Fases Auditoria Informatica

Planeacin de la auditoria Informtica Fase I: Conocimientos del Sistema Fase II: Anlisis de transacciones y recursos Fase III: Anlisis de riesgos y amenazas Fase IV: Anlisis de controles Fase V: Evaluacin de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones Fase I: Conocimientos del Sistema 1.1. Aspectos Legales y Polticas Internas. Sobre estos elementos est construido el sistema de control y por lo tanto constituyen el marco de ref 1.2.Caractersticas del Sistema Operativo. Organigrama del rea que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditora realizadas anteriormente 1.3.Caractersticas de la aplicacin de computadora Manual tcnico de la aplicacin del sistema Funcionarios (usuarios) autorizados para administrar la aplicacin Equipos utilizados en la aplicacin de computadora Seguridad de la aplicacin (claves de acceso) Procedimientos para generacin y almacenamiento de los archivos de la aplicacin. Fase II: Anlisis de transacciones y recursos 2.1.Definicin de las transacciones. Dependiendo del tamao del sistema, las transacciones se dividen en procesos y estos en subprocesos 2.2.Anlisis de las transacciones Establecer el flujo de los documentos En esta etapa se hace uso de los flujogramas ya que facilita la visualizacin del funcionamiento y reco 2.3.Anlisis de los recursos Identificar y codificar los recursos que participan en el sistemas 2.4.Relacin entre transacciones y recursos Fase III: Anlisis de riesgos y amenazas 3.1.Identificacin de riesgos Daos fsicos o destruccin de los recursos Prdida por fraude o desfalco Extravo de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupcin de las operaciones del negocio Prdida de integridad de los datos Ineficiencia de operaciones Errores 3.2.Identificacin de las amenazas Amenazas sobre los equipos: Amenazas sobre documentos fuente Amenazas sobre programas de aplicaciones 3.3.Relacin entre recursos/amenazas/riesgos La relacin entre estos elementos deber establecerse a partir de la observacin de los recursos en su Fase IV: Anlisis de controles 4.1.Codificacin de controles

Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificacin de los La relacin con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada 4.3.Anlisis de cobertura de los controles requeridos Este anlisis tiene como propsito determinar si los controles que el auditor identific como necesarios Fase V: Evaluacin de Controles 5.1.Objetivos de la evaluacin Verificar la existencia de los controles requeridos Determinar la operatividad y suficiencia de los controles existentes 5.2.Plan de pruebas de los controles Incluye la seleccin del tipo de prueba a realizar. Debe solicitarse al rea respectiva, todos los elementos necesarios de prueba. 5.3.Pruebas de controles 5.4.Anlisis de resultados de las pruebas Fase VI: Informe de Auditoria 6.1. Informe detallado de recomendaciones 6.2. Evaluacin de las respuestas 6.3. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la re Introduccin: objetivo y contenido del informe de auditoria Objetivos de la auditora Alcance: cobertura de la evaluacin realizada Opinin: con relacin a la suficiencia del control interno del sistema evaluado Hallazgos Recomendaciones Fase VII: Seguimiento de Recomendaciones 7.1. Informes del seguimiento 7.2. Evaluacin de los controles implantados Fin de la sesin. Informtica II. Decanato de Administracin y Contadura Auditora Informtica Revisin Evaluacin Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de Informacin Informtica II. Decanato de Administracin y Contadura Auditora Informtica Objetivos Presentar recomendaciones en funcin
de las fallas detectadas.

Determinar si la informacin que brindan

los Sistemas de Informticos es til.

Inspeccionar el Desarrollo de los Nuevos

Sistemas.

Verificar que se cumplan las normas y

polticas de los procedimientos.

Auditora Informtica Informtica II. Decanato de Administracin y Contadura Tipos Interna: Aplicada con el personal que labora en la empresa. Externa: Se contrata a una firma especiali- zada para realizar la misma. Auditora Informtica Externa

Las empresas recurren a la auditora externa cuando existen: Sntomas de Descoordinacin Sntomas de Mala Imagen Informtica II. Decanato de Administracin y Contadura Sntomas de Debilidades Econmicas Sntomas de Inseguridad Aspectos Fundamentales en la Auditora de los Sistemas de Informacin Informtica II. Decanato de A Auditora Informtica de Desarrollo de Aplicaciones Cada una de las fases del desarrollo de las nuevas Auditora de los Datos de Entrada Se analizar la captura de la informacin en soporte compatible con Informtica II. Decanato de Administracin y Contadura Auditora Informtica de Sistemas Se audita: Informtica II. Decanato de Administracin y Contadura Tcnicas de Auditora Existen varias tcnicas de Auditora Informtica de Sistemas, entre las cuales se Informtica II. Decanato de Administracin y Contadura Tcnicas de Auditora (Continuacin) Auditora para el Computador: Permite determinar
si el uso de los equipos de computacin es el idneo. Mediante esta tcnica, se detectan equipos sobre y subutilizados.

Prueba de Minicompaa: Revisiones peridicas

que se realizan a los Sistemas a fin de determinar nuevas necesidades.

Informtica II. Decanato de Administracin y Contadura Peligros Informticos Incendios: Los recursos informticos son
muy sensibles a los incendios, como por ejemplo reportes impresos, cintas, discos.

Inundaciones: Se recomienda que el Departamento

de computacin se encuentre en un nivel alto. La Planta Baja y el Stano son lugares propensos a las inundaciones.

Robos: Fuga de la informacin confidencial de la

empresa.

Fraudes: Modificaciones de los datos dependiendo

de intereses particulares.

Informtica II. Decanato de Administracin y Contadura Medidas de Contingencia Mecanismos utilizados para contrarrestar la prdida o daos de la informaci Copias de Seguridad Las copias pueden ser totales o parciales y la fre- cuencia vara dependiendo de l Medidas de Proteccin Medidas utilizadas para garantizar la Seguridad Fsica de los Datos. Aquellos eq Medidas de Control y Seguridad Mecanismos utilizados para garantizar la Seguridad Lgica de los Dato La Auditora Informtica es una parte integrante de la auditora. Se preguntar por que se estudia por Para clarificar an ms la lmina, diremos entonces que la Auditora Informtica es el proceso de revis a). Tecnolgicos. b). Personal. c). Software d). Procedimientos. que se utilizan en los Sistemas de Informacin manejados en la empresa. En este sentido, se deben revisar y evaluar si se han desarrollado e implementados controles apropiad La auditora Informtica va mucho ms all de la simple deteccin de errores. Si bien es cierto que la Bsicamente, el objetivo principal de la auditora informtica es garantizar la operatividad de los proce Ya puede ir formndose una idea entonces de la importancia que tiene la Auditora Informtica (si no Tal como se mencion anteriormente su importancia radica en el hecho de garantizar la operatividad d Tal como lo pudo apreciar, las definiciones anteriores son muy sencillas y no dejan lugar a ninguna du La auditora Interna ofrece algunas ventajas en relacin a la externa, en primer lugar es menos costos Con este tipo de auditora existe menor margen de error, puesto que las personas que se encargan de

Si bien es cierto que la Auditora Interna es menos costosa, es una buena prctica para las empresas, Hasta estos momentos se ha mencionado un poco lo que es la Auditora Informtica, cuales son sus o Existen dos enfoques bsicos para la Auditoria de Sistemas de Informacin, conocidos como: Auditoria Auditoria Alrededor del Computador: La cual comprende la verificacin tanto de los datos de entrada c Auditoria a Travs del Computador: Comprende la verificacin de la integridad del software utilizado, Una de las actividades que ms dolores de cabeza trae a las organizaciones es el desarrollo de los nue En este sentido, la auditora debe verificar que se cumplan a cabalidad cada una de las fases del desa La materia prima para la generacin de la informacin son los datos de entrada, es por ello que todo p Por ejemplo, para un banco el origen de los datos lo representan las planillas de depsito, retiro, entre Otro hecho importante de la Auditoria de los datos de entrada, es que puede ser utilizado como un me Es por ello que todas las organizaciones deben contar con mecanismos apropiados que permitan audit Al igual que ocurre con los datos de entrada, se deben revisar peridicamente las herramientas inform Toda empresa debe poseer software actualizado y con licencia de uso; el Sistema Operativo no escapa Del mismo modo se debe auditar la red informtica instalada, entre otras cosas para observar su rend Y la Auditora de las aplicaciones?. Pues la exposicin se detallar en las lminas subsiguientes. La prueba de un Sistema es una tarea un poco ms compleja de lo que realmente parece ser. La mism Datos de Excepcin: Aquellos que rompen con la regla establecida. Se deben incluir dichos datos a fin Datos Ilgicos: Son datos que no tienen ningn sentido. Se incluyen dentro de la prueba a fin de dete Datos Errneos: Son aquellos que no estn acordes con la realidad. El sistema no est en capacidad d Auditora para el Computador Es importante determinar el uso de las computadoras. Esto a fin de verificar que no existan computad La aplicacin de dicha tcnica no reviste de mayor complicacin, lo que se hace es anotar la configura Usted pensar perfecto, estos son los peligros que existen, por lo que he ledo creo que la Auditoria p Pero sigo sin entender que tiene que ver todo esto, es muy simple: lo que se busca es crear concien Dentro de las empresas deben existir mecanismos de contingencias que permitan garantizar la contin Al igual que otras cosas, la informacin puede tener daos, los cuales pueden obedecer a causas accid Como se mencion anteriormente, las copias de seguridad ofrecen una contingencia en caso de prdid Independientemente de la frecuencia con la cual se haga, es recomendable tener como mnimo dos (2 Deben existir medidas que impidan la prdida de informacin, ocasionada por averas en los equipos ( Una de las principales causales de prdida de informacin, son las bajas de energa. Es por ello que de Recuerda los peligros que existen?. Las inundaciones?, es por ello que el Departamento de Computa Uno de los mayores peligros dentro de las empresas son los Fraudes Informticos (muy comunes hoy El mayor riesgo existe en los Sistemas Multiusuarios, puesto que pueden se manejados por varias per En este sentido, se debe tener un control de los usuarios que entran al sistema (existen muchos sistem

PLANEACIN DE LA AUDITORA EN INFORMTICA Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la

evision Preliminar Auditoria Informatica

En esta fase el auditor debe de armarse de un conocimiento amplio del rea que va a auditar, los obje Es de tomarse en cuenta que el propietario de dicha empresa, ordena una auditoria cuando siente que

evision Preliminar Auditoria Informatica En esta fase el auditor debe de armarse de un conocimiento amplio del rea que va a auditar, los obje

Es de tomarse en cuenta que el propietario de dicha empresa, ordena una auditoria cuando siente que

evision Detallada Auditoria Informatica

Los objetos de la fase detallada son los de obtener la informacion nesesaria para que el auditor tenga El auditor debe de decidir se debe continuar elaborando pruevas de consentimeinto, con la esperanza

Examen Evaluacion Informacion

Es el examen crtico y sistemtico que hace un Contador Pblico para evaluar el sistema de procesam El examen de los objetivos de la auditora, sus normas, procedimientos y sus relaciones con el concep Recreando programas de auditora por computador, el auditor cubre una actividad ms grande de la u Al evaluar la informacin automtica, el auditor debe revisar varios documentos, como diagramas de f Para ayudar en la revisin de los sistemas de procesamiento de datos y los controles internos, en ocas Una parte significativa del sistema de control interno est comprendida en el programa de la computa El volumen de registros que quizs sea ms econmico y efectivo usar mtodos de datos de prueba, e

Pruebas Controles De Usuario

pruebas de Comportamiento El objetivo de esta fase es comprobar que los controles internos funcionan como lo deben de hacer, es Al final de la fase, el auditor puede decidir evaluar de nuevo el sistema de controles internos, de acu El procedimiento de evaluacin y la eleccin de nuevos procedimientos de auditoria son los mismos Prueba y Evaluacin de los Controles del Usuario El auditor puede decidir que no hace falta confiar en los controles internos porque existen controles de

Pruebas Sustantivas

El objetivo de las pruebas sustantivas es obtner evidencia suficiente que permita al auditor emitir su j se peden identificar 8 diferentes pruebas sustantivas: 1 pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. 2 prueba para asegurar la calidad de los datos. 3 pruebas para identificar la inconsistencia de datos. 4 prueba para comparar con los datos o contadores fisicos. 5 confirmacion de datos con fuentes externas 6 pruebas para confirmar la adecuada comunicacion. 7 prueba para determinar falta de seguridad. 8 pruebas para determinar problemas de legalidad.

aluacion Sistemas De Acuerdo Al Riesgo

Riesgo Proximidad o posibilidad de un dao, peligro, etc. Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro. Sinnimos: amenaza, contingencia, emergencia, urgencia, apuro. Seguridad

Cualidad o estado de seguro Garanta o conjunto de garantas que se da a alguien sobre el cumplimiento de algo. Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administracin estat Se dice tambin de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer ms s Consideraciones Inmediatas para la Auditora de la Seguridad A continuacin se citarn las consideraciones inmediatas que se deben tener para elaborar la evaluaci Uso de la Computadora Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a: - tiempo de mquina para uso ajeno - copia de programas de la organizacin para fines de comercializacin (copia pirata) - acceso directo o telefnico a bases de datos con fines fraudulentos Sistema de Acceso Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computad - nivel de seguridad de acceso - empleo de las claves de acceso - evaluar la seguridad contemplando la relacin costo, ya que a mayor tecnologa de acceso mayor co Cantidad y Tipo de Informacin El tipo y la cantidad de informacin que se introduce en las computadoras debe considerarse como un - la informacin este en manos de algunas personas - la alta dependencia en caso de perdida de datos Control de Programacin Se debe tener conocer que el delito ms comn est presente en el momento de la programacin, ya - los programas no contengan bombas lgicas - los programas deben contar con fuentes y sus ultimas actualizaciones - los programas deben contar con documentacin tcnica, operativa y de emergencia Personal Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que estn ligadas - la dependencia del sistema a nivel operativo y tcnico - evaluacin del grado de capacitacin operativa y tcnica - contemplar la cantidad de personas con acceso operativo y administrativo - conocer la capacitacin del personal en situaciones de emergencia Medios de Control Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o u Rasgos del Personal Se debe ver muy cuidadosamente el carcter del personal relacionado con el sistema, ya que pueden - malos manejos de administracin - malos manejos por negligencia - malos manejos por ataques deliberados Instalaciones Es muy importante no olvidar las instalaciones fsicas y de servicios, que significan un alto grado de ri - la continuidad del flujo elctrico - efectos del flujo elctrico sobre el software y hardware - evaluar las conexiones con los sistemas elctrico, telefnico, cable, etc. - verificar si existen un diseo, especificacin tcnica, manual o algn tipo de documentacin sobre la Control de Residuos Observar como se maneja la basura de los departamentos de mayor importancia, donde se almacena Establecer las Areas y Grados de Riesgo Es muy importante el crear una conciencia en los usuarios de la organizacin sobre el riesgo que corre Establecer el Costo del Sistema de Seguridad (Anlisis Costo vs Beneficio) Este estudio se realiza considerando el costo que se presenta cuando se pierde la informacin vs el co

Para realizar este estudio se debe considerar lo siguiente: - clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) - identificar las aplicaciones que tengan alto riesgo - cuantificar el impacto en el caso de suspensin del servicio aquellas aplicaciones con un alto riesgo - formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera - la justificacin del costo de implantar las medidas de seguridad Costo x perdida Costo del de informacin sistema de seguridad Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar estos elementos en Riesgo Computacional Se debe evaluar las aplicaciones y la dependencia del sistema de informacin, para lo cual es importan 1. Qu sucedera si no se puede utilizar el sistema? Si el sistema depende de la aplicacin por comple - Un sistema de reservacin de boletos que dependa por completo de un sistema computarizado, es u - Una lista de clientes ser de menor riesgo. - Un sistema de contabilidad fuera del tiempo de balance ser de mucho menor riesgo. 2. Qu consecuencias traera si es que no se pudiera acceder al sistema? Al considerar esta pregunta 3. Existe un procedimiento alternativo y que problemas ocasionara? Se debe verificar si el sistema e 4. Qu se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe con - Que exista un sistema paralelo al menos manual - Si hay sistemas duplicados en las reas crticas (tarjetas de red, teclados, monitores, servidores, un - Si hay sistemas de energa ininterrumpida UPS. - Si las instalaciones elctricas, telefnicas y de red son adecuadas (se debe contar con el criterio de u Conclusin Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas p Consideracin y Cuantificacin del Riesgo a Nivel Institucional (importante) Ahora que se han establecido los riesgos dentro la organizacin, se debe evaluar su impacto a nivel in - Clasificar la informacin y los programas de soporte en cuanto a su disponibilidad y recuperacin. - Identificar la informacin que tenga un alto costo financiero en caso de perdida o pueda tener impac - Determinar la informacin que tenga un papel de prioridad en la organizacin a tal punto que no pue Una vez determinada esta informacin se la debe CUANTIFICAR, para lo cual se debe efectuar entrevi Disposiciones que Acompaan la Seguridad De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organizacin, desde el punto de v - Obtener una especificacin de las aplicaciones, los programas y archivos de datos. - Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios para cada c - Prioridades en cuanto a acciones de seguridad de corto y largo plazo. - Verificar el tipo de acceso que tiene las diferentes personas de la organizacin, cuidar que los progra - Que los operadores no sean los nicos en resolver los problemas que se presentan. Higiene Otro aspecto que parece de menor importancia es el de orden e higiene, que debe observarse con mu Ademas es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel formal como informal Cultura Personal Cuando hablamos de informacin, su riesgo y su seguridad, siempre se debe considerar al elemento h Conclusin El fin de este punto es encontrar y evitar posibles situaciones de roce entre el recurso humano y la org Consideraciones para Elaborar un Sistema de Seguridad Integral Como hablamos de realizar la evaluacin de la seguridad es importante tambin conocer como desarr Desarrollar un sistema de seguridad significa: planear, organizar coordinar dirigir y controlar las activ Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad. Sistema Integral de Seguridad Un sistema integral debe contemplar:

- Definir elementos administrativos - Definir polticas de seguridad - A nivel departamental - A nivel institucional - Organizar y dividir las responsabilidades - Contemplar la seguridad fsica contra catstrofes (incendios, terremotos, inundaciones, etc.) - Definir prcticas de seguridad para el personal: - Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como extinguidores. - Nmeros telefnicos de emergencia - Definir el tipo de plizas de seguros - Definir elementos tcnicos de procedimientos - Definir las necesidades de sistemas de seguridad para: - Hardware y software - Flujo de energa - Cableados locales y externos - Aplicacin de los sistemas de seguridad incluyendo datos y archivos - Planificacin de los papeles de los auditores internos y externos - Planificacin de programas de desastre y sus pruebas (simulacin) - Planificacin de equipos de contingencia con carcter peridico - Control de desechos de los nodos importantes del sistema: - Poltica de destruccin de basura copias, fotocopias, etc. - Consideracin de las normas ISO 14000 Etapas para Implementar un Sistema de Seguridad Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguien Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad. Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la informacin en la organiz Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando: Plan de Seguridad Ideal (o Normativo) Un plan de seguridad para un sistema de seguridad integral debe contemplar: - El plan de seguridad debe asegurar la integridad y exactitud de los datos - Debe permitir identificar la informacin que es confidencial - Debe contemplar reas de uso exclusivo - Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos a - Debe asegurar la capacidad de la organizacin para sobrevivir accidentes - Debe proteger a los empleados contra tentaciones o sospechas innecesarias - Debe contemplar la administracin contra acusaciones por imprudencia Un punto de partida ser conocer como ser la seguridad, de acuerdo a la siguiente ecuacin.
Riesgo

SEGURIDAD = --------------------------------------------Medidas preventivas y correctivas

Donde: Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc) Medidas pre.. (polticas, sistemas de seguridad, planes de emergencia, plan de resguardo, seguridad d Consideraciones para con el Personal Es de gran importancia la elaboracin del plan considerando el personal, pues se debe llevar a una con Asumir riesgos Cumplir promesas Innovar Para apoyar estos objetivos se debe cumplir los siguientes pasos: Motivar

Se debe desarrollar mtodos de participacin reflexionando sobre lo que significa la seguridad y el ries Capacitacin General En un principio a los ejecutivos con el fin de que conozcan y entiendan la relacin entre seguridad, rie Capacitacin de Tcnicos Se debe formar tcnicos encargados de mantener la seguridad como parte de su trabajo y que est ca tica y Cultura Se debe establecer un mtodo de educacin estimulando el cultivo de elevados principios morales, qu De ser posible realizar conferencias peridicas sobre: doctrina, familia, educacin sexual, relaciones h Etapas para Implantar un Sistema de Seguridad en Marcha Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y acepten la 1. Introducir el tema de seguridad en la visin de la empresa. 2. Definir los procesos de flujo de informacin y sus riesgos en cuanto a todos los recursos participant 3. Capacitar a los gerentes y directivos, contemplando el enfoque global. 4. Designar y capacitar supervisores de rea. 5. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras relativamente rpidas. 6. Mejorar las comunicaciones internas. 7. Identificar claramente las reas de mayor riesgo corporativo y trabajar con ellas planteando solucio 8. Capacitar a todos los trabajadores en los elementos bsicos de seguridad y riesgo para el manejo d Beneficios de un Sistema de Seguridad Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organizacin tr Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los RR.HH.

stigacion Preliminar Auditoria Informatica

INVESTIGACION PRELIMINIAR Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la infor Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las re ADMINISTRACIN Se recopila la informacin para obtener una visin general del departamento por medio de observacio Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del rea de informtica Objetivos a corto y largo plazo. Recursos materiales y tecnicos Solicitar documentos sobre los equipos, nmero de ellos, localizacin y caractersticas. Estudios de viabilidad. Nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por instalar y progra Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuracin de los equipos y capacidades actuales y mximas. Planes de expansin. Ubicacin general de los equipos. Polticas de operacin. Polticas de uso de los equipos.

SISTEMAS Descripcin general de los sistemas instalados y de los que estn por instalarse que conten Manual de formas. Manual de procedimientos de los sistemas. Descripcin genrica. Diagramas de entrada, archivos, salida. Salidas. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas. En el momento de hacer la planeacin de la auditora o bien su realizacin, debemos evaluar que pued Se solicita la informacin y se ve que: No tiene y se necesita. No se tiene y no se necesita. Se tiene la informacin pero: No se usa. Es incompleta. No esta actualizada. No es la adecuada. Se usa, est actualizada, es la adecuada y est completa. En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el El xito del anlisis crtico depende de las consideraciones siguientes: Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin fundamento) Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados. rsonal Participante Auditoria Informatica

PERSONAL PARTICIPANTE Una de las partes ms importantes en la planeacin de la auditoria en informtica es el personal que d Aqu no se vera el nmero de persona que debern participar, ya que esto depende de las dimensione Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que Con estas bases debemos considerar los conocimientos, la prctica profesional y la capacitacin que d Primeramente, debemos pensar que hay personal asignado por la organizacin, que debe tener el sufi Este es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un g Tambin se deben contar con personas asignadas por los usuarios para que en el momento que se sol Para complementar el grupo, como colaboradores directos en la realizacin de la auditoria, se deben t Tcnico en informtica. Conocimientos de Admn., contadura y finanzas. Experiencia en el re En el caso de sistemas complejos se deber contar con personal con conocimientos y experiencias en Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias sealadas, p Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de presenta la carta La carta convenio es un compromiso que el auditor dirige a su cliente para su confirmacin de aceptac

constituyen el marco de referencia para su evaluacin.

aplicacin.

esos y estos en subprocesos. La importancia de las transacciones deber ser asignada con los administradores.

n del funcionamiento y recorrido de los procesos.

vacin de los recursos en su ambiente real de funcionamiento.

uego la identificacin de los controles deben contener una codificacin la cual identifique el grupo al cual pertenec Rie) identificado. Para cada tema debe establecerse uno o ms controles.

or identific como necesarios proveen una proteccin adecuada de los recursos.

as de compromiso de la reas.

Sistema de Informacin

ebilidades Econmicas

nformtica II. Decanato de Administracin y Contadura del desarrollo de las nuevas aplicaciones informticas deben ser sometidas a un minucioso control, a fin de evita n en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de

Administracin y Contadura Sistema Operativo: Verificar si la versin instalada permite el total funcionamiento Sistemas, entre las cuales se mencionan: Lotes de Prueba: Transacciones simuladas que se introducen al Sistem

rmite determinar

da o daos de la informacin, bien sea intencionales o accidentales. La ms utilizada es la Copia de Seguridad ( encia vara dependiendo de la importancia de la informacin que se genere. Backup Se recomienda tener como m ca de los Datos. Aquellos equipos en donde se genera informacin crtica, deben tener un UPS. De igual forma, e Seguridad Lgica de los Datos. En los Sistemas Multiusuarios se deben restringir el acceso a la Informacin, med ntar por que se estudia por separado, pues simplemente para abordar problemas ms especficos y para aprove mtica es el proceso de revisin y evaluacin de los controles y medidas de seguridad que se aplican a los recurs

ados en la empresa. mentados controles apropiados y adecuados en los sistemas de informacin. res. Si bien es cierto que la Auditora es un proceso que permite detectar fallas, es menester de la auditora, el p la operatividad de los procesos informticos. En otras palabras, ofrecer la continuidad los procesos de generaci Auditora Informtica (si no es as, le parece poco el hecho de que permita mantener operativo todos los proces garantizar la operatividad de los procesos informticos. Del mismo modo, la Auditora es compatible con la calid no dejan lugar a ninguna duda. Sin embargo, consideramos prudente ampliar nuestra exposicin y ofrecerle algo rimer lugar es menos costosa, puesto que se realiza con el mismo personal, y por otro lado, no se corre el riesgo ersonas que se encargan de realizarla son especialistas en el rea. Entonces, deben ser pocos los errores que se

prctica para las empresas, realizar Auditoras Externas peridicamente. Sin embargo, existen algunas razones p nformtica, cuales son sus objetivos y su importancia dentro de las organizaciones. Consideramos que ya tiene la n, conocidos como: Auditoria Alrededor del Computador y Auditoria a travs del Computador. to de los datos de entrada como de salida, sin evaluar el software que proces los datos. Aunque es muy sencill idad del software utilizado, as como tambin los datos de entrada y la salida generada tanto por las redes y sist s es el desarrollo de los nuevos sistemas informticos. Existen muchas razones para tantos inconvenientes, entr da una de las fases del desarrollo del sistema. Se deben chequear los instrumentos y mtodos empleados para la trada, es por ello que todo proceso de auditoria informtica debe contemplar el estudio de los mismos. Bajo esta las de depsito, retiro, entre otras. Si se lleva un control de dichos documentos es fcil auditar lo que tiene el sis de ser utilizado como un mecanismo para determinar fraudes informticos. Cmo cree usted que se puede dete ropiados que permitan auditar los datos de entrada.de los sistemas informticos. ente las herramientas informticas que se utilizan dentro de la firma, a fin de verificar que se adecuen a las nece Sistema Operativo no escapa de dicha situacin. En este sentido, es conveniente que se cuente con una versin q cosas para observar su rendimiento (velocidad), la seguridad que ofrece (gran parte de los fraudes obedecen a l minas subsiguientes. almente parece ser. La misma no se limita exclusivamente a introducir algunos datos al Sistema a fin de verifica en incluir dichos datos a fin de determinar si el sistema contempla las excepciones. o de la prueba a fin de determinar si el sistema posee los mecanismo de validacin adecuados que impidan el pr ema no est en capacidad de determinar si un dato esta correcto o no. Sencillamente, se introducen este tipo de

ar que no existan computadores sobre o subutilizados. Por ejemplo, suponga el caso de un computador con la co hace es anotar la configuracin del equipo y las actividades que se realizan en l, a fin de determinar si tal conf ledo creo que la Auditoria pude ayudar a evitar los robos y fraudes informtico, pero un incendio o una inunda e se busca es crear conciencia, de los peligros que existen, que ninguna organizacin est exenta de ellos y que ermitan garantizar la continuidad de los procesos que en ella se realizan. Dentro de la informtica tal aspecto no den obedecer a causas accidentales (tales como errores en la trascripcin de datos, ejecucin de procesos inade ntingencia en caso de prdidas de informacin. La frecuencia con la cual deben hacerse dichas copias va a depen e tener como mnimo dos (2) copias de seguridad, una permanecer dentro de la empresa y la otra fuera de ella por averas en los equipos (Seguridad Fsica). Si bien es cierto que los computadores no estn exentos de sufrir e energa. Es por ello que deben estar conectados a un UPS todos los equipos en donde se genere informacin cr l Departamento de Computacin debe estar ubicados en las zonas ms altas del edificio, puesto que tanto los s mticos (muy comunes hoy en da), es por ello que se disean medidas que permitan garantizar la integridad de e manejados por varias personas concurrentemente. En dichos sistemas no todas las personas pueden acceder tema (existen muchos sistemas operativos que lo hacen de manera automtica), es por ello que no se debe divu

ue seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del o

formacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer u

ea que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y persona auditoria cuando siente que un rea tiene una falla o simplemente no trabaja productivamente como se sugiere

ea que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y persona

auditoria cuando siente que un rea tiene una falla o simplemente no trabaja productivamente como se sugiere

a para que el auditor tenga un profundo entendimento de los controles usados dentro del area de informatica. ntimeinto, con la esperanza de obtener mayor confianza por medio del sistema de controlinterno, o proceder dire

uar el sistema de procesamiento electrnico de datos y sus resultados, el cual, le ofrece al auditor las oportunida sus relaciones con el concepto de la existencia y evaluacin, nos lleva a la conclusin de que el papel del comput ctividad ms grande de la utilidad mercantil tanto financiera como operacional; y puede utilizar recursos para an entos, como diagramas de flujo y documentos de programacin, para lograr un mejor entendimiento del sistema s controles internos, en ocasiones de suma utilidad los cuestionarios para obtener informacin respecto al sistem el programa de la computadora. Existen baches en la ruta de auditora, haciendo difcil e poco prctico obtener todos de datos de prueba, en vez de mtodos de prueba manual.

como lo deben de hacer, es decir, que los controles que se supona que existan, existen realmente y funcionan e controles internos, de acuerdo con la fiabilidad que han mostrado los controles individuales. e auditoria son los mismos que los de las fases anteriores.

porque existen controles del usuario que los sustituyen o compensan. Para un auditor externo, revisar estos con

ermita al auditor emitir su juicio en las concluciones acerca de cuando pueden ocurrir perdidad materiales duran

dad o confidencialidad.

ir un seguro.

o de algo. , de la administracin estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trab e contribuyen a hacer ms seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturn de segu

er para elaborar la evaluacin de la seguridad, pero luego se tratarn las reas especficas con mucho mayor de

uede ser susceptible a:

pia pirata)

los accesos a las computadoras de acuerdo a:

nologa de acceso mayor costo

debe considerarse como un factor de alto riesgo ya que podran producir que:

nto de la programacin, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que:

emergencia

personas que estn ligadas al sistema de informacin de forma directa y se deber contemplar principalmente:

do se produce un cambio o un fraude en el sistema. Tambin se debe observar con detalle el sistema ya que pod el sistema, ya que pueden surgir:

ignifican un alto grado de riesgo. Para lo cual se debe verificar:

de documentacin sobre las instalaciones

rtancia, donde se almacena y quien la maneja.

n sobre el riesgo que corre la informacin y hacerles comprender que la seguridad es parte de su trabajo. Para

erde la informacin vs el costo de un sistema de seguridad.

aciones con un alto riesgo eguridad que se requiera

clasificar estos elementos en reas de riesgo que pueden ser:

in, para lo cual es importante considerar responder las siguientes cuatro preguntas: e de la aplicacin por completo se debe definir el nivel de riesgo. Por ejemplo citemos: istema computarizado, es un sistema de alto riesgo.

menor riesgo. Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algn mod ebe verificar si el sistema es nico o es que existe otro sistema tambin computarizado de apoyo menor. Ejemp esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimient

s, monitores, servidores, unidades de disco, aire acondicionado).

be contar con el criterio de un experto). - Si se cuenta con un mtodo de respaldo y su manual administrativo.

sistemas con las medidas preventivas que se deben tomar y las correctivas en casi de desastre, sealando la pr

valuar su impacto a nivel institucional, para lo cual se debe: onibilidad y recuperacin. erdida o pueda tener impacto a nivel ejecutivo o gerencial. acin a tal punto que no pueda sobrevivir sin ella. ual se debe efectuar entrevistas con los altos niveles administrativos que sean afectados por la suspensin en el

zacin, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de accin para ll

anes necesarios para cada caso.

acin, cuidar que los programadores no cuenten con acceso a la seccin de operacin ni viceversa. presentan.

ue debe observarse con mucho cuidado en las reas involucradas de la organizacin (centro de computo y dem nivel formal como informal.

be considerar al elemento humano, ya que podra definir la existencia o no de los ms altos grados de riesgo. Po

e el recurso humano y la organizacin y lograr una mejor comunicacin entre ambos.

mbin conocer como desarrollar y ejecutar el implantar un sistema de seguridad. ar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos impl seguridad.

inundaciones, etc.) como extinguidores.

debe considerar los siguientes puntos:

a informacin en la organizacin a nivel software, hardware, recursos humanos, y ambientales. e contemplando:

ano del hombre y los actos abiertamente hostiles

siguiente ecuacin.

n de resguardo, seguridad de personal, etc)

ues se debe llevar a una conciencia para obtener una autoevaluacin de su comportamiento con respecto al siste

gnifica la seguridad y el riesgo, as como su impacto a nivel empresarial, de cargo y individual.

elacin entre seguridad, riesgo y la informacin, y su impacto en la empresa. El objetivo de este punto es que se

de su trabajo y que est capacitado para capacitar a otras personas en lo que es la ejecucin de medidas preve

ados principios morales, que tengan repercusin a nivel personal e institucional. ucacin sexual, relaciones humanas, etc.

r y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben

dos los recursos participantes.

relativamente rpidas.

con ellas planteando soluciones de alto nivel. ad y riesgo para el manejo del software, hardware y con respecto a la seguridad fsica. ya que el la organizacin trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos:

rganizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. acin de cada una de las reas basndose en los siguientes puntos:

nto por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo vel del rea de informtica

actersticas.

ados y por instalar y programados)

n por instalarse que contengan volmenes de informacin.

, debemos evaluar que pueden presentarse las siguientes situaciones.

que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerd

nformacin sin fundamento)

rmtica es el personal que deber participar, ya que se debe contar con un equipo seleccionado y con ciertas ca depende de las dimensiones de la organizacin, de los sistemas y de los equipos, lo que se deber considerar so ntrol es que el personal que intervenga este debidamente capacitado, que tenga un alto sentido de moralidad, al onal y la capacitacin que debe tener el personal que intervendr en la auditoria. acin, que debe tener el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionarnos toda direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a au e en el momento que se solicite informacin, o bien se efecte alguna entrevista de comprobacin de hiptesis, n de la auditoria, se deben tener personas con las siguientes caractersticas: nzas. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimiento cimientos y experiencias en reas especficas como base de datos, redes y comunicaciones, etctera. y experiencias sealadas, pero si que deben intervenir una o varias personas con las caractersticas apuntadas. ibilidad de presenta la carta (convenio de servicios profesionales en el caso de auditores externos -) y el plan d su confirmacin de aceptacin. En ella se especifican el objetivo y el alcance de la auditoria, las limitaciones y la

da con los administradores.

que el grupo al cual pertenece el recurso protegido. 4.2.Relacin entre recursos/amenazas/riesgos

ucioso control, a fin de evitar un aumento significativo de los costos, as como tambin insatisfaccin de los usua e tratamientos y entrega de datos; la correcta transmisin de datos entre entornos diferentes. Se verificar que

rmite el total funcionamiento del software que sobre ella se instala, si no es as determinar la causa Software d s que se introducen al Sistema a fin de verificar el funcionamiento del mismo. Entre los datos que se deben inclu

es la Copia de Seguridad (Backup), en la cual se respalda la informa- cin generada en la empresa . Informtic Se recomienda tener como mnimo dos (2) respaldos de la informacin, uno dentro de la empresa y otro fuera de er un UPS. De igual forma, el suministro de corriente elctrica para el rea informtica, debe ser independiente d cceso a la Informacin, mediante un nombre de usuario (login) y una contrasea (password). Del mismo modo, s especficos y para aprovechar los recursos del personal. Sin embargo, es bueno acotar que debe realizarse de d que se aplican a los recursos:

menester de la auditora, el presentar algunas sugerencias que puedan ser aplicadas para evitar de esta manera l ad los procesos de generacin, distribucin, uso y respaldo de informacin dentro de las organizaciones. r operativo todos los procesos relacionados con el manejo de la informacin?). Importancia de la Auditora Inform a es compatible con la calidad, ya que mediante la auditora, se buscan implantar mejoras en busca del perfecc a exposicin y ofrecerle algo ms que una mera definicin. Auditora Interna ro lado, no se corre el riesgo de que personas extraas conozcan la informacin generada dentro de la firma. Sin ser pocos los errores que se detecten y las sugerencias aportadas son muy valiosas. Del mismo modo existe poc

o, existen algunas razones por las cuales una firma debera contratar los servicios de gente especializada. Tales onsideramos que ya tiene la base suficiente para adentrarnos entonces en el estudio de la Auditoria Informtica

atos. Aunque es muy sencillo, no hace el seguimiento de las transacciones ni la exactitud ni integridad del softwa da tanto por las redes y sistemas computacionales. Sin embargo, la auditoria a travs del computador requiere d tantos inconvenientes, entre las que se destaca: una pobre determinacin de los requerimientos (tanto los anal mtodos empleados para la determinacin de los requerimientos, las herramientas que se utilizan para la const dio de los mismos. Bajo esta premisa, es importante llevar un control del origen de los datos que se introducen a cil auditar lo que tiene el sistema contra el soporte fsico (las planillas). Dicho proceso permite entonces detecta ree usted que se puede determinar un retiro no autorizado de una cuenta bancaria?, el cambio de calificaciones

r que se adecuen a las necesidades del negocio. Es importante sealar que dicha revisin no debe limitarse nic se cuente con una versin que permita la evolucin de las aplicaciones, de no ser as determinar las causas de e de los fraudes obedecen a la carencia de seguridad tanto de los Sistemas como de las Redes Informticas) y ver

al Sistema a fin de verificar que arroje el resultado esperado. Va mucho ms all. En primer lugar, la prueba de

decuados que impidan el procesamiento de los mismos. e, se introducen este tipo de datos a fin de verificar si el sistema posee los mecanismos que permitan revertir la

de un computador con la configuracin ms actualizada que est siendo empleado nicamente como terminal d fin de determinar si tal configuracin est acorde con lo que se realiza en l. Con esto se logran varias cosas: pr o un incendio o una inundacin?, no veo como. Si esa es su manera de pensar, pues le diremos que est en lo n est exenta de ellos y que por lo tanto es necesario que existan mecanismos que contrarresten los mismos. Es a informtica tal aspecto no debe variar, es decir, deben estar especificados dichos mecanismos (por ejemplo, co ejecucin de procesos inadecuados) o intencionales (cuando se busca cometer algn fraude). No importa cual se se dichas copias va a depender de acuerdo a la volatilidad de la misma. Por ejemplo, usted puede decir que es s presa y la otra fuera de ella. As en caso de que se pierda la informacin se pueda acceder a la copia que est d s no estn exentos de sufrir algn desperfecto (es por ello que existen las copias de seguridad), es recomendable de se genere informacin crtica. Un UPS es un dispositivo (parecido a un regulador de voltaje) que ofrece corrie cio, puesto que tanto los stanos como los primeros pisos son los ms propensos a inundarse. n garantizar la integridad de la informacin y que la misma est acorde con la realidad (Seguridad Lgica). s personas pueden acceder a la misma informacin (no todos pueden manipular la nmina de la empresa). para por ello que no se debe divulgar el nombre de usuario a otras personas. Por ejemplo, suponga que Marta Gonzl

rsticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditora e

Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear e

dejar sus equipos y personal que lo opera sin trabajar porque esto le genera perdidas sustanciosas), herramienta ctivamente como se sugiere, por esta razn habr puntos claves que se nos instruya sean revisados, hay que rec

dejar sus equipos y personal que lo opera sin trabajar porque esto le genera perdidas sustanciosas), herramienta

ctivamente como se sugiere, por esta razn habr puntos claves que se nos instruya sean revisados, hay que rec

o del area de informatica. ntrolinterno, o proceder directamente a a revision con los usuarios (pruevas compensatorias) o a las pruevas su

ece al auditor las oportunidades de llevar a cabo un trabajo ms selectivo y de mayor penetracin sobre las activ de que el papel del computador afecta significativamente las tcnicas a aplicar. Mediante una revisin adecuada ede utilizar recursos para analizar y evaluar campos de problemas de evaluacin en las operaciones del cliente. T or entendimiento del sistema y los controles que se disearon en l. En el sistema de procesamiento electrnico ormacin respecto al sistema. Una vez obtenida la informacin, el auditor debe proceder a obtener evidencias de cil e poco prctico obtener resultados o verificar clculos. Esta situacin es posible tanto en aplicaciones sencilla

sten realmente y funcionan bien. Las tcnicas utilizadas, adems de la recogida manual de evidencias ya descrit

or externo, revisar estos controles del usuario puede resultar ms costoso que revisar los controles internos. Par

r perdidad materiales durante el proceso de la informacion.

as y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilac seguridad, cinturn de seguridad.

cficas con mucho mayor detalle.

ual se debe controlar que:

ontemplar principalmente:

etalle el sistema ya que podra generar indicadores que pueden actuar como elementos de auditora inmediata, a

es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la funcin informtica y

ra emergencias o algn modo de cmo se soluciono este problema en el pasado. ado de apoyo menor. Ejemplo: S el sistema principal esta diseado para trabajar en red sea tipo WAN quiz hay e rescatar los acontecimientos, las consecuencias y las soluciones tomadas, considerando:

su manual administrativo.

de desastre, sealando la prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistem

dos por la suspensin en el procesamiento y que cuantifiquen el impacto que podran causar estas situaciones.

es o cursos de accin para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe con

n ni viceversa.

(centro de computo y dems dependencias), pues esto ayudar a detectar problemas de disciplina y posibles fa

s altos grados de riesgo. Por lo cual es muy importante considerar la idiosincrasia del personal, al menos de los

d fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa.

mbientales.

amiento con respecto al sistema, que lleve a la persona a:

individual.

tivo de este punto es que se podrn detectar las debilidades y potencialidades de la organizacin frente al riesgo

ejecucin de medidas preventivas y correctivas.

tema de seguridad se deben seguir los siguiente 8 pasos:

los siguientes puntos:

ltima actualizacin.

para poder definir el objetivo y alcances del departamento.

dar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la

eleccionado y con ciertas caractersticas que puedan ayudar a llevar la auditoria de manera correcta y en el tiem que se deber considerar son exactamente las caractersticas que debe cumplir cada uno del personal que habr alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense

oria, proporcionarnos toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. arias personas del rea a auditar, ser casi imposible obtener informacin en el momento y con las caracterstica comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisc

e sistemas. Conocimientos y experiencias en psicologa industrial. Conocimientos de los sistemas operativos ciones, etctera. s caractersticas apuntadas. tores externos -) y el plan de trabajo. uditoria, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y los informes que se han de e

nazas/riesgos

n insatisfaccin de los usuarios. Informtica II. Decanato de Administracin y Contadura iferentes. Se verificar que los controles de integridad y calidad de datos se realizan de acuerdo a las Normas es

minar la causa Software de Aplicacin: Determinar el uso de las aplicaciones instaladas. Comunicaciones: Ve os datos que se deben incluir en una prueba se tienen: Datos de Excepcin. Datos Ilgicos. Transacciones

a en la empresa . Informtica II. Decanato de Administracin y Contadura e la empresa y otro fuera de sta (preferiblemente en un Banco en Caja Fuerte). Informtica II. Decanato de Ad a, debe ser independiente del resto de las reas. Informtica II. Decanato de Administracin y Contadura ssword). Del mismo modo, se debe restringir el acceso a los Sistemas en horas no laborables salvo casos excepc cotar que debe realizarse dentro de un marco de auditora general.

para evitar de esta manera la repeticin de las mismas en un futuro. las organizaciones. rtancia de la Auditora Informtica ejoras en busca del perfeccionamiento de los procesos, incorporando nuevas tcnicas y tecnologas.

erada dentro de la firma. Sin embargo, tiene sus limitaciones, entre las cuales se mencionan: la poca especializa Del mismo modo existe poco margen de encubrimiento, ya que son personas ajenas a la firma.

e gente especializada. Tales razones son las mostradas en la lmina, las cuales explicaremos con ms detalle a c de la Auditoria Informtica.

itud ni integridad del software utilizado. Es por ello, que se recomienda como un complemento de otros mtodos s del computador requiere de un conocimiento tanto de las redes como del desarrollo de software. querimientos (tanto los analistas como los usuarios, que en muchas oportunidades asumen cosas que el otro no que se utilizan para la construccin del sistema, evaluar el prototipo que va a ser mostrado a los usuarios y verif os datos que se introducen al sistema y en la medida de lo posible, el responsable de la introduccin de los mism o permite entonces detectar errores de trascripcin de datos al Sistema. el cambio de calificaciones de un estudiante?.

isin no debe limitarse nicamente al hardware, por el contrario, se debe incluir tambin la revisin tanto del so determinar las causas de ello. Por ejemplo en el caso especfico del Sistema Operativo Windows, es inusual que as Redes Informticas) y verificar que se cumplan con las polticas y estndares establecidos para la red.

n primer lugar, la prueba del Sistema no debe ser efectuada por los programadores, ya que stos conocen los t

mos que permitan revertir la transaccin.

nicamente como terminal del sistema de facturacin de la empresa, por supuesto, es fcil deducir que no se est o se logran varias cosas: primero, se determinan los equipos candidatos a ser sustituidos o repotenciados y segu s le diremos que est en lo cierto. Aqu no le vamos a decir como evitar incendios o inundaciones. Sino ms bien ontrarresten los mismos. Esto es precisamente lo prximo que se va a exponer a continuacin. Respuesta a la P mecanismos (por ejemplo, como realizar un proceso manualmente en caso de que falle el automatizado). En este fraude). No importa cual sea la causa, lo importante en este momento (claro, es importante determinar a que o , usted puede decir que es suficiente realizar las copias de seguridad diariamente, as en caso de ocurrir algn im cceder a la copia que est dentro de la empresa. Y para qu la otra copia?. Recuerde los peligros informticos, l seguridad), es recomendable disear normas para disminuir tales amenazas. de voltaje) que ofrece corriente alterna por un perodo de tiempo (depende de las especificaciones del equipo, lo nundarse. ad (Seguridad Lgica). mina de la empresa). para ello se restringe el uso de los Sistemas a travs de nombres de usuarios y contrase , suponga que Marta Gonzlez tiene asignado el nombre de usuario mgonz128a y su amigo Marcelo Alvarez le pi

En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto

, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y doc

s sustanciosas), herramientas y conocimientos previos, as como de crear su equipo de auditores expertos en la sean revisados, hay que recordar que las auditorias parten desde un mbito administrativo y no solo desde la p

s sustanciosas), herramientas y conocimientos previos, as como de crear su equipo de auditores expertos en la

sean revisados, hay que recordar que las auditorias parten desde un mbito administrativo y no solo desde la p

satorias) o a las pruevas sustantivas.

r penetracin sobre las actividades, procedimientos que involucran un gran nmero de transacciones. iante una revisin adecuada del sistema de procesamiento electrnico de datos del cliente, y el uso de formatos as operaciones del cliente. Tal mtodo incrementa su aptitud para remitir ptimos servicios a los mismos. La ev procesamiento electrnico de datos, el auditor probablemente, encuentre nuevos controles, algunos de ellos ne eder a obtener evidencias de la existencia y efectividad de los procedimientos para l. anto en aplicaciones sencillas, como en sistemas integrados complejos.

ual de evidencias ya descrita, contemplan el uso del ordenador para verificar los controles.

r los controles internos. Para un auditor interno, es importante hacerlo para eliminar posibles controles duplicad

acidad, maternidad o jubilacin; se financia con aportaciones del Estado, trabajadores y empresarios.

os de auditora inmediata, aunque esta no sea una especificacin del sistema.

an a la funcin informtica y los medios de prevencin que se deben tener, para lo cual se debe:

red sea tipo WAN quiz haya un soporte de apoyo menor como una red LAN o monousuario. En el caso de un sis

stres se trabajen los sistemas de acuerdo a sus prioridades.

n causar estas situaciones.

go. Para lo cual se debe considerar:

s de disciplina y posibles fallas en la seguridad. Tambin podemos ver que la higiene y el orden son factores que

el personal, al menos de los cargos de mayor dependencia o riesgo.

e los activos de la empresa.

organizacin frente al riesgo. Este proceso incluye como prctica necesaria la implantacin la ejecucin de plane

n el caso de que se tenga la informacin pero no se utilice, se debe analizar por que no se usa. En caso de que se

manera correcta y en el tiempo estimado. a uno del personal que habr de participar en la auditoria. se le retribuya o compense justamente por su trabajo.

y entrevistas requeridas. mento y con las caractersticas deseadas. plementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de inform

s de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del rea y caractersticas a a

os informes que se han de entregar.

de acuerdo a las Normas establecidas.

adas. Comunicaciones: Verificar que el uso y el rendimiento de la red sea el ms adecuado . s Ilgicos. Transacciones Errneas

ormtica II. Decanato de Administracin y Contadura istracin y Contadura aborables salvo casos excepcionales. Informtica II. Decanato de Administracin y Contadura

s y tecnologas.

ncionan: la poca especializacin que tienen los integrantes en la materia conlleva al hecho de que se escapen alg a la firma.

aremos con ms detalle a continuacin: Sntomas de Descoordinacin: No coincide el objetivo informtico con e

mplemento de otros mtodos de auditoria. o de software. sumen cosas que el otro no ha dicho), carencia de un prototipo adecuado, una deficiente prueba del sistema y la strado a los usuarios y verificar que se hagan las pruebas al sistema antes de ser implantado. Recuerde: es pref la introduccin de los mismos.

bin la revisin tanto del software instalado como la red informtica existente. ivo Windows, es inusual que se labore con la versin 3.11 para grupos de trabajo, en tal caso, como mnimo Win blecidos para la red.

ya que stos conocen los trucos del sistema, e inconscientemente introducirn datos que no harn fallar a la a

s fcil deducir que no se est aprovechando al mximo las bondades del equipo. Ahora suponga la contrario, es d uidos o repotenciados y segundo, ofrece un mecanismo para una futura de reasignacin de equipos de acuerdo a nundaciones. Sino ms bien de que tome conciencia de las cosas que puede pasar dentro de una empresa. ntinuacin. Respuesta a la Pregunta Anterior: Puede ocasionar molestias a las personas en la reubicacin de equi le el automatizado). En este mdulo nos compete exclusivamente la contingencia de la informacin. ortante determinar a que obedeci el problema) es disponer algn mecanismo que nos permita obtener la inform en caso de ocurrir algn imprevisto, se perder tan solo un da de trabajo. Tal concepcin puede funcionar para e los peligros informticos, los incendios, las inundaciones. En caso de que se incendie el edificio, se perdera el

pecificaciones del equipo, los hay de 5 minutos hasta casi dos horas). De acuerdo a lo anterior, se deduce enton

bres de usuarios y contraseas, as cuando una persona desea utilizar el Sistema debe identificarse (con su nomb amigo Marcelo Alvarez le pide por favor su nombre de usuario, porque necesita hacer algunas cosas con su m

que hacerla desde el punto de vista de los dos objetivos:

to, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. strativo y no solo desde la parte tecnolgica, porque al fin de cuentas hablamos de tiempo y costo de produccin

de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria.

strativo y no solo desde la parte tecnolgica, porque al fin de cuentas hablamos de tiempo y costo de produccin

de transacciones. liente, y el uso de formatos bien diseados para su captura, el auditor puede lograr un mejor conocimiento de lo ervicios a los mismos. La evaluacin de un sistema informtico, estriba primero en la revisin del mismo para ob ntroles, algunos de ellos necesarios para la automatizacin del proceso, y algunos que sustituyen aquellos que e

posibles controles duplicados, bien internos o bien del usuario, para evitar la redundancia.

s y empresarios.

ual se debe:

usuario. En el caso de un sistema de facturacin en red, si esta cae, quiz pudiese trabajar en forma distribuida

y el orden son factores que elevan la moral del recurso humano, evita la acumulacin de desperdicios y limita l

tacin la ejecucin de planes de contingencia y la simulacin de posibles delitos.

no se usa. En caso de que se tenga la informacin, se debe analizar si se usa, si est actualizada, si es la adecua

sta de la direccin de informtica, sino tambin el del usuario del sistema.

del rea y caractersticas a auditar. Conocimientos de los sistemas ms importantes.

hecho de que se escapen algunos detalles dentro del proceso (omisin de deteccin de errores) y por otro lado s

el objetivo informtico con el de la empresa. En este sentido, es recomendable revisar la gestin de la informtic

ente prueba del sistema y la premura con la que se implanta el mismo. plantado. Recuerde: es preferible esperar un poco ms por un sistema probado y ajustado a las necesidades que

n tal caso, como mnimo Windows 98 o Windows NT 4.0.

os que no harn fallar a la aplicacin, razn por la cual se recomienda la designacin de un equipo responsable p

ra suponga la contrario, es decir, que exista un equipo con mediana capacidad en donde se manejen todas las a n de equipos de acuerdo a las necesidades existentes. Que problema coyuntural cree usted que pueda ocurrir entro de una empresa. as en la reubicacin de equipos (una persona con un equipo muy potente pero subutilizado, no estar muy confo la informacin. nos permita obtener la informacin sin errores. Las copias de seguridad nos ofrecen una alternativa para ello, ya epcin puede funcionar para muchas organizaciones, pero no para todas, para un banco sera catastrfico perde ie el edificio, se perdera el original y una copia, pero se tendr acceso a la que est fuera de la empresa. A lo m

o anterior, se deduce entonces su importancia: primero, permite completar transacciones inconclusas en el mom

e identificarse (con su nombre de usuario) y podr manipular nicamente lo que tenga autorizado. er algunas cosas con su mdulo, (Marcelo tiene su usuario asignado, malv287s), pues resulta que ocurri un pr

rollo de la misma.

iniciar la auditoria. empo y costo de produccin, ejercicio de ventas, etc. Es decir, todo aquello que representa un gasto para la emp

iniciar la auditoria.

empo y costo de produccin, ejercicio de ventas, etc. Es decir, todo aquello que representa un gasto para la emp

un mejor conocimiento de los procedimientos para control del cliente. revisin del mismo para obtener un conocimiento de como se dice que funciona, y ponerlo a prueba para acumu ue sustituyen aquellos que en los mtodos manuales se basaron en juicios humanos y la divisin de labores. Muc

abajar en forma distribuida con un mdulo menor monousuario y que tenga la capacidad de que al levantarse la

n de desperdicios y limita las posibilidades de accidentes. (ejm del rastrillo)

actualizada, si es la adecuada y si est completa.

de errores) y por otro lado se corre el riesgo de que se encubran deficiencias. Es factible que dentro del proceso

r la gestin de la informtica a fin de que la misma est en funcin de apoyar al logro de los objetivos. Sntomas

stado a las necesidades que querer implantar en dos das un software que no ayudar en nada a los procesos

de un equipo responsable para las misma. Dicho equipo debe disear una Batera de Prueba, la cual consiste

nde se manejen todas las aplicaciones Office (Word, Excel y Power Point) y se ejecuten algunos Sistemas Inform ree usted que pueda ocurrir al aplicar dicha tcnica?. Piense un poco, de todos modos si no lo logra determinar,

ilizado, no estar muy conforme que le reasignen un equipo de menor potencia).

una alternativa para ello, ya que en caso de que se dae la informacin original, se recurre entonces al respaldo nco sera catastrfico perder la informacin de todas las transacciones de un da, caso contrario ocurre en una o fuera de la empresa. A lo mejor usted dir: qu gracia tiene tener otro respaldo si se quem el edificio de la em

iones inconclusas en el momento del fallo de energa y segundo permite guardar la informacin y apagar el equi

ga autorizado. es resulta que ocurri un problema con dicha informacin a quin reporta el sistema como responsable?. Senci

esenta un gasto para la empresa.

esenta un gasto para la empresa.

onerlo a prueba para acumular evidencias que demuestren como es el funcionamiento en la realidad. y la divisin de labores. Muchos de los controles en ambientes informticos, pueden combinarse en los programa

idad de que al levantarse la red existan mtodos de actualizacin y verificacin automtica.

ctible que dentro del proceso de auditora, las personas no informen de alguna anomala a fin de no perjudicar a

o de los objetivos. Sntomas de Debilidad Econmica: Cuando existe un crecimiento indiscriminado de los costos

ar en nada a los procesos empresariales, por el contrario: entorpecer los mismos. (Cuantas veces no le han

de Prueba, la cual consiste en un conjunto de datos a ser introducidos en el sistema para observar su comportam

en algunos Sistemas Informticos propios de la empresa. Est subutilizado?. s si no lo logra determinar, en dos lminas ms encontrars la respuesta.

ecurre entonces al respaldo el cual contiene la informacin libre de errores. so contrario ocurre en una organizacin donde la informacin no vare con tanta frecuencia, en la cual no tendra se quem el edificio de la empresa?. Suponga que dicho edificio sea de la Sucursal de un Banco, lo ms seguro

nformacin y apagar el equipo con normalidad. De igual forma a fin de disminuir las fallas de energa, debe exist

a como responsable?. Sencillo, al usuario que accedi al Sistema, en este caso mgonz128a que pertenece a Mar

to en la realidad. combinarse en los programas de computadoras con en el proceso manual.

ala a fin de no perjudicar al amigo. Auditora Externa

ndiscriminado de los costos informticos. De igual forma, se contrata un servicio externo para estudiar la factibi

(Cuantas veces no le han dicho en la calle como excusa tenemos problemas con el sistema?).

para observar su comportamiento. Por supuesto los resultados de dichos datos se deben conocer con antelacin

uencia, en la cual no tendra mucho sentido respaldarla diariamente. de un Banco, lo ms seguro que al da siguiente, los clientes estarn preguntando qu pasar con sus ahorros.

fallas de energa, debe existir una toma independiente de corriente para el rea informtica.

z128a que pertenece a Marta Gonzlez. De igual forma, se debe restringir el acceso al Sistema en horas no labo

erno para estudiar la factibilidad de invertir una fuerte suma de dinero en el rea. Sntomas de Mala Imagen: Ex

sistema?).

eben conocer con antelacin a fin de que puedan ser cotejados contra los que arroja el sistema. En toda batera

pasar con sus ahorros. Ahora si le encuentra sentido?. Nota la importancia de la informacin sobre otros ac

al Sistema en horas no laborables, ya que el mayor nmero intento de fraudes ocurre durante dicho perodo (po

ntomas de Mala Imagen: Existe una percepcin poco idnea de los usuarios finales de computadoras en relacin

el sistema. En toda batera de prueba aparte de las transacciones comunes, se debe contar con:

a informacin sobre otros activos?. Un edificio se recupera, la informacin de toda la empresa no.

e durante dicho perodo (por lo general en horas de la madrugada). Con estas medidas estoy 100% seguro que

e computadoras en relacin a la Gestin actual del personal de Informtica. Existen quejas de que los progra

contar con:

empresa no.

das estoy 100% seguro que no existirn fraudes informticos?. No, nadie est exento de sufrir un fraude inform

quejas de que los progra

o de sufrir un fraude informtico, con decirle