3. SEGURIDAD FISICA 34

3.4. SEGUROS 35

3.5. SEGURIDAD EN A UTILIZACIÓN DEL EQUIPO 36

3.6. PROCEIMIENTO DE RESPALDO EN CASO DE DESASTRE 38

3.7. CONDICIONES, PROCEDIMIENTOS Y CONTROLES PARA OTORGAR SOPORTE A OTRAS INSTITUCIONES 41

CAPITULO 4. DISEÑO DE CONTROLES 42

4.1. CONTROL EN EL ORIGEN DE LAS TRANSACCIONES 43

CONCLUSIONES Y RECOMENDACIONES 45

GLOSARIO 46



CAPITULO 1.

CONCEPTO DE AUDITORIA DE SISTEMAS

1.1. CONCEPTO DE AUDITORIA DE SISTEMAS

SISTEMA: Conjunto ordenado, lógico y secuencial de normas y procedimientos que

persiguen un fin determinado. Podemos hablar por ejemplo de Sistema:

Contable

Planeación

Capitalista

Operación

Educativo

Financiero

De Información, Etc.

Desde el punto de vista Administrativo.

Desde este punto de vista, cuando hablemos de Auditoria de Sistemas, nos referiremos a

los Sistemas de Información utilizados en las empresas públicas o privadas, más no al

computador, que en sí es una herramienta de los sistemas de información. Debemos

tener presente que la administración es un sistema abierto y por tanto cambiante en sus

conceptos, técnicas y que está influenciada por lo que acontece en su alrededor.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca

la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los

sistemas automáticos de procesamiento de la información, incluidos los procedimientos

no automáticos relacionados con ellos y las interfaces correspondientes; también

podemos decir que es el examen y evaluación de los procesos del área de Procesamiento

Electrónico de Datos (PED) y de la utilización de los recursos que en ellos intervienen,

para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas

computarizados en una empresa y presentar conclusiones y recomendaciones

encaminadas a corregir las deficiencias existentes y mejorarlas.



Los Sistemas de Información en las organizaciones, son desarrollados con propósitos

diferentes dependiendo de las necesidades de cada una de ellas y los podemos clasificar

así:

Sistema de procesamiento de transacciones

Sistema de Automatización de oficina y de manejo de conocimiento

Sistemas de Información gerencial

Sistema de apoyo a decisiones

Sistemas expertos e inteligencia artificial

Sistema de apoyo a decisiones de grupo

Sistema de apoyo a ejecutivos

1.2. CONCEPTO DE AUDITORÍA INFORMÁTICA

El concepto de informática es más amplio que el simple uso del computador o de

procesos electrónicos. En 1977, la academia Mexicana de informática propuso la

siguiente definición: “Ciencia de los sistemas inteligentes de información”. El concepto de

informática considera como un todo el sistema de proceso electrónico, información y

computadora, y a esta última como una de sus herramientas.

La Auditoría Informática es la evaluación y verificación de las políticas, controles,

procedimientos y la seguridad en general, correspondiente al uso de los recursos de

informática por el personal de la empresa (usuarios, informática, alta dirección), a fin de

que se logre una utilización más eficiente y segura de la información que servirá para una

adecuada toma de decisiones.



¿QUE ES AUDITORIA?

Hasta ahora la Auditoría, es esencialmente una metodología que permite el examen de

distintos objetos o campos auditables, en la perspectiva de emitir una opinión

independiente sobre la validez científica y/o la técnica del sistema de control que gobierna

una determinada realidad que pretende reflejar adecuadamente y/o cumple las

condiciones que le han sido prescritas.

En materia de auditoria, los desarrollos tecnológicos relevantes siempre han girado

alrededor del conocimiento contable o financiero únicamente. Sin embargo, los avances

modernos de las áreas económicas, administrativas y contables han puesto en evidencia

que no solo la contabilidad es objeto de auditoría. También son susceptibles de ser

auditados los impuestos, los procesos operativos, la informática, la acción social de las

organizaciones, el tratamiento del medio ambiente y los proyectos académicos,

económicos y sociales, entre otros.

El Auditor de Sistemas actúa sobre el área de sistemas de información, normalmente

representada por los siguientes componentes:

Desarrollo de sistemas de información

Asesoría técnica a usuarios

Servicio de procesamiento electrónico de datos

Apoyo técnico

Conocimientos de Hardware y Software

Desarrollo de Sistemas de Información

Base de datos

Redes

Manejo de personal



1.3. ENFOQUE DE LA AUDITORIA TRADICIONAL

La palabra auditoría se ha empleado incorrectamente y se ha considerado como una

evaluación cuyo único fin es detectar errores y señalar fallas; por eso se ha llegado a

acuñar la frase “tiene auditoría” como sinónimo de que, desde antes de realizarse, ya se

encontraron fallas y por lo tanto se está haciendo auditoría. El concepto de auditoría es

más amplio: no solo detecta errores, sino que es un examen crítico que se realiza con

objeto de evaluar la eficacia y eficiencia de una sección o de un organismo con miras a

corregir o mejorar la forma de actuación.

Eficacia: Lograr los objetivos (gastar bien)

Eficiencia: Con el mejor uso de los recursos (gastar sabiamente)

1.4. ENFOQUE DE LA AUDITORIA MODERNA - EL AUDITOR DE SISTEMAS

ASESOR GERENCIAL

Los profesionales responsables del auditaje en ambientes computarizados, deben poseer

una sólida formación en Administración, Control interno, Informática y Auditoría.

En Administración deben manejar con habilidad y destreza las funciones básicas del

proceso administrativo, tales como: planeación, organización, dirección y control, con una

mentalidad de hombre de negocios y dentro de las modernas teorías de la Planeación

Estratégica, y la calidad total.

En la era de la informática, el auditor debe entender que su papel profesional debe ser el

de Asesor Gerencial para asegurar el éxito de la función y, en consecuencia, debe

visualizar la empresa y su futuro en forma sistémico-estructural, articulando

ordenadamente los objetivos del área informática con la misión y los objetivos de la

organización, en su conjunto.

En materia de Control Interno, el auditor informático, debe estar en capacidad de

diagnosticar su validez técnica, desde un punto de vista sistémico total. Esto quiere decir



que deberá entender el control interno como sistema y no como un conjunto de controles

distribuidos de cualquier manera en las organizaciones.

El Auditor deberá analizar y evaluar la estructura conceptual del sistema de control

interno, teniendo en cuenta para ello los controles preventivos, detectivos y correctivos.

Comprometerse con una opinión objetiva e independiente, en relación con el grado de

seguridad y de confiabilidad del sistema de control vigente en el área de informática.

En esencia, un sistema de control interno, para el área de informática, comprende por lo

menos los siguientes elementos: Objetivos, políticas y presupuestos perfectamente

definido; estructura de organización sólida; personal competente; procedimientos

operativos y de control, efectivos y documentados; sistema de información confiable y

oportuno; sistema de seguridad de todos los recursos; sistema de auditoría efectivo.

Como puede observarse, la función de Auditoría es un elemento de control interno, solo

que goza de un privilegio muy especial y es el de monitorear permanentemente los otros

controles y operaciones del ente auditado.

La temática del concepto de control interno, exige del auditor una formación avanzada en

administración de recursos informáticos, sobre la base de que no se puede diagnosticar

una determinada realidad sin estar en condiciones de conocerla y entenderla plenamente.

En informática, el auditor debe conocer por lo menos, cómo funcionan los computadores,

cuáles son sus reales capacidades y limitaciones. Las marcas, las potencialidades y la

calidad de los componentes de hardware y de software. Los ambientes de procesamiento,

los sistemas operacionales, los sistemas de seguridad, los riesgos posibles, los

principales lenguajes de programación, las tecnologías de almacenamiento y la

metodología para la generación y mantenimiento de sistemas de información. En general

el Auditor de Sistemas debe estar al día en los avances científico-tecnológicos sobre la

materia.

En el campo de la auditoría, el auditor informático, debe conocer y manejar

deseablemente la teoría básica de la auditoría, en términos de conceptos, filosofía, ética,



taxonomía, normatividad, técnicas, procedimientos, metodología, papeles de trabajo e

informes.

De otra parte, el auditor informático, debe ser una persona de muy buenas relaciones

humanas, respetuoso de la opinión de los demás, analítico, crítico y buen oidor. Amable,

objetivo, de espíritu científico, con habilidad y capacidad para trabajar bajo presión, con

un amplio sentido de responsabilidad social y por sobre todo, que goce de un

comportamiento ético a toda prueba.

TIPOS DE AUDITORIA DESDE EL PUNTO DE VISTA DEL CLIENTE

Auditoría Interna: Obedece a la necesidad de la administración de asegurar el resultado

económico planeado.

Auditoría Externa: Satisface la necesidad de información de terceros.

Revisoría Fiscal: Obedece básicamente a exigencias legales.

1.5. ENFOQUES DE LA AUDITORIA INFORMATICA

AUDITORIA ALREDEDOR DEL COMPUTADOR

En este enfoque de auditoría, los programas y los archivos de datos no se auditan.

La auditoría alrededor del computador concentra sus esfuerzos en la entrada de datos y

en la salida de información. Es el más cómodo para los auditores de sistemas, por cuanto

únicamente se verifica la efectividad del sistema de control interno en el ambiente externo

de la máquina. Naturalmente que se examinan los controles desde el origen de los datos

para protegerlos de cualquier tipo de riesgo que atente contra la integridad, completitud,

exactitud y legalidad.



La auditoría alrededor del computador no es tan simple como aparentemente puede

presentarse, pues tiene objetivos muy importantes como:

1. Verificar la existencia de una adecuada segregación funcional.

2. Comprobar la eficiencia de los controles sobre seguridades físicas y lógicas de

los datos.

3. Asegurarse de la existencia de controles dirigidos a que todos los datos

enviados a proceso estén autorizados.

4. Comprobar la existencia de controles para asegurar que todos los datos

enviados sean procesados.

5. Cerciorarse que los procesos se hacen con exactitud.

6. Comprobar que los datos sean sometidos a validación antes de ordenar su

proceso.

7. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la

posterior realimentación de los datos corregidos al proceso.

8. Examinar los controles de salida de la información para asegurar que se eviten

los riesgos entre sistemas y el usuario.

9. Verificar la satisfacción del usuario. En materia de los informes recibidos.

10. Comprobar la existencia y efectividad de un plan de contingencias, para

asegurar la continuidad de los procesos y la recuperación de los datos en caso

de desastres.

Se puede apreciar la ambición de los objetivos planteados, pues solamente faltarían

objetivos relacionados con el examen de los archivos y los programas, lo cual es parte de

otro enfoque.

Informe de esta Auditoría: deberá redactarse en forma sencilla y ordenada, haciendo

énfasis en los riesgos más significativos e indicando el camino a seguir mediante

recomendaciones económicas y operativamente posibles.



Pasos que se deben seguir en la auditoría:

- Metodología de la auditoría.

- Objetivos de la auditoría.

- Evaluación del sistema de control interno.

- Procedimientos de auditoría.

- Papeles de trabajo.

- Deficiencias de control interno.

- Informe de auditoría.

AUDITORIA A TRAVÉS DEL COMPUTADOR

Este enfoque está orientado a examinar y evaluar los recursos del software, y surge como

complemento del enfoque de auditoría alrededor del computador, en el sentido de que su

acción va dirigida a evaluar el sistema de controles diseñados para minimizar los fraudes

y los errores que normalmente tienen origen en los programas.

Este enfoque es más exigente que el anterior, por cuanto es necesario saber con cierto

rigor, lenguajes de programación o desarrollo de sistemas en general, con el objeto de

facilitar el proceso de auditaje.

Objetivos de esta auditoría

1. Asegurar que los programas procesan los datos, de acuerdo con las

necesidades del usuario o dentro de los parámetros de precisión previstos.

2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los

programas.

3. Verificar que los programadores modifiquen los programas solamente en los

aspectos autorizados.

4. Comprobar que los programas utilizados en producción son los debidamente

autorizados por el administrador.

5. Verificar la existencia de controles eficientes para evitar que los programas

sean modificados con fines ilícitos o que se utilicen programas no autorizados

para los procesos corrientes.

6. Cerciorarse que todos los datos son sometidos a validación antes de ordenar

su proceso correspondiente.



Informe de Auditoría: deberá orientarse a opinar sobre la validez de los controles, en

este caso de software, para proteger los datos en su proceso de conversión en

información.

AUDITORIA CON EL COMPUTADOR

Este enfoque va dirigido especialmente, al examen y evaluación de los archivos de datos

en medios magnéticos, con el auxilio del computador y de software de auditoría

generalizado y /o a la medida. Este enfoque es relativamente completo para verificar la

existencia, la integridad y la exactitud de los datos, en grandes volúmenes de

transacciones.

La auditoría con el computador es relativamente fácil de desarrollar porque los programas

de auditoría vienen documentados de tal manera que se convierten en instrumentos de

sencilla aplicación. Normalmente son paquetes que se aprenden a manejar en cursos

cortos y sin avanzados conocimientos de informática. Los paquetes de auditoría permiten

desarrollar operaciones y prueba, tales como:

1. Re cálculos y verificación de información, como por ejemplo, relaciones sobre

nómina, montos de depreciación y acumulación de intereses, entre otros.

2. Demostración gráfica de datos seleccionados.

3. Selección de muestras estadísticas.

4. Preparación de análisis de cartera por antigüedad.

Informe de Auditoría: Este informe deberá versar sobre la confiabilidad del sistema de

control interno para proteger los datos sometidos a proceso y la información contenida en

los archivos maestros.

Los tres (3) enfoque de auditoría vistos, son complementarios, pues ninguno de los tres,

es suficiente para auditar aplicaciones en funcionamiento.



CAPÍTULO 2. CONOCIMIENTOS GENERALES DEL CONTADOR

PRINCIPIANTE

1.1. CONOCIMIENTO DEL COMPUTADOR

TARJETA MADRE (MAIN BOARD)

Tarjeta madre, placa base o motherboard es una tarjeta de circuito impreso que permite la

integración de todos los componentes de una computadora. Para esto, cuenta con

un software básico conocido como BIOS, que le permite cumplir con sus funciones.

Término en inglés que significa ferretería, se emplea con una fina y poco disimulada

ironía, para referirse a los elementos tangibles del equipo, como la tarjeta madre, la

memoria, el disco duro y otros dispositivos de almacenamiento.

SOFTWARE.

Conjunto de instrucciones que ponen en comunicación los diferentes dispositivos del PC y

le permiten realizar cualquier tarea. Ej. El sistema operativo, los programas, los archivos

de configuración, etc.



UNIDAD CENTRAL DE PROCESO.

Llamada CPU. Tradicionalmente se ha dicho que la CPU engloba las partes del hardware

de mayor importancia, como la tarjeta madre, el chip, la memoria o el disco duro en el que

se almacenan los datos. Realmente la CPU (conocida por sus siglas en inglés, CPU), es

un circuito microscópico que interpreta y ejecuta instrucciones. La CPU se ocupa del

control y el proceso de datos en las computadoras. Generalmente, la CPU es un

microprocesador fabricado en un chip, un único trozo de silicio que contiene millones de

componentes electrónicos. El microprocesador de la CPU está formado por una unidad

aritmético-lógica que realiza cálculos y comparaciones, y toma decisiones lógicas por una

serie de registros donde se almacena información temporalmente, y por una unidad de

control que interpreta y ejecuta las instrucciones. Para aceptar órdenes del usuario,

acceder a los datos y presentar los resultados, la CPU se comunica a través de un

conjunto de circuitos o conexiones llamado bus. El bus conecta la CPU a los dispositivos

de almacenamiento (por ejemplo, un disco duro), los dispositivos de entrada (por ejemplo,

un teclado o un mouse) y los dispositivos de salida (por ejemplo, un monitor o una

impresora).

RAM (Random Access memory).

Chip de almacenamiento temporal. Entre más RAM los programas trabajan a mayor

velocidad. Su unidad de medida es el Byte y su capacidad de almacenamiento actual está

dada en mega bytes (MB). La memoria RAM almacena instrucciones, variables y otros

parámetros de los programas que el usuario haya activado. Su contenido se pierde

cuando el PC es apagado.

ROM BIOS (Read only memory).

Chip que almacena en forma permanente instrucciones y datos del PC que son solo de

lectura, necesarios para activar el sistema operativo y reconocer los periféricos

conectados al sistema.

MEMORIA VIRTUAL.

Truco tecnológico que permite al PC tomar parte del disco duro como prolongación de la

RAM. Ayuda a salir del paso en una situación apurada, pero no puede considerarse como

una panacea. Al tener que leer y escribir en el disco duro, con un acceso mucho más

lento, la ejecución de los programas se resiente, y acaba siendo considerablemente lenta.



MICROPROCESADOR.

Es el cerebro del PC. Chip que ejecuta las instrucciones y procesa los datos con los que

trabaja el computador. Su unidad de medida es el Hertz y su capacidad de

almacenamiento actual está dada en mega Hertz (MHz). El intenso ritmo de investigación

ha conseguido duplicar la capacidad de estos chips cada año y medio, aproximadamente.

(Ver CPU)

TARJETAS DE EXPANSION.

Con chips y otros componentes electrónicos que sirven para ampliar las capacidades del

PC o para controlar algunos periféricos. Estas tarjetas se instalan en ranuras de

expansión.

RANURAS DE EXPANSION

Comunicadas con el procesador a través del BUS. Permiten la inserción de chips de

memoria, aceleradoras gráficas, tarjetas de sonido o dispositivos de red.

BUS Avenida electrónica por medio de la cual se comunica el procesador, la memoria, los

periféricos y otros componentes del PC. Está formado por líneas de circuito paralelas que

transportan datos e instrucciones entre los dispositivos instalados en la tarjeta madre. De

su capacidad para asimilar el flujo de información depende en gran medida el rendimiento

del sistema.

BUS LOCAL

Autopista de alta capacidad y velocidad que comunica al procesador con algunos

dispositivos sin tener que usar el BUS principal.

TARJETA MADRE.

Plástica sobre la que están montados los principales componentes del PC: Procesador,

RAM, ROM, Ranuras de expansión, Bus. Si se escoge una tarjeta madre inadecuada para

el equipo, probablemente se producirá el efecto de cuello de botella: el chip central del PC

o sus periféricos llegarán a trabajar con un volumen de datos superior al que los circuitos

de la placa pueden soportar, los datos quedarían atrapados en un trancón y el PC

procesaría la información a una velocidad inferior al límite para el cual ha sido diseñado.



TARJETA DE SONIDO.

Da al PC la capacidad de reproducir sonido, grabar o utilizar programas de

reconocimiento de voz. Los PC que no son multimedia, no tienen Tarjeta de Sonido.

TARJETA GRÁFICA. De aquí parte la imagen que se refleja en el monitor y de ella

depende el grado de fineza de la imagen resultante. Se complementa con un acelerador

gráfico.

DISCO DURO.

Almacena información y programas de computador de modo estable, su capacidad se

mide en MB o GB.

UNIDAD DE DISQUETE.

Almacena y permite leer información. 1.44 MB

UNIDAD DE CD-ROM.

Disco de metal recubierto por una capa plástica para almacenar datos. Su sistema de

lectura es por láser: un haz de luz recorre la superficie del disco, mientras que otro

dispositivo se encarga de analizar el reflejo del láser sobre el soporte. Los computadores

multimedia (que pueden manejar video, sonido y animaciones) usan esta unidad para leer

CD-ROM. 650-700 MB (486 disquetes), que pueden almacenar video, sonido, animación,

texto, gráfica, etc. Actualmente se consiguen unidades de grabación de CD.

DVD (Digital Video Disc).

Supera con creces la capacidad y rapidez del CD-ROM. Actualmente superan los 4 GB de

capacidad (7 CD) y usados en cinematografía por su calidad de imagen, sonido digital de

última generación y diálogos locutados en diferentes idiomas.

SISTEMAS DE COMPRESIÓN.

Apoyados por estudiadas rutinas, logran reducir el espacio de memoria necesario para

almacenar un documento. Existen dos tipos de compresores: destructivo y no destructivo.

La diferencia principal entre ambos sistemas hace referencia a la pérdida de calidad en el

archivo resultante, después de la compresión.



CHIP

Pieza de silicio que contiene millones de componentes electrónicos (transistores y

resistores).

SILICIO (SILICON)

Material que se encuentra en estado natural en la arena y en las rocas.

TRANSISTOR

Dispositivo semiconductor que funciona como una especie de PUERTA que se abre o

cierra al paso de impulsos eléctricos. Un CHIP como el Pentium, agrupa + 3.3 millones de

transistores en una superficie de menos de 2 Cm cuadrados.

BYTE

Es una medida de la capacidad de almacenamiento de datos del PC. 1 byte equivale a un

carácter. Los textos, dibujos y sonidos están representados por Bytes.

PC computador personal.

Son el tipo de computadores más difundidos. Por unidades vendidas representan + del

90% del mercado.

PERIFÉRICOS

Son todos los dispositivos que se conectan al computador: Ratón, Teclado, Impresora,

Monitor, Audífonos, MODEM, Unidad de CD, etc.



2.2. COMPOSICIÓN DE UN DEPARTAMENTO DE PROCESAMIENTO

ELECTRÓNICO DE DATOS P.E.D.

Debe existir un organigrama y una asignación clara de responsabilidades. Aunque los

cargos varían según el centro de procesos, las descripciones siguientes, abreviadas y

generales de puestos de trabajo, cubren la mayor parte de los puestos de proceso de

datos en los niveles que no sean de dirección.

ORGANIGRAMA CON UN GRADO DE DETALLE MÍNIMO:

CARGO DESCRIPCIÓN

Director del PED Como coordinador del Depto. De PED, le corresponde:

Ejecutar la autorización de ampliaciones o cambio en los sistemas principales.

Revisión, posterior a la instalación, del costo y eficacia reales de los proyectos de

sistemas.

Revisión de los proyectos de organización y control del PED.

Revisión del rendimiento.

O UN DIAGRAMA MÁS ELABORADO COMO:

CARGO DESCRIPCIÓN

Director del PED

Su responsabilidad consiste en presentar cada ampliación o cambio principal con una

propuesta, para ser evaluada desde el punto de vista del Costo - Beneficio que

ocasionará, ya que la adquisición o introducción de mejoras, equivale a una gran inversión

en la ampliación del Activo Fijo y debe estudiarse minuciosamente antes de comprometer

recursos en el proyecto.

Analista de Sistemas Analiza las necesidades de información, evalúa el sistema existente

y diseña procedimientos de procesos de datos nuevos o mejorados. Describe el sistema y

prepara las especificaciones que sirven de guía al programador.



Programador Hace diagramas de la lógica de los programas del PC, especificados por el

sistema diseñado por el analista de Sistemas. Codifica la lógica para su traducción al

lenguaje del PC. Elimina errores del programa resultante. Prepara la documentación.

Operador del PC Opera el PC de acuerdo con los procedimientos de instalación y los

específicos para cada programa descrito en las instrucciones del funcionamiento del PC.

Operador de Textos Prepara información para su proceso en el PC, tecleando en un

dispositivo que lo traduce a lenguaje de máquina.

2.3. TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR - TAAC.

a. OPERACIONES EN PARALELO: Confrontación de resultados,

mediante el proceso de los mismos datos reales, entre un sistema

nuevo que sustituye a uno ya auditado. Los programas y

procedimientos actuales no se abandonarán hasta cuando los nuevos

arrojen los resultados esperados.

b. EVALUACIÓN DE UN SISTEMA CON DATOS DE PRUEBA:

Comúnmente llamada lotes de prueba. Se ensaya la aplicación con

datos de prueba contra resultados obtenidos inicialmente en las

pruebas del programa para detectar resultados no válidos. Los datos de

prueba deben representar la aplicación que se examina con todas las

posibles combinaciones de transacciones que se lleven a cabo en

situaciones reales. Esta técnica se utiliza en la fase de prueba del

programa, antes de ser enviada a producción y cuando se llevan a cabo

modificaciones a un programa, por tanto, los programas utilizados para

digitar los datos de prueba deben ser los mismos que se encuentran en

producción y que se utilizan para procesar los movimientos diarios.

Cuando esta técnica se mantiene en el tiempo para ser, consistente y

cotidianamente, aplicada al sistema en producción, toma el nombre de

EVALUACION DEL SISTEMA DEL CASO BASE - ESCB, en tal caso, la

prueba es más completa y requiere de un alto grado de cooperación en

tres usuarios, auditores y personal de sistemas.



c. PRUEBAS INTEGRALES: Permite examinar el proceso de la

aplicación en su ambiente normal de producción, pues se procesan

datos de prueba en la misma aplicación en producción junto con los

datos reales, para lo cual se crea una compañía de prueba con fines de

auditoría dentro de la aplicación, lo cual permite disponer de los mismos

archivos maestros. Los resultados de la prueba se comparan contra

resultados pre calculados o predeterminados para examinar la lógica y

precisión de los procesos. Se presenta un proceso de información

simultáneo para comparar contra resultados predeterminados.

d. SIMULACIÓN: Se desarrolla un programa de aplicación para

determinada prueba y se compara el resultado con los arrojados por la

aplicación real.

e. REVISIONES DE ACCESO: Consiste en conservar un registro

computarizado de todos los accesos a determinados archivos

(información del usuario y terminal) Software de Auditoría.

f. REGISTROS EXTENDIDOS: Agregar un campo de control a un registro

- Software de Auditoría.

g. TOTALES ALEATORIOS DE CIERTOS PROGRAMAS: Consiste en

obtener totales de datos en alguna parte del sistema, para verificar su

exactitud en forma parcial - Software de Auditoría.

h. SELECCIÓN DE DETERMINADO TIPO DE TRANSACCIONES COMO

AUXILIAR EN EL ANÁLISIS DE UN ARCHIVO HISTÓRICO: Con el fin

de analizar en forma parcial el archivo histórico de un sistema, el cual

sería casi imposible verificar en forma total - Software de Auditoría.

i. RESULTADOS DE CIERTOS CÁLCULOS PARA

COMPARACIONES POSTERIORES: Con el fin de comparar en el

futuro los totales en diferentes fechas - Software de Auditoría.

La TAAC anteriormente descritas, ayudan al auditor a establecer una metodología para la

revisión de los sistemas de aplicación de una institución, empleando como herramienta el

mismo equipo de cómputo.



El computador le facilita al auditor realizar tareas como:

a. Trasladar los datos del sistema a un ambiente de control del auditor.

b. Llevar a cabo la selección de datos.

c. Verificar la exactitud de los datos.

d. Hacer muestreo estadístico.

e. Visualización de datos.

f. Ordenamiento de la información.

g. Producción de reportes e histogramas.

Lo anterior implica una metodología que garantiza una revisión más extensa e

independiente, que podría consistir en los siguientes pasos:

1. Selección del sistema de información a revisar.

2. Obtención de la documentación de los archivos que incluye: Nombre del

archivo y descripción, nombre de los campos y descripción (longitud, tipo),

codificación empleada, etc.

3. Trasladar el archivo de datos a un PC con gran capacidad de almacenamiento.

4. Llevar a cabo con un software de auditoría las verificaciones que se mencionan

anteriormente.

5. Participación del Auditor en el desarrollo de sistemas.

En resumen: El Auditor debe tener la habilidad para revisar y probar la integridad de los

sistemas y sus actividades principales serán:

a. Verificar los controles y procedimientos de autorización de la utilización

y captura de los datos, su proceso y salida de información, así como los

programas que las generan. Es importante revisar los procedimientos

para el mantenimiento de los programas y las modificaciones a los

sistemas.

b. Revisar las transacciones realizadas para asegurarse de que los

archivos reflejan la situación actual.



c. Revisar las transacciones y los archivos para detectar posibles

desviaciones de las normas establecidas.

d. Asegurarse de que las aplicaciones cumplan con los objetivos definidos

en la planeación.

e. Revisar todos los cambios hechos a los programas y sistemas para

verificar la integridad de las aplicaciones.

2.4. CONCEPTO DE SISTEMAS AVANZADOS

SISTEMAS EN LÍNEA

Las operaciones son procesadas al momento de registrarlas, en vez de acumularla en

lotes. Los datos pueden ser registrados en una terminal remota de entrada conectada a la

unidad central de proceso por líneas de comunicación. Se refiere a un sistema operativo

con terminales, sin implicar su modo de operación. Un sistema en línea acepta y

almacena datos desde varias terminales, pero no necesariamente implica la actualización

de archivo maestro.

SISTEMA EN TIEMPO REAL

Se refiere al tiempo requerido para que una acción, actividad o decisión tenga lugar. El

término se usa para referirse a sistemas de respuestas rápidas en los cuales los archivos

son actualizados tan pronto como las operaciones son registradas y en los cuales los

datos de salida son proporcionados inmediatamente al ser solicitados. Los sistemas en

tiempo real, son siempre en línea.

Un sistema de tiempo real es aquel en el que para que las operaciones computacionales

estén correctas no depende solo de que la lógica e implementación de los programas

computacionales sea correcto, sino también en el tiempo en el que dicha operación

entregó su resultado. Si las restricciones de tiempo no son respetadas el sistema se dice

que ha fallado; Por lo tanto, es esencial que las restricciones de tiempo en los sistemas

sean cumplidas. El garantizar el comportamiento en el tiempo requerido necesita que el

sistema sea predecible.



SISTEMAS INTEGRADOS

Diseñados para minimizar las operaciones y los registros duplicados. El sistema se diseña

de tal manera, que los registros para las funciones diferentes con información similar,

sean combinados en un solo registro que los incluya a todos. Algunas características son:

1. Una vez iniciado el sistema, un solo documento fuente, con la descripción de la

operación o proporcionando otros datos inicia la actualización de todos los

registros asociados con la operación o con la partida de datos.

2. Las partes del sistema están interrelacionadas y se eliminan los registros

duplicados.

Un Sistema Integrado, no necesita ser un sistema en Tiempo Real. Un sistema puede

estar completo o parcialmente integrado.

BASES DE DATOS

Es cualquier conjunto de datos organizados para su almacenamiento en la memoria de un

ordenador o computadora, diseñado para facilitar su mantenimiento y acceso de una

forma estándar. La información se organiza en campos y registros. Un campo se refiere a

un tipo o atributo de información, y un registro, a toda la información sobre un individuo.

Por ejemplo, en una base de datos que almacene información de tipo agenda, un campo

será el nombre, otro el teléfono, otro la dirección..., mientras que un registro viene a ser

como la ficha en la que se recogen todos los valores de los distintos campos para un

individuo, esto es, su nombre, teléfono, dirección... Los datos pueden aparecer en forma

de texto, números, gráficos, sonido o vídeo. Normalmente las bases de datos presentan la

posibilidad de consultar datos, bien los de un registro o los de una serie de registros que

cumplan una condición.

PROCESO DE DATOS DISTRIBUIDOS

Hace mención a una red de ordenadores locales; es decir, que los datos están

distribuidos en los PC que conforman la red. A menudo se trata de mini-ordenadores

conectados en Línea a uno central. Los sistemas distribuidos pueden consistir en diversos

servidores que alojen datos, de forma que el cliente no tiene por qué conocer

exactamente dónde se encuentran, simplemente hace una petición de servicio, y es el

sistema servidor el encargado de localizarlos y proporcionar el resultado de la consulta al

usuario que hizo la petición



SISTEMAS EXPERTOS

Es un sistema informático que incorpora en forma operativa el conocimiento de una

persona experimentada, de forma que es capaz tanto de responder como esa persona,

como de explicar y justificar sus respuestas. Actúan como ayudantes inteligentes de los

expertos humanos y como consultores cuando no se tiene ninguna otra posibilidad de

acceder a la experiencia y al conocimiento. Este sistema adopta decisiones o resuelve

problemas de un determinado campo, como las finanzas o la medicina, utilizando los

conocimientos y las reglas analíticas definidas por los expertos en dicho campo. Los

expertos solucionan los problemas utilizando una combinación de conocimientos basados

en hechos y en su capacidad de razonamiento. En los sistemas expertos, estos dos

elementos básicos están contenidos en dos componentes separados, aunque

relacionados: una base de conocimientos y una máquina de deducción, o de inferencia.

La base de conocimientos proporciona hechos objetivos y reglas sobre el tema, mientras

que la máquina de deducción proporciona la capacidad de razonamiento que permite al

sistema experto extraer conclusiones. Los sistemas expertos facilitan también

herramientas adicionales en forma de interfaces de usuario y los mecanismos de

explicación. Las interfaces de usuario, al igual que en cualquier otra aplicación, permiten

al usuario formular consultas, proporcionar información e interactuar de otras formas con

el sistema. Los mecanismos de explicación, la parte más fascinante de los sistemas

expertos, permiten a los sistemas explicar o justificar sus conclusiones, y también

posibilitan a los programadores verificar el funcionamiento de los propios sistemas.

2.5. MATRIZ DE PLANEACIÓN

Es un documento que sirve de guía para seguir una secuencia lógica en la realización de

la auditoría. En este documento, se informa el personal a cargo de cada labor de

auditoría, las pruebas a realizar, los procedimientos a seguir, el tiempo estimado e

invertido, el riesgo y la referencia a papeles de trabajo con el fin de permitir el seguimiento

y control del desarrollo de la auditoría. (Ver modelo propuesto).



2.6. PLANILLA DE CONTROL INTERNO

Es un informe de las situaciones que se presentan en la organización que se deben

corregir, sustentando las apreciaciones y recomendando las acciones a tomar para

encausarlas o corregirlas. Su contenido recomendado es el siguiente:

Planilla de análisis de control interno

Nombre de la compañía Fecha:

Deficiencia:

Consiste en identificar y transcribir, en forma clara y concreta, la deficiencia de control

interno detectada al interior de la organización; en nuestro caso, al interior de cualquiera

de los procesos del sistema de información que este siendo objeto de auditoría.

Sustentación:

Consiste en redactar, en forma clara e inequívoca, la evidencia que sustenta la existencia

de la deficiencia sobre la cual el auditor se apoya para identificar su materialización. Esta

sustentación debe ser:

o *Relevante - Lógica

o *Fiable - Válida, Objetiva

o *Suficiente - Cuantitativa

o *Adecuada - Cualitativa

Firma Auditor: _____________________

Recomendación:

Es la propuesta del auditor tendiente a contrarrestar la deficiencia de control interno. Debe

ser coherente con la deficiencia detectada consultado la relación costo-beneficio.

Para verificar lo acertado de la recomendación, podemos responder las siguientes

preguntas:



1. ¿La recomendación es coherente con la deficiencia?

2. ¿La recomendación aplica al problema?

3. La recomendación es suficiente?; ¿con su aplicación la deficiencia no se vuelve a

presentar?

Beneficio:

Se debe indicar cuál es el beneficio que se obtendrá con la implantación de la

recomendación, el cual debe ser representativo, tangible y atractivo para la

administración.

Compromiso:

Se debe obtener el compromiso de parte del responsable del área o de la administración

en el sentido de que se acoge la recomendación para implantarla, definiendo fecha en

que se hará y firma, de estos, en señal de compromiso y ejecución operativa.

Firma responsable: __________________



CAPITULO 3. EVALUACIÓN DE LA SEGURIDAD

3.1. SEGURIDAD LÓGICA Y CONFIDENCIAL

La seguridad Lógica y Confidencial hace un gran énfasis en la conservación y protección

de la información y valora esa información como el activo más importante de la empresa y

por eso tiene en cuenta que:

La computadora es un instrumento que almacena información y por tanto:

o Es confidencial

o Puede ser mal utilizada

o Se puede prestar para Fraudes

o Se pueden presentar sabotajes que provoquen destrucción de información

La información puede ser de gran importancia y el no tenerla puede provocar

atrasos sumamente costosos.

o Cuanto tiempo pasaría para que una organización nueva estuviese en

operación?

o El centro de cómputo puede ser el activo + valioso y al también el +

vulnerable.

o El 95% de los delitos por computadora han sido descubiertos por

casualidad y no se divulgan para no dar ideas a personas mal

intencionadas.

o Los fraudes, falsificaciones y venta de información hechos a la

computadora o por medio de ellas es una constante.

o El incremento de los fraudes por computadora crece más rápido que los

sistemas de seguridad.

o Los procedimientos de Auditoría y seguridad son responsabilidad del

Usuario y del Depto. De Auditoría Interna.

Al auditar los sistemas, se debe tener en cuenta que no se tengan copias piratas y que al

conectarnos en RED no exista posibilidad de transmisión de VIRUS.



MOTIVO DE LOS DELITOS POR COMPUTADORA

- Beneficio Personal

- Beneficios para la organización

- Síndrome de Robin Hood (Para beneficiar a otras personas)

- Jugando a jugar

- Fácil desfalcar

- El Depto. Es deshonesto

- Odio a la organización (Revancha)

- El individuo tiene problemas financieros

- La computadora no tiene sentimientos ni delata

- Equivocación de ego (Deseo de sobresalir en alguna forma)

- Mentalidad turbada

FACTORES QUE PERMITEN EL INCREMENTO DE DELITOS POR PC.

1. Aumento del número de personas que estudia computación

2. Aumento del número de empleados con acceso a los equipos

3. Facilidad en el uso de los equipos de computo

4. Incremento en la concentración del # de aplicaciones, y de la información

Estos factores son el objetivo del centro de cómputo, pero también constituye un

incremento del riesgo del delito.

El uso inadecuado del computador empieza con la utilización del tiempo de máquina para

usos ajenos al de la organización, la copia de programas para fines comerciales, el

acceso vía telefónica para copiar o modificar datos con fines fraudulentos.



Los delitos pueden ser no intencionales. Ejemplos:

Una compañía de publicidad por correo. ¿Cuánto podría costarle que la

competencia adquiriera su lista de correo o que la información sea cambiada o

dañada?

Una Cía. De venta puerta a puerta, le sustrajeron la lista de clientes, la cual fue

vendida a la competencia; la Cía. Estimó la perdida en ventas en $ 7.062.00.

Actualmente las Cías. Tienen grandes dispositivos de seguridad física de las

computadoras; lo grave, es que se tiene la idea que los sistemas no pueden se violados si

no se entra a la sala de computo, olvidándose del uso de terminales y de sistemas

remotos de teleproceso.

Se piensa como en el caso de Incendio o robo, que “eso no me puede suceder a mí” o

“Es poco probable que suceda aquí”

Algunos gerentes creen que las computadoras y sus programas son tan complejos, que

nadie fuera de la Cía. Los va a entender y no les van a servir; pero existe gran número de

personas que pueden captar la información de un sistema y hacer de ella su segundo

ingreso.

El incremento en los Fraudes, ha ocasionado el incremento en la seguridad Física y

Lógica con la desventaja que la seguridad Lógica requiere mucho recurso de computador.

Lo ideal es obtener la seguridad adecuada, de acuerdo a la seguridad requerida con el

menor costo posible.

Se debe tener en cuenta la posibilidad de Fraude cometida por los empleados en el

desarrollo de sus funciones. A) el más común es en el desarrollo de programas, en el cual

se pueden insertar rutinas con fines dañinos (borrar información, beneficio personal-

nómina, robar información, venganza, etc.), de ahí la necesidad de tener los programas

fuente y/o debidamente documentados.



Peligroso no tener los programas documentados, porque se crea dependencia con

aquellos empleados que concentran en su memoria toda la información referente a la

construcción, mantenimiento y reformas de los programas.

La seguridad empieza con la simple clave de acceso (password), hasta sistemas

complicados, pero debe evaluarse que entre + complicados los dispositivos de seguridad,

resultan + costosos; por tanto, se debe mantener una adecuada relación de seguridad-

costo en los sistemas de información.

Un sistema integral de seguridad debe comprender:

1. Elementos administrativos

2. Definición de una política de seguridad

3. Organización y definición de responsabilidades

4. Seguridad física y contra catástrofes (incendio, terremoto, etc.)

5. Prácticas de seguridad del personal

6. Pólizas de seguros

7. Elementos técnicos y procedimientos

8. Sistemas de seguridad de equipos y de sistemas, incluyendo redes y

terminales

9. Aplicación de los sistemas de seguridad incluyendo datos y archivos

10. El papel de los Auditores tanto interno como externo

11. Planeación de programas de desastre y su prueba. Los accidentes pueden

surgir por mal manejo de la Admón., por negligencia o por ataques

intencionales hechos por ladrones, fraudes, sabotajes o por situaciones propias

de la Cía. Ej. huelgas

El poder trabajar con la posibilidad de un desastre debe ser algo común, debe planearse

como evitarlo y qué hacer cuando ocurra.

Se debe evaluar el riesgo que pueda tener el daño en las instalaciones y/o en las

aplicaciones, con gran impacto en la Cía. y/o en la comunidad si el servicio se interrumpe

por cierto período; otras pueden fácilmente continuar sin afectar fuertemente la Cía. Por

ejemplo por medio de métodos manuales.



Para establecer la relación costo/beneficio entre el costo por pérdida de información y el

costo de un sistema de seguridad debemos tener en cuenta algunos puntos como:

1. Clasificar la aplicación en términos de riesgo (alto, medio, bajo)

2. Identificar aplicaciones con alto riesgo

3. Impacto en la suspensión de aplicaciones con alto riesgo

4. Medidas de seguridad necesarias acorde a la seguridad requerida

5. Justificar el costo de implantar las medidas de seguridad

IDENTIFICACIÓN DE LAS APLICACIONES DE ALTO RIESGO Y CLASIFICACIÓN

DEL RIESGO

Para esto debemos preguntarnos:

1. ¿Qué sucedería si no se puede usar el sistema?

¿Se puede trabajar normalmente? Si la respuesta es No, entonces podemos

concluir que la aplicación es de alto riesgo.

2. ¿Qué implicaciones tiene el que no se obtenga el sistema y cuánto tiempo

podríamos estar sin utilizarlo? Unos minutos?, un día? Una semana?

3. ¿Existe un procedimiento alterno y qué problemas ocasionaría?, si existe,

manual, datos telefónicos, procesar en otro sistema; no existe. Ej. Reserva de

tiquetes por las redes y bancos de datos, retraso e ineficiencia en los

despachos de vuelos.

4. ¿Qué se ha hecho para un caso de emergencia? Sistemas paralelos, sistemas

duplicados en áreas críticas (aires acondicionados, discos, etc.), sistemas de

energía no interrumpible. Ej. Elaborar la NOMINA en forma manual o pagarla

con la de la quincena anterior.

Una vez definido el grado de riesgo (alto, medio, bajo), se debe elaborar una lista de

medidas preventivas a tomar y las correctivas en caso de desastre señalando prioridades.

Hay que tener mucho cuidado con la información que sale de la oficina, con su utilización

y que sea borrada al momento de dejar la instalación de respaldo.



LOS PLANES DE SEGURIDAD DEBEN ASEGURAR:

1. La integridad y exactitud de los datos

2. Identificar la información confidencial, de uso exclusivo y la delicada

3. Proteger y asegurar los activos de desastres provocados por la mano del

hombre y de actos abiertamente hostiles

4. Asegurar la capacidad de la organización para sobrevivir accidentes

5. Proteger a los empleados contra tentaciones o sospechas innecesarias

6. Proteger a la Administración contra cargos de imprudencia

CLASIFICACIÓN DE LA APLICACIÓN EN TÉRMINOS DE RIESGO

1. Clasificar los datos, archivos y programas con información confidencial, con un

alto valor en el mercado de competencia de una Cía.

2. Clasificar la información de difícil recuperación

3. Identificar la información con un alto costo financiero en caso de pérdida

4. Identificar la información que pueda provocar un gran impacto en la toma de

decisiones

5. Determinar la información que tenga una gran pérdida en la Cía. Y

posiblemente pueda ocasionar que no pueda sobrevivir sin esa información.

CUANTIFICACIÓN DEL RIESGO

Se debe entrevistar a los niveles administrativos afectados directamente por la

suspensión del proceso para averiguar en qué forma afecta la organización.

A. Ejemplo:

a. ALTO RIESGO: Información sobre el mercado y publicidad de una Cía.

b. MEDIO RIESGO: La nómina, que puede ser hecha a mano, utilizar

procedimientos alternos (pagar con la nómina anterior) o un adecuado

sistema de respaldo.

c. BAJO RIESGO: Los estado financieros, los que se pueden reestructurar

con cierta facilidad, salvo la presentación con fines fiscales.



PRECAUCIONES EN LA DIVISIÓN DEL TRABAJO

1. El personal que prepara la información no debe tener acceso a la operación

2. Los analistas y programadores no deben tener acceso al área de operación y

viceversa

3. Los operadores deben tener acceso restringido a las librerías y a lugares

donde se tenga archivos almacenados; es importante separar las funciones de

librería y de operación

4. Los operadores no deben ser los únicos que tengan el control sobre los

trabajos procesados y no deben hacer las correcciones a los errores

detectados

5. Evaluar y revisar en forma visual el orden y limpieza de la sala de cómputo y

las oficinas, ya que una inadecuada limpieza en el trabajo refleja problemas de

disciplina y crea posibilidades de fallas en la seguridad, además de perjudicar

el desarrollo normal del trabajo

Los sistemas de seguridad pueden reducir flexibilidad en el trabajo, pero no deben reducir

la eficiencia (IMPORTANTE.)

3.2. SEGURIDAD EN EL PERSONAL

El centro de cómputo depende en gran medida de:

1. Integridad del personal

2. Estabilidad del personal

3. Lealtad del personal

4. Adecuada política de vacaciones

5. Adecuada política de reemplazo, lo cual permite en caso necesario, poder

cambiar a una persona sin riesgo de funcionamiento para la organización.

6. Adecuada política de rotación en puestos de alto nivel de confianza, para

mermar la posibilidad de fraude, identificar el personal indispensable y

eliminarlos.

7. Adecuada política motivacional con el fin de fortalecer la lealtad

8. Fomentar la cultura de seguridad en los programas para protegerlos de

posibles fraudes.

Se recomienda, pues, los exámenes psicológicos, médicos, antecedentes laborales,

Valores sociales, estabilidad ya que normalmente son personas que trabajan bajo presión

y estrés, por lo que importa mucho su actitud y comportamiento.



3.3. SEGURIDAD FÍSICA

El objetivo es establecer POLÍTICAS, PROCEDIMIENTOS Y PRACTICAS para evitar la

interrupción prolongada del proceso de datos y continuar en un medio de emergencia

hasta que sea restaurado el servicio. Se debe asegurar contra:

1. Incendio

2. Inundación

3. Huelgas

4. Disturbios

5. Sabotaje

6. Material de la construcción (no inflamable, no tóxicos, sin polvo)

7. Temperatura de la sala de computo

8. Ductos, del aire acondicionado, limpios

9. Detectores de humo

10. Equipos de fuente no interrumpible en instalaciones de alto riesgo en la

computadora, la red y equipos de teleproceso

11. Número de extintores, capacidad, fácil acceso (cerca, altura), peso, tipo de

producto (que no sean líquidos, no produzcan gases tóxicos), vencimiento de

la carga

12. Entrenamiento del personal en el uso de los equipos contra incendio

13. Suficientes salidas de emergencia debidamente controladas

14. Almacenamiento adecuado de cintas que produce gases tóxicos y papel

altamente inflamable

Fue costumbre exhibir la sala de cómputo en grandes ventanales al público como símbolo

de orgullo de la organización, y con gran cantidad de invitados visitándola. Eso cambió

radicalmente para prevenir el riesgo de terrorismo y sabotaje.



3.4. SEGUROS

El seguro es muy importante. Pero existe un gran problema:

El agente de seguros es experto en Riesgos Comerciales, de Vida, etc., pero sabe

muy poco sobre computadoras.

El personal de Informática es experto en computadoras, pero conoce muy poco

sobre seguros.

En la compra de seguros, se debe tener en cuenta que el proveedor del equipo y/o del

mantenimiento, cubre ciertos riesgos, con el fin de no duplicar el seguro.

Se debe comprobar:

Póliza adecuada actualizada con los nuevos equipos

Que la póliza debe cubrir todo el equipo y su instalación

La fecha de vencimiento del SEGURO

El valor del seguro debe estar a precio de COMPRA del mercado y no al precio al

momento de la compra de SEGURO.

El seguro debe cubrir:

o Daños causados por factores externos (Terremotos, inundación, etc.)

o Daños causados por factores internos (Negligencia, Aire acondicionado,

Polvo, etc.)

El seguro en programas debe tener en cuenta:

o Costo de elaborarlos en determinado equipo

o Costo de crearlos nuevamente

o Valor comercial

El seguro en cuanto a personal debe cubrir:

o Fianzas contra robo

o Negligencia

o Daños causados por el personal

o Sabotaje

o Acciones deshonestas



o Confidencialidad

3.5. SEGURIDAD EN LA UTILIZACIÓN DEL EQUIPO

La tendencia en los programas y equipos, son ser más sofisticados y solo algunas

personas del centro PED conocen el detalle el diseño, lo cual puede provocar deterioro de

los sistemas, para lo cual se deberán tomar medidas como:

1. Restringir el acceso a los programas y archivos

2. Los operadores deben trabajar con poca supervisión y sin la participación de

los programadores, y no deben modificar los programas ni los archivos.

3. Asegurar en todo momento que los datos y archivos usados sean los

adecuaros, procurando no usar respaldos inadecuados.

4. No debe permitirse entrar a la red a personas no autorizadas, ni usar las

terminales.

5. La información confidencial debe usar formas codificadas o encriptadas.

6. Revisión periódica física del uso de terminales y de los reportes obtenidos.

7. Auditoria periódica sobre el área de operación y utilización de terminales.

8. Asegurar el proceso completo de los datos.

9. Debe existir registros de transferencia de información ente las funciones de un

sistema.

10. Debe controlarse la distribución de las salidas (reportes, cintas, etc.)

11. Guardar copia de archivos fuera del Dpto., de PED y en instalaciones de alta

seguridad (Bancos)

12. Control estricto en el transporte de cintas y discos del PED al local de

almacenaje distante.

13. Identificar y controlar perfectamente los archivos.

14. Estricto control en el acceso físico a los archivos.

Se debe tener un estricto control en el manejo de la información; por tanto se debe:

1. Cuidar que no se obtengan copias de información sin la debida autorización.

2. Solo el personal autorizado debe tener acceso a la información confidencial.

3. Controlar el destino final de los listados correctos e incorrectos.

4. Controlar el número de copias y la destrucción de información y del papel

carbón de la información confidencial.



El factor más importante en la eliminación del riesgo en la programación es que todos

los programas y archivos estén debidamente documentados; por lo cual, se debe tener

alto grado de seguridad desde el momento del diseño preliminar del sistema.

El siguiente punto en importancia es contar con los respaldos y duplicados de los

sistemas, programas, archivos y documentación necesaria para que pueda funcionar el

plan de emergencia.

SEGURIDAD AL RESTAURAR EL EQUIPO

Cuando ocurre una contingencia, es esencial conocer el motivo que la generó y el daño

causado, lo que permite recuperar en el menor tiempo posible el proceso perdido. Se

debe analizar el impacto futuro en el funcionamiento de la organización y prevenir

implicaciones negativas.

En una situación ideal, se debe elaborar planes para manejar cualquier contingencia que

se presente.

Se debe definir planes de recuperación y reanudación, para asegurar que los usuarios se

afecten lo menos posible en caso de falla o siniestro. Entre ellas tenemos:

a. No realizar ninguna acción y reanudar el proceso

b. Con copias periódicas de los archivos reanudar un proceso a partir de

una fecha determinada.

c. Cambiar el proceso normal por uno alterno de emergencia (Manual, en

otro equipo, en equipo paralelo, en otra instalación, etc.)

Cualquier procedimiento a usar deberá ser planeado y probado previamente.



3.6. PROCEDIMIENTO DE RESPALDO EN CASO DE DESASTRE

Debe elaborarse en cada Depto. De PED un plan de emergencia, el cual debe ser

aprobado por el Depto. De Informática y definir los procedimientos e información para

ayudar a la recuperación de información en caso de interrupciones en la operación del

sistema de cómputo.

El plan de emergencia debe ser probado y utilizado en condiciones anormales para en

caso de usarse en condiciones de emergencia se tenga la seguridad de que funcione. Se

debe considerar:

Que la emergencia existe

Utilizar respaldos (en otros sitios)

Cambiar la configuración

Usar métodos manuales

La desventaja de un plan de emergencia es su costo, pero al igual que un seguro, solo se

puede evaluar la ventaja del plan de emergencia si el desastre ocurre.

Una vez aprobado el plan de emergencia, se debe distribuir entre el personal responsable

de su operación y es conveniente guardar copia fuera del Depto. PED.

La información que contiene el plan de emergencia es confidencial o de acceso

restringido.

El plan debe permitir su revisión constante y su actualización y a cada responsable debe

asignársele su tarea y una persona de respaldo para cada uno de ellos, con anotación de

su nombre, dirección y número telefónico.



EN LOS DESASTRES PUEDE SUCEDER LO SIGUIENTE:

a. Completa destrucción del centro de cómputo

b. Destrucción parcial del centro de cómputo

c. Destrucción o mal funcionamiento de los equipos auxiliares del centro

de cómputo (electricidad, aire acondicionado, etc.)

d. Destrucción parcial o total de los equipos descentralizados

e. Pérdida total o parcial de información, manuales o documentos

f. Pérdida de personal clave

a- Huelga o problemas laborales

EL PLAN DE DESASTRE DEBE INCLUIR

A. La documentación de programas y de operación

B. El acuerdo de soporte recíproco, para lo cual se debe tener en cuenta:

C. Configuración de equipos

a. Configuración de equipo de captación de datos

b. Sistemas operativos

c. Configuración de equipos periféricos

D. Los equipos

E. El equipo completo

a. El ambiente de los equipos

b. Datos y archivos

c. Papelería y equipo accesorio

d. Sistemas (operativo, base de datos, programas, programas de utilería)



CUANDO EL PLAN SEA REQUERIDO EN EMERGENCIA, el grupo deberá:

A. Asegurar que todos los miembros sean notificados

B. Informar al director de informática (Jefe de sistemas)

C. Cuantificar el daño o pérdida del equipo, archivos y documentos para

definir qué parte del plan debe ser activada

D. Determinar el estado de todos los sistemas en proceso

E. Notificar a los proveedores del equipo cual fue el daño

F. Establecer la estrategia para llevar a cabo las operaciones de emergencia

tomando en cuenta:

a. Elaborar lista con métodos disponibles para llevar a cabo la

recuperación

b. Señalar la posibilidad de alternar los procedimientos de operación

(cambio en dispositivos, sustituir procesos en línea por lotes)

c. Señalar la necesidad para agrupar y transportar al lugar de respaldo

los archivos, programas, etc., que se requieran

d. Estimación del tiempo de computadora para periodo largo.

e. Posponer las aplicaciones de prioridad más baja

f. Cambiar la frecuencia del proceso de trabajos

h. Suspender las aplicaciones en desarrollo



3.7. CONDICIONES, PROCEDIMIENTOS Y CONTROLES PARA OTORGAR

SOPORTE A OTRAS INSTITUCIONES

La idea es establecer convenios con otros centros de PED para utilizar su equipo en caso

de fallas mayores o de desastre, a fin de evitar interrupciones de los servicios de

procesamiento por largo período.

Es importante la intervención de la administración de las empresas o centros que hacen el

convenio PARA ASEGURAR LA SERIEDAD DEL COMPROMISO y para esto se debe

considerar:

a. Calidad de la persona a la que se le otorga el respaldo

b. Condiciones en las que se otorga el respaldo

c. Procedimientos y controles para el uso del lugar y equipos de respaldo

d. Tiempo durante el cual se otorga el respaldo

e. Periodicidad para otorgar el respaldo

f. Costo del servicio de respaldo



CAPÍTULO 4. DISEÑO DE CONTROLES

En los sistemas de información, el control interno se materializa básicamente en

controles de dos tipos.

1. CONTROLES MANUALES: Realizados normalmente por el personal del

área usuaria. Son controles previstos para asegurar que se preparan,

autorizan y procesan todas las operaciones, se subsanan adecuadamente

todos los errores, son coherentes los resultados de salida.

2. CONTROLES AUTOMÁTICOS: Incorporados a los programas de la

aplicación que sirven de ayuda para tratar de asegurar que la información

se registre y mantenga completa y exacta, los procesos de todo tipo sean

correctos y su utilización por parte de los usuarios respete la

confidencialidad y permita la aplicación de la segregación de funciones.

Según su finalidad, los controles son:

1. CONTROLES PREVENTIVOS: Se diseñan patrones de formatos y

estructura (dato numérico, fecha válida, valores válidos, dígitos de control

para códigos de identificación, de documentos, nomenclaturas etc.) para

evitar los errores a base de exigir el ajuste de los datos a formatos

prediseñados

2. CONTROLES DETECTIVOS: con el fin de descubrir errores que no hayan

sido posible evitar.

3. CONTROLES CORRECTIVOS: para asegurar que se subsanen los errores

identificados mediante controles detectivos.

Los controles anteriores pueden ser utilizados en las transacciones de recogida o toma de

datos, en los procesos de información de la aplicación y en la generación de informes y

resultados de salida.



4.1. CONTROL EN EL ORIGEN DE LAS TRANSACCIONES

En el origen de las transacciones deben establecerse controles básicamente, sobre la

AUTORIZACIÓN y PROCESAMIENTO DE DOCUMENTOS FUENTE. Como ejemplo

tenemos:

PROCEDIMIENTOS EN EL ÁREA USUARIA: Se debe trabajar con base en

procedimiento escritos y aprobados por la dirección, en el proceso de iniciación,

revisión y autorización de las transacciones de entrada, y se utilizan

principalmente para las siguientes actividades operativas:

- Preparar documentos fuente.

- Regular el flujo de documentos.

- Establecer la necesidad de ceñirse a los programas de trabajo, como

por ejemplo, las fechas de corte.

- Controlar el uso de códigos espaciales, como los passwords entre

otros.

- Describir los requisitos claves de entrada de datos.

- Precisar las correcciones que en nombre de los usuarios pueden hacer

el personal de sistemas.

FORMULARIOS PREIMPRESOS: Guían el registro inicial de las transacciones en

un formato uniforme. El diseño de formularios es un eficiente control preventivo

para los sistemas en funcionamiento, en la etapa de entrada de datos. Un buen

diseño de formularios permite que los datos sean completos y precisos, evitando

de esta forma errores y omisiones, logrando un sistema correcto de autorizaciones

y apoyando la objetividad de la contabilidad o de otras aplicaciones, de las

organizaciones. Los formularios diseñados a la medida del sistema facilitan el

registro de transacciones y el establecimiento de controles a través de:

- Bloques de autorización

- Totales de control

- Totalizaciones verticales u horizontales

- Fechas de retención de datos

Los documentos fuente pre-impresos permiten la serialización de los mismos, esto

es, verificar la secuencia del procedimiento de entrada de datos. La identificación y



serialización de los documento fuente facilitan el rastreo de las transacciones hacia

delante y hacia atrás, cuando se hace el trabajo de auditoría.

IDENTIFICACIÓN DE TRANSACCIONES: Toda operación que se registre en un

proceso computarizado, debe estar suficientemente identificada como norma de

control interno; Ej. Número de serie, número de secuencia, código de la

transacción.

REFERENCIA CRUZADA: En el computador, las transacciones incluyen

generalmente un campo, que tiene por objeto identificar el documento fuente. Si

este número hace parte de la identificación de la transacción, entonces se

convertirá en una referencia cruzada que sirve para rastrear la información hacia

delante y hacia atrás. En el registro de CxC, existe un campo para el número de la

factura; esta referencia puede utilizarse para recuperar los documentos fuente

cuando sea necesario.

LOG DE SECUENCIA: Normalmente se identifican las transacciones con números

de secuencia y lleva además, un LOG interno de los números de secuencia que

sirve para asegurarse de que los datos de entrada estén completos, y como pista

de auditoría.

ACCESO RESTRINGIDO A LOS FORMULARIOS EN BLANCO: Los documentos

y formularios en blanco deben estar adecuadamente controlados para evitar uso

fraudulento, en la entrada de datos. Esta restricción incluye los documentos

negociables.

CUSTODIA DOBLE DE FORMULARIOS: Se acostumbra básicamente para

controlar formularios contables de alto nivel de criticidad. Se requiere que un

miembro del Depto. De usuario y otro del Depto. De PED autoricen conjuntamente

la entrega de formularios pre numerados. El control exige hacer seguimiento

riguroso a los formularios en blanco para que sean devueltos y archivados

oportunamente.



CONCLUSIONES Y RECOMENDACIONES

Las auditorias informáticas se conforman obteniendo información

y documentación de todo tipo. Los informes finales de los auditores dependen de

sus capacidades para analizar las situaciones de debilidad o fortaleza de los

diferentes medios. El trabajo del auditor consiste en lograr obtener toda la

información necesaria para emitir un juicio global objetivo, siempre amparando las

evidencias comprobatorias.

El auditor debe estar capacitado para comprender los mecanismos que se

desarrollan en un procesamiento electrónico. También debe estar preparado para

enfrentar sistemas computarizados en los cuales se encuentra la información

necesaria para auditar.

Toda empresa, pública o privada, que posean Sistemas de Información

medianamente complejos, deben de someterse a un control estricto

de evaluación de eficacia y eficiencia. Hoy en día, la mayoría de

las empresas tienen toda su información estructurada en Sistemas Informáticos,

de aquí, la vital importancia que los sistemas de información funcionen

correctamente.

El éxito de una empresa depende de la eficiencia de sus sistemas de información.

Una empresa puede contar con personal altamente capacitado, pero si tiene un

sistema informático propenso a errores, lento, frágil e inestable; la empresa nunca

saldrá a adelante.

La auditoría de Sistemas debe hacerse por profesionales expertos, una auditoria

mal hecha puede acarrear consecuencias drásticas para la empresa auditada,

principalmente económicas.

En conclusión la auditoria de sistemas es la indicada para evaluar de manera

profunda, una determinada organización a través de su sistema de información

automatizado, de aquí su importancia y relevancia.



GLOSARIO

TARJETA MADRE (MAIN BOARD)

Tarjeta madre, placa base o motherboard es una tarjeta de circuito impreso que permite la

integración de todos los componentes de una computadora. Para esto, cuenta con

un software básico conocido como BIOS, que le permite cumplir con sus funciones.

HARDWARE.

Término en inglés que significa ferretería, se emplea con una fina y poco disimulada

ironía, para referirse a los elementos tangibles del equipo, como la tarjeta madre, la

memoria, el disco duro y otros dispositivos de almacenamiento.

SOFTWARE.

Conjunto de instrucciones que ponen en comunicación los diferentes dispositivos del PC y

le permiten realizar cualquier tarea. Ej. El sistema operativo, los programas, los archivos

de configuración, etc.

UNIDAD CENTRAL DE PROCESO.

Llamada CPU. Tradicionalmente se ha dicho que la CPU engloba las partes del hardware

de mayor importancia, como la tarjeta madre, el chip, la memoria o el disco duro en el que

se almacenan los datos. Realmente la CPU (conocida por sus siglas en inglés, CPU), es

un circuito microscópico que interpreta y ejecuta instrucciones. La CPU se ocupa del

control y el proceso de datos en las computadoras. Generalmente, la CPU es un

microprocesador fabricado en un chip, un único trozo de silicio que contiene millones de

componentes electrónicos. El microprocesador de la CPU está formado por una unidad

aritmético-lógica que realiza cálculos y comparaciones, y toma decisiones lógicas por una

serie de registros donde se almacena información temporalmente, y por una unidad de

control que interpreta y ejecuta las instrucciones. Para aceptar órdenes del usuario,

acceder a los datos y presentar los resultados, la CPU se comunica a través de un

conjunto de circuitos o conexiones llamado bus. El bus conecta la CPU a los dispositivos

de almacenamiento (por ejemplo, un disco duro), los dispositivos de entrada (por ejemplo,

un teclado o un mouse) y los dispositivos de salida (por ejemplo, un monitor o una

impresora).



RAM (Random Access memory).

Chip de almacenamiento temporal. Entre más RAM los programas trabajan a mayor

velocidad. Su unidad de medida es el Byte y su capacidad de almacenamiento actual está

dada en mega bytes (MB). La memoria RAM almacena instrucciones, variables y otros

parámetros de los programas que el usuario haya activado. Su contenido se pierde

cuando el PC es apagado.

ROM BIOS (Read only memory).

Chip que almacena en forma permanente instrucciones y datos del PC que son solo de

lectura, necesarios para activar el sistema operativo y reconocer los periféricos

conectados al sistema.

MEMORIA VIRTUAL.

Truco tecnológico que permite al PC tomar parte del disco duro como prolongación de la

RAM. Ayuda a salir del paso en una situación apurada, pero no puede considerarse como

una panacea. Al tener que leer y escribir en el disco duro, con un acceso mucho más

lento, la ejecución de los programas se resiente, y acaba siendo considerablemente lenta.

MICROPROCESADOR.

Es el cerebro del PC. Chip que ejecuta las instrucciones y procesa los datos con los que

trabaja el computador. Su unidad de medida es el Hertz y su capacidad de

almacenamiento actual está dada en mega Hertz (MHz). El intenso ritmo de investigación

ha conseguido duplicar la capacidad de estos chips cada año y medio, aproximadamente.

(Ver CPU)

TARJETAS DE EXPANSION.

Con chips y otros componentes electrónicos que sirven para ampliar las capacidades del

PC o para controlar algunos periféricos. Estas tarjetas se instalan en ranuras de

expansión.

RANURAS DE EXPANSION

Comunicadas con el procesador a través del BUS. Permiten la inserción de chips de

memoria, aceleradoras gráficas, tarjetas de sonido o dispositivos de red.



BUS Avenida electrónica por medio de la cual se comunica el procesador, la memoria, los

periféricos y otros componentes del PC. Está formado por líneas de circuito paralelas que

transportan datos e instrucciones entre los dispositivos instalados en la tarjeta madre. De

su capacidad para asimilar el flujo de información depende en gran medida el rendimiento

del sistema.

BUS LOCAL

Autopista de alta capacidad y velocidad que comunica al procesador con algunos

dispositivos sin tener que usar el BUS principal.

TARJETA MADRE.

Plástica sobre la que están montados los principales componentes del PC: Procesador,

RAM, ROM, Ranuras de expansión, Bus. Si se escoge una tarjeta madre inadecuada para

el equipo, probablemente se producirá el efecto de cuello de botella: el chip central del PC

o sus periféricos llegarán a trabajar con un volumen de datos superior al que los circuitos

de la placa pueden soportar, los datos quedarían atrapados en un trancón y el PC

procesaría la información a una velocidad inferior al límite para el cual ha sido diseñado.

TARJETA DE SONIDO.

Da al PC la capacidad de reproducir sonido, grabar o utilizar programas de

reconocimiento de voz. Los PC que no son multimedia, no tienen Tarjeta de Sonido.

TARJETA GRÁFICA. De aquí parte la imagen que se refleja en el monitor y de ella

depende el grado de fineza de la imagen resultante. Se complementa con un acelerador

gráfico.

DISCO DURO.

Almacena información y programas de computador de modo estable, su capacidad se

mide en MB o GB.

UNIDAD DE DISQUETE.

Almacena y permite leer información. 1.44 MB



UNIDAD DE CD-ROM.

Disco de metal recubierto por una capa plástica para almacenar datos. Su sistema de

lectura es por láser: un haz de luz recorre la superficie del disco, mientras que otro

dispositivo se encarga de analizar el reflejo del láser sobre el soporte. Los computadores

multimedia (que pueden manejar video, sonido y animaciones) usan esta unidad para leer

CD-ROM. 650-700 MB (486 disquetes), que pueden almacenar video, sonido, animación,

texto, gráfica, etc. Actualmente se consiguen unidades de grabación de CD.

DVD (Digital Video Disc).

Supera con creces la capacidad y rapidez del CD-ROM. Actualmente superan los 4 GB de

capacidad (7 CD) y usados en cinematografía por su calidad de imagen, sonido digital de

última generación y diálogos locutados en diferentes idiomas.

SISTEMAS DE COMPRESIÓN.

Apoyados por estudiadas rutinas, logran reducir el espacio de memoria necesario para

almacenar un documento. Existen dos tipos de compresores: destructivo y no destructivo.

La diferencia principal entre ambos sistemas hace referencia a la pérdida de calidad en el

archivo resultante, después de la compresión.

CHIP

Pieza de silicio que contiene millones de componentes electrónicos (transistores y

resistores).

SILICIO (SILICON)

Material que se encuentra en estado natural en la arena y en las rocas.

TRANSISTOR

Dispositivo semiconductor que funciona como una especie de PUERTA que se abre o

cierra al paso de impulsos eléctricos. Un CHIP como el Pentium, agrupa + 3.3 millones de

transistores en una superficie de menos de 2 Cm cuadrados.



BYTE

Es una medida de la capacidad de almacenamiento de datos del PC. 1 byte equivale a un

carácter. Los textos, dibujos y sonidos están representados por Bytes.

MEGABYTE (MB) = a 1.000.000 de bytes.

GIGABYTE (GB) = A 1.000 MB.

TERABYTE (TB) = A 1.000 GB.

EXABYTE (EB)=A 5.000.000 TB.

HERTZ (Hz) medida de cuantas vibraciones eléctricas (ciclos) se producen en 1 segundo.

1 Hz = a un ciclo por segundo.

MEGAHERTZ (MHz) = a 1.000.000 de Hz son la unidad de medida del procesador.

PC COMPUTADOR PERSONAL.

Son el tipo de computadores más difundidos. Por unidades vendidas representan + del

90% del mercado.

PERIFÉRICOS

Son todos los dispositivos que se conectan al computador: Ratón, Teclado, Impresora,

Monitor, Audífonos, MODEM, Unidad de CD, etc.


Documents

Auditoria de Sistemas a Traves Del Computador