Sunteți pe pagina 1din 31

CONCEPTOS GENERALES

1. CONCEPTO DE AUDITORIA

Es el examen practicado por una persona o personas sobre la situación y desenvolvimiento de


una empresa, para otras personas o entidades, con el objeto de detectar fallas e
irregularidades, entregando las posibles soluciones o recomendaciones del caso. No solo trata
del aspecto financiero; incluye las actividades y operaciones que realiza el ente económico.

Las primeras Auditorias fueron practicadas por firmas extrajeras (Price Water House, Peat
Marwik, Artur Andersen).

1.1. OBJETIVO

Asegurar la confiabilidad de información de los Estados Financieros.


Rendir un a opinión a cerca de la razonabilidad de los Estados Financieros.
Servir de guía para la toma de decisiones a la Administración.
Orientar a la Administración en el logro del objetivo (Misión).

1.1.1. COMO LOGRARLO.

Investigando, revisando y evaluando lo que reflejan los Estados Financieros


Comprobando la eficiencia con la cual se realizan las operaciones.
Analizando la efectividad con la que se logran los objetivos por parte de la administración.
Verificando la Existencia y Operatividad de los controles.

En conclusión a través de la Auditoria se informa como ha sido manejada la entidad, como


funcionan sus controles, cumplimiento de funciones por parte de la administración y si los
Estados Financieros reflejan la verdadera situación de la empresa.

1.2. SUSTENTO LEGAL

A) Revisoría Fiscal es la única reglamentada por la Ley. A través del decreto 2373 de
1956, la Revisoría Fiscal se asigna solo a los Contadores Públicos.
B) La Auditoria Interna y Externa no son reglamentadas por la Ley, ellas se fundamentan
en la Ley 145/60, Ley 45/90 y otros decretos, además del código de Ética Ley 43.
C) La Ley 87 de Nov-29-1993 reglamenta “Las oficinas de coordinación del Control
Interno, son las encargadas de medir, evaluar la eficiencia, eficacia y economía de los
demás controles, asesorando a la dirección en la continuidad del proceso
administrativo, la revalidación de los planes establecidos; y en la introducción de los
correctivos necesarios para el cumplimiento de las metas y objetivos previstos”.

1.3. NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS.

Hace referencia a las cualidades profesionales del Contador Publico, que de acuerdo a su buen
juicio le permiten ejecutar su examen y emitir un informe del mismo.

1.3.1. PERSONALES.

El examen debe ser practicado por una persona habilitada como contador publico.
Debe tener independencia mental, ello garantiza la Imparcialidad y Objetividad.
Proceder con diligencia profesional en la preparación de su examen e informes.

1
1.3.2. EJECUCIÓN DEL TRABAJO.

A. Debe planear y ejercer supervisión apropiada.


B. Estudio y evaluación del Control Interno, que garantice su confianza para determinar la
extensión y oportunidad de sus procedimientos.
C. Obtener evidencia valida y suficiente.

1.3.3. RENDICIÓN DE INFORMES.

A. Indicar si los Estados Financieros se ajustan a los P.C.G.A (Principios de Contabilidad


Generalmente Aceptados) en Colombia.
B. Uniformidad en la aplicación de los P.C.G.A, en relación con el periodo corriente y el
anterior.
C. Si hay necesidad de salvedades.
D. Si no hay condiciones suficientes para expresar un dictamen.

1.4. CARACTERÍSTICAS DEL AUDITOR.

A. Responsabilidad : De alta calidad conforme a las N.A.G.A. (normas de auditoria


generalmente Aceptadas).
B. Personalidad : Desempeño profesional, sin arrogancia de superioridad frente a otros
funcionarios, o excederse en autoridad.
C. Obligaciones : Permanente actualización de normas, leyes, decretos, etc., que le
permitan cumplir con su trabajo de manera profesional.

1.5. CONTROL INTERNO.

1.5.1. RIESGO.

Hace referencia al peligro o contratiempo posible, probabilidad de que se presente un siniestro.


El riesgo constituye la susceptibilidad de que una operación o transacción sea realizada
parcialmente, mal ejecutada, o se realice dentro de unos parámetros no establecidos que al
final va a tener efectos en los resultados de la compañía.

1.5.2. CONTROL.

Hace referencia a la comprobación, intervención, inspección, vigilancia y verificación. Son los


mecanismos que debe establecer una organización para desarrollar de manera adecuada sus
actividades, garantizando alcanzar un buen nivel de eficiencia y a su vez eliminando los
riesgos.

El Control Interno es el plan de la organización mas todas las medidas, métodos, etc. que la
compañía implanta; con el objeto de vigilar sus activos, información, operaciones y
procedimientos. Lo importante es que este elevado a manuales de procedimientos (escritos no
hablados), para que la organización sea capaz de planificar, ejecutar y controlar. El Control
Interno es ejecutado por la Junta Directiva, o Consejo de Administración de una entidad, por su
grupo directivo (gerencia) y por el resto de personal.

El Control Interno se ha aplicado casi siempre al entorno financiero de una empresa, pero
debido a la falta de controles en actividades claves de la organización, que ha originado la
quiebra en muchas entidades, llevo a replantear los controles internos existentes, y que las
empresas aplicaran cambios en tal sentido como:

2
 Reingeniería (Reingeniería de los procesos).
 Calidad Total
 Out sourcing (contratación externa)

Este cambio constante ha llevado a tendencias externas que influyen sobre las empresas, y se
observan en:
 Diversidad de Actividades
 Eliminación de líneas del negocio no rentables
 Fusión y formación de alianzas estratégicas.

Todos estos hechos han originado unas necesidades de control y auditoria en el ámbito
informático, razones que hacen que el auditor replantee sus esquemas de trabajo, dejando de
lado la evaluación y comprobación de resultados, para concentrarse en la evaluación de
riesgos y comprobación de controles.

1.5.3. CARACTERÍSTICAS DEL CONTROL INTERNO.

Debe existir:

A. Definición clara de las responsabilidades.


B. Sistema de autorización y procedimientos de riesgos, para garantizar un control
razonable en las partidas contables que conforman los Estados Financieros.
C. Políticas claras y difundidas para la ejecución correcta de las obligaciones y funciones
en las áreas de la organización.
D. Un grado de competencia definido para el personal en relación con sus
responsabilidades.

Con relación a los controles informáticos estos se han clasificado históricamente en


preventivos, detectivos y correctivos:
 Preventivos : Evitan que un echo ocurra. Sirven para supervisar el resultado de
un sistema
 Detectivos : Al fallar los preventivos, detectan oportunamente el echo anormal.
 Correctivos : Regresar a la normalidad.

Dentro de las funciones que persigue el control interno en el ambiente informático, se pueden
citar:

 Control diario de actividades de los sistemas de información, cumpliendo con las


normas y políticas fijadas.
 Asesoría sobre normas, decretos y circulares.
 Apoyo de la auditoria informática.
 Define, implanta y ejecuta controles para comprobar el logro adecuado del servicio
informático.

A nivel del control interno en los diferentes sistemas se recomienda revisar el control de:

 Versión y cambios del software.


 Control de producción diaria.
 Control de calidad y eficiencia sobre mantenimiento de software
 Control a la red de comunicaciones
 Control microinformático.
 Licencias y relaciones contractuales con terceros.
 Normas de seguridad.
 Asesorar y transmitir la cultura del riesgo informático.

3
1.6. TIPOS DE AUDITORIA

1.6.1. AUD. GESTION

Evalúa el grado de eficiencia y eficacia con la cual la Dirección maneja los recursos disponibles
y logra los objetivos propuestos por el ente económico.

1.6.2. AUD. FINANCIERA.

Su objetivo es la revisión o examen de los Estados Financieros por parte de un contador


publico, diferente de quien los preparo, cuyo fin es establecer la razonabilidad de los mismos.

1.6.3. AUD. ADMNISTRATIVA.

Evalúa la estructura de una empresa, (privada u oficial) en lo que corresponde a sus objetivos,
planes, métodos, controles, forma de operación y factor humano. Hace parte o se incluye
dentro de la auditoria del área informática.

1.6.4. AUD. CUMPLIMIENTO.

Su objeto es revisar si las operaciones y procedimientos de control interno están siendo


aplicados adecuadamente, para el logro de los objetivos de la entidad. Evalúa operaciones
administrativas, financieras, económicas, etc. Para establecer si han sido realizadas de
acuerdo a las normas legales, estatutarias y procedimientos que le son aplicables.

1.6.5. AUD. INTERNA.

Evalúa el desempeño de los administradores en cuanto a eficiencia y resultados de sus


programas (planeación, organización, integración, dirección y control).

1.6.6. AUD. EXTERNA.

Emite opinión sobre la razonabilidad de la información financiera, dando confianza a los


usuarios de dicha información, ejercida por una firma de contadores públicos con la
colaboración de ingenieros de sistemas, ingenieros industriales, accionistas y otros
profesionales.

1.6.7. REVISORIA FISCAL.

Vela por los actos de los administradores, preservación del patrimonio de socios y accionistas,
emitiendo un dictamen sobre la razonabilidad de la información financiera, colabora con
entidades gubernamentales. Ejercida por firma de profesionales

1.6.8. AUD. SISTEMAS.

Evalúa el área de sistemas, sus proyectos, aplicaciones. Emite concepto sobre el P.E.D.
(procesamiento electrónico de datos), para garantizar que la información es confiable y
oportuna. Realizada por firma de ingenieros en colaboración de contadores especializados en
P.E.D. y otros profesionales. El trabajo es coordinado con la Auditoria Interna, Externa o
Revisoría Fiscal, según corresponda.

1.6.9. OTRAS AUDITORIAS.

Social y Ambiental, Marketing, Personal, Económica, Oficial, Calidad, etc.

4
1.7. AUDITOR DE SISTEMAS.

Se recomienda leer el material entregado sobre “Principios Deontología y Códigos Eticos del
Auditor Informático”, tomado del texto AUDITORIA EN INFORMATICA, Un Enfoque Practico.
Capitulo 7.

1.7.1. FUNCIONES Y RESPONSABILIDAD

La función del auditor debe ajustarse a los códigos aplicables de la ética profesional y de las
normas de auditoria en todos sus trabajos, procurando establecer un conjunto de reglas con el
fin de prevenir practicas corruptas.

Sus funciones están orientadas a evaluar y comprobar los controles y procedimientos


informáticos, desarrollando y aplicando técnicas de auditoria incluyendo el uso de software,
dentro de estas funciones se pueden citar:

A. Participar en las reuniones durante y después del diseño, realización, implantación y


explotación de aplicaciones informáticas, así como en los cambios importantes de las
mismas.
B. Verificar y evaluar los controles y procedimientos implantados en los sistemas
informáticos, para determinar su adecuación a las normas legales, empresariales, a fin
de evitar errores y fraudes.
C. Verificar y evaluar las áreas de riesgo a nivel de la informática.
D. Verificar y evaluar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos e
información.
E. Aplicar la auditoria conforme a las normas y políticas estandarizadas a nivel nacional e
internacional.
F. Obtener la aprobación formal de los proyectos y difundirlos entre los involucrados para
su desarrollo.

En cuanto a su responsabilidad debe revisar e informar oportunamente a la Dirección de la


entidad a cerca del diseño y funcionamiento de los controles implantados e información
suministrada, para determinar que controles son fiables y su grado de fiabilidad, con el objeto
de establecer el alcance de la Auditoria de Sistemas que debe practicar. Además es
responsable de establecer los objetivos de control que reduzcan o eliminen la exposición al
riesgo del control interno.

El auditor de sistemas está obligado a convertirse en un asesor o consultor del auditado,


brindando las ideas de cómo debe establecer procedimientos de control interno, efectividad y
eficacia, seguridad y medición del riesgo empresarial.

El perfil del auditor de sistemas debe estar soportado en una experiencia y formación acorde a
la función y áreas a auditar, donde se destacan algunas recomendaciones:

QUE PUEDEN/DEBEN HACER QUE NO DEBEN HACER

Independientes y Objetivos Actuar en beneficio propio por encima del


interés del cliente.
Recomendar Obligar, forzar, amenazar
Competentes (seguridad) Asumir encargos para los que no están
preparados
Basar sus informes en verificaciones y Basarlos en suposiciones o comentarios.
evidencias

5
Verificar que se evalúan periódicamente Revisar la seguridad a diario o administrarla
riesgos o evaluarlos (Es función de otros)
Conocer los perfiles de usuario y criterios de Realizar gestión de perfiles de usuario o
contraseñas. asignar contraseñas
Verificar que las aplicaciones se desarrollan Realizar funciones de análisis o gestionar
según normas y se le incorporan controles. proyectos.
Revisar codificación de programas (seguridad Codificar programas.
y calidad) y pruebas.
Revisar la Documentación (aplicaciones y Realizar la documentación.
programas)
Responsabilizarse del contenido de sus Aceptar presiones de sus jefes o clientes y
informes restar veracidad al informe.
Sustentar sus informes con papeles de trabajo Involucrarse en discusiones de diferencias de
opiniones.
Estar actualizado en cuanto a normas, Auditar con técnicas y/o recomendaciones
avances, riesgos y metodologías obsoletas.

1.8. IMPORTANCIA Y FINANLIDAD DE LA AUDITORIA DE SISTEMAS

Su finalidad es preparar el recurso humano capacitado, para satisfacer las necesidades que la
tecnología informática demanda a las puertas del nuevo siglo, que esta soportada en la
evolución tecnológica, que ha originado que la auditoria financiera que se realizaba alrededor
del computador, sea realizada desde este, originando no solo una exigencia para el auditor de
sistemas, sino para los auditores en general; los cuales deben ser receptivos hacia las nuevas
tecnologías, porque de lo contrario serán victimas de la misma evolución, y de los cambios que
han originado la implantación de los sistemas a los diferentes niveles de la organización, que
exigen una adaptación rápida a las nuevas circunstancias para sobrevivir. Esta es una razón
por la cual en un gran porcentaje de las empresas, la tecnología y la informática representan
hoy en día uno de sus activos más valiosos e importantes, al igual que los otros activos
tradicionales.

Como ejemplo se puede citar la atención que demando el cambio de siglo, representado en la
evolución, actualización, etc. de hardware y software, que paralelamente demando una
actualización y mantenimiento de los controles (seguridad, funciones, etc.), por el impacto que
represento en las organizaciones.

1.9. UBICACIÓN DE LA FUNCION DE AUDITORIA DE SISTEMAS EN LA COMPAÑÍA.

La función de auditoria en informática debe ir asociada a un desarrollo de actividades y


procedimientos, basado en un método de trabajo formal, q que sea entendido y asimilado por el
grupo de auditores en informática y complementado con técnicas y herramientas de la función.

La Auditoria de sistemas es recomendable ubicarla en un nivel organizacional que le garantice


la independencia y soporte requerido por parte de la alta Dirección, de lo contrario, una
posición no adecuada crearía incertidumbre con el paso del tiempo. Debería ubicarse al nivel
organizacional de la Auditoria tradicional, que le permita el desempeño de sus actividades de
manera eficiente y oportuna, a fin de que el auditor cuente con:

 Independencia Funcional
 Libertad de Acción
 Facultad para la toma de decisiones
 Negociación con los niveles gerenciales
 Involucramiento en proyectos de alto impacto en el negocio.

6
1.9.1. CARACTERÍSTICAS Y CONSIDERACIONES AL ESTRUCTURAR LA FUNCION DE
AUDITORIA EN LA COMPAÑIA

1.9.1. NIVEL ESTRATÉGICO.

Sirve de apoyo a la alta Dirección de la entidad.

A. Características
 Independencia funcional
 El proceso de auditoria opera estratégicamente
 Compromiso permanente con la alta dirección
 Propia de entidades Financiera, de crédito y otras del sector gobierno.
 Personal de auditoria con visión de negocio.

B. Ventajas
 Comunicación formal y permanente entre la alta dirección y responsable de
auditoria.
 Apoyo y soporte constante de la alta dirección.
 Objetividad en el desempeño de la función.
 Se establecen de manera formal y a nivel directivo las políticas, controles y
procedimientos sugeridos por la función de auditoria.

C. Desventajas
 El seguimiento del desempeño de la función por parte de la alta dirección se
hace complejo.
 En la mayor parte de las empresas no se aceptan auditorias en información.
 Falta de profesionales capacitados con estos perfiles estratégicos.

1.9.1.2. NIVEL TACTICO.

Sirve de apoyo a gerencias y jefaturas en la entidad.

A. Características
 No hay independencia funcional respecto a otras direcciones o gerencias.
 Se encuentra en los diversos sectores de la comunidad, con frecuencia en entidades
financieras, de crédito, gubernamentales y en menor grado en el sector industrial y
educativo.
 Se le limita mucho al estilo de trabajo del nivel superior al que le reporta.

B. Ventajas
 La alta dirección la considera una función indispensable para observar el cumplimiento
de políticas y procedimientos de informática en el negocio.
 La función tiene contacto con los responsables para la toma de decisiones.
 Existen asociaciones, consultores y escuelas profesionales que impulsan diariamente
la formalización de la función, al menos a nivel táctico.

C. Desventajas
 Se debilita el compromiso y soporte de la alta dirección hacia la función.
 El porcentaje de empresas que considera importante contar con una función de este
nivel es mínimo.
 No existen muchos profesionales, técnicas y habilidades requeridas para ejercer la
función de auditoria en informática a un nivel táctico.

1.10. SEGREGACIÓN DE FUNCIONES

7
Hace parte de los controles de Administración y Organización de los controles generales, este
procedimiento de control abarca la asignación de responsabilidad, de manera que la actuación
de una persona proporcione la verificación del trabajo desarrollado. Su principal objetivo es la
prevención y pronta detención de errores o irregularidades en la realización de
responsabilidades asignadas.

Este control también esta basado en el principio de auditoria que recomienda que una misma
persona no tenga la posibilidad de ejecutar todos los pasos de una operación ya que, esta
acumulación de funciones dificulta el control y descarga mucho poder sobre personas que
posiblemente no sean las más idóneas, o concentrar actividades en pocas o en una sola
persona.

Es fundamental segregar adecuadamente las funciones a las personas involucradas con las
actividades a su cargo y supervisar su desarrollo normal dentro de la estrategia administrativa y
principios generales de control interno.

Dentro de las actividades podemos mencionar la aprobación, autorización, verificación,


indicadores de rendimiento, salvaguarda de recursos, supervisión, entrenamiento, etc.

Ejemplos donde la segregación de funciones no es la adecuada:

 El programador de sistemas tiene acceso a la aplicación y la puede operar.


 Un operador que sabe de programación y modifica los programas cuando no halla al
programador.
 Las autorizaciones especiales, son ordenadas por la misma persona que digita los
datos.
 La aplicación no distingue entre varios niveles de usuarios.

1.11. CONTROLES GENERALES EN UN DEPARTAMENTO DE SISTEMAS

1.11.1. ADMINISTRATIVOS

Hace referencia a la separación de funciones que debe existir en el departamento de P.E.D. y


entre éste y los departamentos usuarios. Debido a que una falla en estos controles afectará a
todas las aplicaciones que integran el PED. Este control obedece a la descripción del punto
anterior “segregación de funciones”, que corresponde a que los diferentes usuarios puedan
hacer solo lo autorizado a su nivel de función. La estructura organizacional del departamento
de sistemas depende del tamaño de la empresa, pero en una empresa más o menos grande la
recomendada seria:

-----------Analista de sistemas

-----------Programadores

-----------Operadores de Computadora

Gerente del Dpto. de PED -----------Capturista de datos

-----------Bibliotecario

-----------Grupo control de datos

-----------Administrador de base de datos

8
Las responsabilidades primarias dentro del PED para cada puesto estarían definidas de la
siguiente forma:

PUESTO RESPONSBILIDAD

Gerente del Dpto. PED. Ejerce control general, desarrolla planes a corto y largo plazo y
aprueba sistemas
Analista de Sistemas Evalúa los sistemas existentes, diseña nuevos, bosqueja los
sistemas y prepara especificaciones para programadores.
Programador Elabora graficas de flujo de programas, desarrolla y documenta
programas y los actualiza.
Operador de computador Opera el equipo de computo ejecuta el programa de acuerdo con
instrucciones operativas.
Capturista de datos Prepara datos para procesamiento registrándolos en medios
magnéticos. Este también podrá ser realizado directamente por
departamentos o usuarios individuales.
Bibliotecarios Mantiene custodia de documentación de sistemas, programas y
archivos.
Administrador Bases Datos Diseña el contenido y organización de la base de datos y controla
el acceso y uso de la base de datos.

En instalaciones pequeñas, los puestos de analistas de sistemas y programadores, se


acostumbra combinarlos. Sin embargo, la mezcla de estas dos funciones con las funciones del
operador de computo, generalmente conduce a funciones incompatibles. Cuando estas tres
funciones son realizadas por una sola persona, esta puede cometer y ocultar errores.

El departamento del PED deberá estar organizacionalmente independiente de los


departamentos usuarios. Cuando el plan organizativo no prevé la adecuada separación de
funciones, el auditor podrá tener dudas muy serias con respecto a la confiabilidad de los
resultados emanados del sistema.

Además en este tipo de control se debe evaluar la existencia de manuales de funciones y


procedimientos, métodos de educación y capacitación, manera de asumir los reemplazos
temporales (enfermedad o vacaciones).

1.11.2. SEGURIDAD Y ADMINISTRACION DE LOS EQUIPOS DE COMPUTO

La dirección de sistemas de información debe mantener y observar reglas de orden y cuidado


del departamento y equipos de computo. Los dispositivos de sistemas pueden verse dañados
o averiados si son manejados en forma no adecuada, lo cual puede traducirse en perdidas
irreparables o costosas, por tal motivo deben exigirse las disposiciones y reglamentos que
coadyuven al buen mantenimiento del departamento de sistemas y equipo periférico instalado.

Es de vital importancia que los equipos se encuentren instalados en un lugar fresco y alejado
de la luz directa del sol, rejillas de calefacción, radiadores, etc. Además que se cumplan las
recomendaciones del fabricante.

Las instalaciones eléctricas deben estar aprobadas y señalizadas por los ingenieros eléctricos
que prestan el soporte técnico o distribuidor, diferenciando línea estabilizada, polo a tierra y
caja de breaker a la cual pertenece la conexión de dichos equipos, y que los cables se
encuentren en completo orden. Los tableros del sistema eléctrico deben estar ubicados en un
lugar de fácil acceso al operador del equipo central, y todos los equipos deben contar con
corriente regulada U.P.S y supresor de picos.

9
Todos los equipos deberán estar dotados de cubiertas protectoras y existir cercano un extintor
de Halon o CO2. De igual forma obtener una copia del inventario de los equipos utilizados en el
ambiente informático, a fin de identificar los componentes del equipo (placa de activo fijo,
sección a que pertenece, serie y modelo), cuales se hallan amparados por pólizas de seguro y
mantenimiento, y si están actualizadas.

Se debe mantener en un lugar visible y cercano al equipo las recomendaciones básicas de


operación, como también indicar la programación de los mismos; con el objeto de controlar el
uso en horas hábiles y no hábiles, y la asignación del espacio en disco requerido.

Se recomienda llevar un registro de las fallas que presentan los equipos en el que se detalle la
fecha, hora, tipo de falla y comentarios adicionales, ello facilita y orienta las labores de
mantenimiento e identifica obsolescencia de los equipos.

Es aconsejable evaluar la configuración de los equipos de computo en relación con las


aplicaciones y uso del sistema, con el objeto de determinar las necesidades de instalación y
revisar políticas de cambios de hardware que permita nivelar el sistema de computo a la carga
de trabajo, medido sobre los planes a mediano y largo plazo.

1.11.3. SEGURIDAD SOFTWARE INSTALADO

Representa mucha atención e importancia el evitar que los usuarios estén explorando o
manipulando el software instalado, cuando es una función que no le corresponde sino al
personal indicado en la organización. Por tal razón se deben controlar:

Cambios al sistema operacional; que es el software más importante que viene con el
computador (máquina). Suele suceder que el fabricante esta realizando actualizaciones y su
deber de acuerdo con el contrato, es enviar la versión mejorada a los clientes (usuarios del
software), cambio que debe ser ejecutado por el personal capacitado para evitar problemas,
además que se deben observar todas las medidas de seguridad a los datos para garantizar el
trabajo normal a los usuarios después del cambio. Todo lo que envié el proveedor como cintas
y documentación se debe de proteger o custodiar adecuadamente para controlar su perdida o
destrucción.

Operación de los programas utilitarios; son los que permiten en algunos casos, manejar los
recursos del ordenador, la memoria, disco, impresoras y sistema operacional, además de
manipular los archivos de datos o programas de aplicación, por tal razón todas estas
herramientas se deben restringir a personal autorizado. Entre estos aspectos se pude
mencionar Rutinas de Spooler, Consultas por Query a la base de datos, acceso al Log de la
bitácora, etc.

En conclusión el control de estos aspectos obliga a que los programas utilitarios residan en una
librería con acceso restringido, que el acceso de usuarios sea controlado por un sistema de
seguridad que los identifique individualmente, para obtener un reporte donde se detalle la
actividad ejecutada en el computador.

1.11.4. ADMINISTRACIÓN DE BACKUP

En todas las empresas donde se utiliza sistemas de información, y que requieren el uso del
computador; deben saber que están expuestas a la perdida de la información (datos,
programas, etc.), por cualquier factor interno o externo, razón por la cual para evitar mayores
problemas debe existir una política definida, en cuanto al control y respaldo (backups) de esta
información, que le garantice a la empresa la vida y continuidad de las operaciones cuando
sean requeridas.

10
Es de hecho que el mejor hardware puede fallar, y es ahí el momento oportuno donde el
respaldo de la información juega un papel importante, razón por la cual las empresas deben
establecer dentro de sus diseños de respaldo controles como los siguientes:

 Respaldo de todos los servidores y terminales.


 Prueba de los volúmenes de backup periódicamente, a fin de comprobar que los datos
a recuperar son consistentes y se pude restaurar.
 Periodicidad de los backup, de acuerdo al tipo de información que se debe respaldar
(Archivos, bases de datos, aplicaciones, etc.).
 Debe existir una cintoteca que permita la custodia y control de los medios magnéticos
de respaldo.
 Medir y verificar el tiempo asignado para el respaldo, a fin de garantizar que el tiempo
es suficiente para que la rutina de respaldo termine satisfactoriamente.
 Debe existir un responsable del backup, para evitar que los usuarios estén realizando
copias innecesarias, diferentes de sus copias de trabajos básicos.
 Un control a la pista de archivos y registros de almacenamiento local y remoto.
 Debe existir un almacenamiento alterno de los datos, con el objeto de evitar una
perdida total, por residir en la misma compañía, con los requisitos legales necesarios.
 Cantidad de copias realizadas y su finalidad.

1.11.5. SEGURIDAD FISICA

La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales del
centro de procesamiento de datos, como también su funcionalidad, racionalidad y seguridad,
cuyo objetivo busca establecer políticas, procedimientos y prácticas para evitar las
interrupciones prolongadas del servicio de procesamiento de datos; información que debido a
contingencias como incendio, inundaciones, huelgas, disturbios, sabotaje, etc. Debe continuar
en medio de emergencia hasta que sea restaurado el servicio completo.

La seguridad física estará concentrada en los siguientes puntos:

 Edificio
 Instalaciones
 Equipamiento y telecomunicaciones
 Datos
 Personal

Entre algunos ejemplo de las precauciones que se deben revisar están:

 Los conductos del aire acondicionado deben estar limpios, ya que son una de las
principales causas del polvo y se habrá de contar con detectores de humo que indiquen
la posible presencia de fuego.
 En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible,
tanto en la computadora como en la red y los equipos de teleproceso.
 En cuanto a los extintores, se debe revisar en número de estos, su capacidad, fácil
acceso, peso y tipo de producto que utilizan. Es muy frecuente que se tengan los
extintores, pero puede suceder que no se encuentren recargados o bien que sean de
difícil acceso de un peso tal que sea difícil utilizarlos.
 También se debe ver si el personal sabe usar los equipos contra incendio y si ha
habido prácticas en cuanto a su uso.
 Se debe verificar que existan suficientes salidas de emergencia y que estén
debidamente controladas para evitar robos por medio de estas salidas.

Los materiales más peligrosos son las cintas magnéticas que al quemarse, producen gases
tóxicos y el papel carbón que es altamente inflamable.

11
Es de suma importancia que la empresa cuente con un plan de contingencias, que en lo posible
sea probado periódicamente, con el fin de que garantice al recurso humano en caso de
evacuación, la fácil ubicación de alarmas y salidas alternativas; así la exposición a riesgos
superiores a los considerados admisibles en la entidad e incluso en el sector.

1.11.6. SEGURIDAD LOGICA

La seguridad lógica hace referencia a la seguridad y control del empleo de software, protección
de datos, procesos y programas; como también al ordenado y autorizado acceso de usuarios a
la información. Desde el punto de vista de la auditoria es necesario revisar cómo se identifica y
sobre todo autentican los usuarios, cómo han sido autorizados y por quién, y qué ocurre
cuando se producen trasgresiones o intentos, quién se entera y cuándo y qué se hace.

La computadora es un instrumento que almacena gran cantidad de información, la cual puede


ser confidencial para individuos, empresas o instituciones, y puede llegar a ser mal utilizada o
divulgada a personas que hagan un uso no adecuado de la misma. Se puede dar la posibilidad
de ocurrir robos, fraudes o sabotajes que originen la destrucción total o parcial de la actividad
computacional. En la actualidad y principalmente en las computadoras personales, se ha dado
otro factor a tener en cuenta y es el caso de los “virus” de las computadoras, y las
consecuencias que estos acarrean.

Al auditar los sistemas se debe tener cuidado que no se tengan copias “piratas” o bien que, al
conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus. El
uso inadecuado de la computadora inicia con la utilización de tiempo de máquina para usos
ajenos a la empresa, copia de programas con fines comerciales sin reportar derechos de autor,
acceso por vía telefónica a bases de datos, etc.

Con el objeto de contrarrestar lo expuesto en los párrafos anteriores es recomendable que los
centros de computo estén provistos de software de control de acceso, que eviten o controlen
acceso no autorizado a información confidencial, o que a nivel de la organización se cuente con
un desarrollo que permita ejercer control sobre este aspecto, porque los paquetes resultan ser
demasiado costosos.

En este tipo de control la empresa se pude ver expuesta o perjudicada en delitos que a
conocer, se citan algunos de ellos así:

A. Delito contra la intimidad: Es el derecho a la propia imagen y la inviolabilidad del


domicilio, también comprende la interceptación de las comunicaciones, utilización de
artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la
imagen o de cualquier otra señal de comunicación.

B. Delitos de falsedades: Falsificación de documentos públicos u oficiales y mercantiles


de los despachos, transmitidos por servicios de telecomunicación.

C. Delito contra el patrimonio: Son aquellos que afectan el orden o estado


socioeconómico de una persona o entidad, entre los que a su vez encontramos:

 Estafas informáticas: Perjuicio patrimonial realizado con ánimo de lucro


mediante engaño.
 Defraudaciones: Uso sin consentimiento de su titular de cualquier equipo
terminal de telecomunicaciones.
 Daños Informáticos: Destrucción, alteración o inutilización de datos,
programas o documentos electrónicos ajenos. Los encontramos en los Virus,
Bombas informáticas y Hackers.
 Propiedad intelectual: Reproducción, plagie, distribución o publicación en
todo o parcial de una obra literaria, artística, científica, a través de cualquier
medio sin la autorización de los titulares principales.

12
1.11.7. SEGURIDAD EN COMUNICACIONES

En los ambientes de sistemas distribuidos se observan o existen usuarios en diferentes lugares


de la geografía, hecho que soporta el uso de las telecomunicaciones para lograr su integración
a la operación normal del negocio y en especial a las aplicaciones que esta maneja.

Los medios utilizados como terminales o microcomputadoras remotas conectadas a redes


publicas o privadas, redes locales o simplemente a modens que están conectados a líneas
telefónicas o conmutadas, forman el ambiente de comunicaciones. Esta estructuras exigen
técnicas de control de acceso como claves especiales, horarios fijos de trabajo, monitoreo
permanente de los usuarios conectados a los sistemas, verificación automática por devolución
de llamada al teléfono que esta pidiendo acceso, aquí es de sumo cuidado el permitir la entrada
a personas externas a la empresa. Se debe ejercer control y custodia de los números
telefónicos utilizados para este fin.

Por lo anterior, es perentorio cuestionar si en la organización cuentan con una red de


comunicación (RC), en caso afirmativo, se debe identificar los tipos de enlace (Satelital,
terrestre), con que software soportan las comunicaciones y que versiones existen.

Es importante averiguar por la documentación formal que especifique que hace y cómo realiza
cada una de las funciones de administración de la RC., que permitirá la velocidad,
configuración adecuada para el ambiente a utilizar, etc.

1.11.8. PROCEDIMIENTO PARA CAMBIO A LOS PROGRAMAS

Debe existir una persona específica encargada de la documentación y que mantenga un


archivo de documentos ya distribuidos, y a quienes.

Se recomienda la actualización en paralelo de la documentación, debido a los cambios y


modificaciones realizadas a la rutinas, procedimientos y programas; si no se cumple con este
procedimiento se corre el riesgo de fraudes por alteraciones en los programas del computador.

Las modificaciones realizadas por los programadores al software de aplicación, deben estar
autorizadas por el director de su área según especificación detallada en el manual de
funciones.

Toda documentación escrita tiene por objeto facilitar las tareas de mantenimiento de los
sistemas, la cual debe residir en un lugar de acceso restringido, que controle el riesgo de
destrucción de la documentación por acción u omisión.

1.11.9. CONTROLESEN EL ACCESO A LOS DATOS O PROGRAMAS

En cuanto a la protección y el control de la confidencialidad de los datos de la empresa, es


importante ser exigentes en la previsión de manipulaciones como el acceso no autorizado a los
datos y al software que se encuentra en el emplazamiento central; el robo o la copia de ficheros
o software depositado en un soporte magnético de seguridad; y la conexión física con las líneas
de telecomunicación a través de las cuales circulan los datos.

Dentro de las medidas de prevención se pueden citar:

 Acceso por la identificación del usuario recurrente


 Acceso por la identificación de la terminal recurrente
 Acceso a la forma de los datos y soporte de almacenamiento

13
Para el control de estos accesos, se deben establecer medidas de seguridad que permitan
controlar aspectos como los siguientes, dependiendo del PED con el cual cuenta la
organización:

 Identificación lógica por contraseña


 Que sean asignadas individualmente a cada usuario
 Modificadas regularmente y evitar en lo posible que esta sean sofisticadas
 Proteger el cuadro de contraseñas, para evitar las posibles ediciones de este
 Registro de tentativas de la clase asignada por acceso no autorizado, que en lo posible
deberá desconectar al usuario
 Prohibir a los usuarios el acceso al editor
 Proteger el arranque de programas en tiempo diferido
 Restringir estrictamente el acceso al software de sistemas de actualización de ficheros
 Existe un responsable de las autorizaciones de acceso?
 Controles de acceso por volumen de disco físico
 La empresa cuenta con un software de control de seguridad?
 Procedimientos de identificación física del terminal que se conecta
 En las redes públicas, la recuperación automática del comunicante.

1.12. PAPELES DE TRABAJO

Representan el respaldo de toda evaluación, son el principal registro del evaluador, del trabajo
realizado y las conclusiones a que se llegaron.

En resumen son los elementos que permiten al auditor dejar constancia de los procedimientos
y comprobaciones por el seguidas, para la realización de su examen y las conclusiones finales;
los papales de trabajo son propiedad de la Gerencia de Auditoria.

1.12.1. OBJETIVO DE LOS PAPELES DE TRABAJO

a) Proporcionar el principal respaldo probatorio o evidencia del informe.


b) Permitir la planificación del trabajo de auditoria en forma lógica.
c) Facilitar el examen por terceros.
d) Realización y revisión de las evaluaciones.
e) Servir de base para evaluar el programa de trabajo del departamento de auditoria
informática.
f) Respaldo ante reclamaciones de seguros, casos fraudulentos y demandas judiciales.

1.12.2. COMPOSICIÓN DE LOS PAPELES DE TRABAJO

Comprenden los registros administrativos, documentos elaborados para evaluar el control


interno, procedimientos aplicados, comprobaciones efectuadas, información obtenida y
conclusiones a que se llego. Además de los datos e información almacenada en cintas,
diskettes y otros medios magnéticos, entre los cuales se pueden detallar:

a) Memorandos y oficios preparados por el auditor para solicitar información o exponer


algunos hechos.
b) Cualquier documento utilizado por el auditor como base de evidencia o referencia.
c) Actas de las reuniones realizadas
d) Planilla de seguimiento
e) Planillas con comentarios preparados por el auditor
f) Cuestionarios del control interno
g) Documentos que respaldan el plan general por áreas y detallado.

1.12.3. CUALIDADES DE LOS PAPALES DE TRABAJO

14
Se deben elaborar en forma profesional, porque son el nexo entre el trabajo de evaluación y el
informe producido, de ahí que sean:

a) Completos y exactos : Respaldan las conclusiones, comprobaciones y


recomendaciones.
b) Claros y comprensibles : Su organización y contenido soportan un elemento
concreto de la evaluación.
c) Completos y concisos : Determinan su objetivo, naturaleza y alcance de la labor
realizada.
d) Legibles y pulcros : sin tachones ni enmendaduras.
e) Pertinentes : Limitado al asunto y dirigidos al examen.
f) Identificables : Identifica quien los elaboro y el responsable.

1.12.4. CONTENIDO DE LOS PAPELES DE TRABAJO

Como mínimo deben contener en su conformación la siguiente información:

 Nombre de la empresa
 Departamento responsable del trabajo de auditoria que se realiza
 Nombre de la planilla
 Fecha
 Memorandos u otro tipo de papel de trabajo incorporado
 Quien elabora y realiza la planilla
 Conclusiones a las que se llego.

Para identificar los papeles de trabajo se recomienda anotar en la parte superior derecha de la
cédula, planilla o memorando en número que corresponde, si se utiliza más de una, se
aconseja : 1/3, 2/3 y 3/3 (Esto es para una serie de 3 hojas).

De igual forma se utilizan marcas para detallar aspectos relevantes (concordancias,


discordancias, etc), que identifican la veracidad en los papeles de trabajo. Estas marcas se
colocan junto a Rubros, Totales, Informes de Actividad, etc.

2. NORMAS EN EL AMBIENTE DE MICROCOMPUTADORES

2.1. NORMAS GENERALES PARA EL USO DE MICROCOMPUTADORES

En las normas generales para el uso de microcomputadores, es importante resaltar que no


importa el tamaño de la empresa o del ambiente de microcomputadores, lo aconsejable es que
se cumplan como mínimo las siguientes normas:

 Ejecutar los procedimientos de backup o copia, manteniendo respaldo de la información en


lugar externo al edificio.
 Eliminar archivos del disco duro para liberar espacio e incrementar la ejecución de los
programas.
 Mantener documentación sobre el uso de los programas y equipos que le permitan a los
usuarios utilizarlos adecuadamente.
 Controlar la temperatura ambiente y la del equipo resguardándolo del sol y de fuentes de
calor cercanas.
 Prohibir fumar en las áreas donde se encuentran los equipos, ingerir alimentos durante las
sesiones de trabajo, puesto que se presenta alto riesgo de daño, específicamente el
teclado con el contacto de material comestible
 Mantener una política de instalación y utilización de software uniforme en la empresa.

15
 Mantener actualizadas las licencias del software utilizado e instalado.
 Proteger los datos almacenados en disco, parcial o totalmente para evitar el acceso de
personas extrañas a ellos.
 Restringir el uso de los discos duros y en especial el acceso a información confidencial.
 Identificar los usuarios de cada programa restringiendo la entrada a aquellos que no están
autorizados.
 Controlar la producción y distribución de informes, en especial si contienen información
confidencial.
 Controlar el inventario de microcomputadores y efectuar un chequeo físico y periódico del
mismo.
 Un inventario básico y actualizado de equipos, debe contener:
 Configuración.
 Tipo de equipo.
 Numero de inventario.
 Numero de serie.
 Marca y modelo.
 Fecha de adquisición.
 Persona responsable del equipo.

 Responsabilizar al usuario sobre los microcomputadores entregados.


 Contar en cada equipo con software antivirus o en caso contrario, controlarlos a través de
la red.
 Se debe mantener copia de los contratos respectivos de compra, mantenimiento y
programación de los mismos.
 Se debe controlar la vigencia de las pólizas y contratos de mantenimiento, para garantizar
la debida inclusión de todos los equipos.
 Se debe mantener un registro de fallas para todos los equipos en el que se indique:
 Equipo que presento la falla.
 Fecha, hora, tipo de falla
 Funcionario que detecto la falla.
 Solución que se le dio.
 Persona que soluciono el problema.
 Fecha y hora de la solución.

2.2. CONTRATOS DE MANTENIMIENTO

Es importante que una vez vencido el período de garantía, todo el hardware y software cuente
con un contrato de mantenimiento. Aquí es importante revisar los términos, costo y cubrimiento,
es decir, con mano de obra y piezas o solo con mano de obra. El tipo de contrato elegido,
depende de la necesidad de la empresa, y de los gastos que este dispuesta a pagar, de
acuerdo con la frecuencia del servicio (8 horas, 24 horas, etc).

Se debe tener en cuenta el servicio y respuesta, ello se determina o evalúa con el tiempo de
respuesta cuando se hace una llamada requiriendo el mantenimiento y la respuesta que el
proveedor acostumbra a dar en el resto del mercado, para tener referencia de las diferentes
ventajas y desventajas al elegir el tipo de mantenimiento que se requiere, para el ambiente de
microcomputadores.

De igual manera es importante la necesidad de desarrollar mantenimientos preventivos, con la


programación que corresponde en cuanto a la fechas y visitas programadas.

Es recomendable que el proveedor del mantenimiento garantice un buen inventario o


suficiencia de piezas de repuesto. El buen servicio es imposible si no hay la disponibilidad o
pronta consecución de las piezas o repuestos necesarios.

2.3. SISTEMAS DE BACKUP

16
El soporte de la copia de seguridad no debe tener ninguna incidencia particular con las políticas
generales de un centro de computo o ambiente de microcomputadores. Si la finalidad de las
copias de seguridad es fácilmente comprensible, las modalidades practicas son a menudo
diferentes de una organización a otra. Ello depende o se debe al tamaño del centro, volúmenes
de información a salvaguardar, sistemas de explotación recomendados por el fabricante, etc.
Cualquiera que sea el procedimiento a aplicar se debe garantizar que estos satisfagan los
objetivos básicos de una adecuada y buena política de salvaguarda y seguridad de
información, ya que es importante recordar que en todo ambiente informático el activo más
valioso es el “dato”.

Independiente del procedimiento y periodicidad utilizada, es conveniente que este se encuentre


documentado y actualizado, además que el respaldo se encuentre bajo el esquema abuelo-
padre-hijo que es el mas usual, o el de volúmenes 1,4,7,10, etc, y el otro 2,5,8,11,etc y
finalmente 3,6,9,12, etc. Estos medios de almacenamiento no deben guardarse en el mismo
sitio donde están los microcomputadores, lo aconsejable es en otro sitio o cajas de seguridad
externos.

El propósito de todo respaldo de información pretende garantizar:

 Permitir arrancar de nuevo en otro equipo en caso de destrucción parcial o total del
emplazamiento de producción.
 Permitir corregir un fallo en un soporte físico
 Permitir arrancar todas las cadenas en caso de fallo (caídas del fluido eléctrico)
 Responder a las obligaciones legales en materia de archivo, o sea, comerciales,
contables y fiscales.

2.4. MEDIDAS DE SEGURIDAD

El auditor de sistemas deberá evaluar la seguridad de los C.P.D., para determinar si las
medidas de seguridad establecidas son razonables y suficientes, en relación con la protección
de los recursos informáticos de la empresa, los cuales están expuestos a daños intencionales o
no intencionales. Es importante la evaluación de los controles en cuanto a la seguridad física
del C.P.D. (centro de procesamiento de datos), tales como:

a) Construcción del edificio, que este aislado de material no combustible, con el propósito
de reducir la posibilidad de incendio.
b) Separación del computador central de las áreas de archivos, cintotecas y bibliotecas,
por medio de paredes no combustibles.
c) Verificar las entradas y salidas de personal, para que sean usadas solo por personal
autorizado.
d) Instalar detectores de fuego, humo y alarmas, además de probar su funcionamiento y
mantenimiento adecuado.
e) Ubicación estratégica de extintores portátiles,
f) Que las cortinas, muebles, tapetes, etc del C.P.D. estén hechos de materiales no
combustibles o bien con retardo de fuego.
g) Prohibir consumir alimentos en el C.P.D y cintotecas.
h) Almacenar el papel y otros suministros combustibles fuera del cuarto de la
computadora central.
i) Proteger los circuitos de la computadora contra el vandalismo.
j) Garantizar un medio ambiente de temperatura y humedad en el área del C,P.D.
k) Revisar las coberturas de seguros, mantenimientos, inventarios y su actualización.
l) Revisar una adecuada señalización que en caso de emergencia permita evacuar el
sitio en el menor tiempo posible, tomando las precauciones del caso.
m) La existencia de un plan de restauración que cumpla:
 Procedimientos de restauración
 Localización de los medios de respaldo, prioridades y secuencias.
 Asistencia del proveedor si se necesita
 Configuración del equipo alterno si se requiere (Computo y comunicaciones)

17
 Procedimientos para la imposición de controles extraordinarios durante la
restauración por el incidente acontecido.

Además es aconsejable estar insistiendo por parte de la administración, la prohibición de ingerir


bebidas en el cuarto de la computadora, la limpieza diaria de las cubiertas de los equipos,
pisos, superficies de trabajo y reforzar las políticas de acceso de personal, que sea solo el
autorizado y requerido en este ambiente.

2.4. AUDITORIA DE APLICACIONES EN DESARROLLO

Todos los desarrollos deben ser autorizados según el nivel de importancia del mismo, incluso
por un comité si los costos y riesgos superan el estándar establecido por la empresa, en este
aspecto se debe contar con la participación de los usuarios, auditores (externos), personal de
sistemas. Ejerciendo control a las librerías que pueden acceder los desarrolladores,
metodología seguida, ciclo de vida, gestión de proyectos y estudios de viabilidad.

Se debe revisar si existen realmente sistemas integrados como un todo o programas aislados,
evaluar la existencia de un plan estratégico para la elaboración de los sistemas que indique o
clarifique:

 Cuales servicios se implementaran


 Cuando estarán a disposición de los usuarios
 Características que tendrá y recursos requeridos (Hardware, software, compatibilidad
con la arquitectura actual, etc)
 Aplicación a desarrollar y cuando
 Tipos de archivos y bases de datos.
 Lenguajes a utilizar y bajo que software.
 Tecnología a utilizar.

2.5.1. CARACTERÍSTICAS

Los sistemas deben evaluarse de acuerdo al ciclo de vida, el cual consta de varias etapas que
involucran tanto a los usuarios directos, personal de sistemas y auditores informáticos, y que
juntos conforman el grupo de trabajo, que estará activo hasta la etapa de implantación, donde
se pueden considerar las siguientes etapas:

 Requerimiento del usuario


 Estudio de factibilidad
 Aprobación
 Análisis
 Diseño
 Construcción o programación
 Implantación

Los beneficios a obtener con el desarrollo de un sistema pueden estar justificados en el ahorro
de costos de operación, reducción en tiempo de proceso, mayor exactitud, mejor servicio,
mayor confiabilidad y seguridad, de igual forma los problemas comunes en los sistemas son:

 Falta de estándares en el desarrollo (Análisis y diseño)


 Falta de revisión y seguimiento de la alta gerencia
 Falta de participación de los usuarios
 Nueva tecnología no usada o usada incorrectamente
 Control deficiente sobre las etapas del ciclo de vida del sistema
 Problemas de auditoria
 Documentación inadecuada o insuficiente

2.5.2. PARTICIPACIÓN EN CADA ETAPA

18
Es recomendable evaluar las políticas, procedimientos y normas, que se han establecido, para
llevar a cabo cada una de las etapas que integran el desarrollo de sistemas en la empresa, sin
dejar de resaltar que la participación del auditor y grupo elegido para el proyecto deben ser de
principio a fin.

Se debe velar porque la aplicación a desarrollar cumpla con las características de un buen
sistema de información:

 Ser amigable, de fácil mantenimiento, confiable, flexible y auditable.


 Evaluar el cumplimiento de cada una de las fases definidas en la metodología.
 Evaluar contratos y condiciones de hardware y software, además de la administración
de los recursos del proyecto.
 Conformar el comité Operativo y Ejecutivo, para que realicen el seguimiento requerido:

 Ejecutivo : Toman decisiones, se reúnen cada 8 o 15 días y lo conforman Jefe de


sistemas, Jefe de Área y Auditoria.
 Operativo : Personal de sistemas y Usuarios, se reúnen diariamente.

2.5.2.1. ANÁLISIS

Su propósito es obtener un conjunto de requerimientos de información, que deben ser cubiertos


por el nuevo sistema; para que el auditor mejore su percepción acerca del sistema actual y
colabore en la definición de las características del nuevo sistema, el ambiente en el cual
operará, y así llegar a establecer los controles generales que se necesitan implantar.

En esta etapa se hace un análisis de los requisitos del sistema partiendo del sistema actual y
sus problemas asociados, para lo cual el auditor requiere comprobar la existencia de:

a) Nombramiento formal de los usuarios representativos de cada unidad afectada que


hacen parte del proyecto.
b) Plan detallado de entrevistas con el grupo del proyecto y usuarios afectados, donde se
valora el sistema actual y lo que esperan del nuevo sistema, para desarrollar los
requisitos del mismo.
c) Procedimiento formal aprobado, para registrar cambios al nuevo sistema por parte de
los usuarios.
d) Definición de las diferentes alternativas de construcción y sus ventajas e
inconvenientes.

Una vez cumplidos los puntos anteriores, se realiza el modelo lógico del sistema en el cual
evaluamos:

 Existencia de los requisitos de seguridad, respaldo, recuperación, etc.


 Pruebas a superar por el nuevo sistema para ser aprobado
 Prototipos que se va a solicitar para las siguientes fases
 Identificación de los controles a aplicar para las diferentes amenazas y asi proteger los
componentes del nuevo sistema.

2.5.2.2. DISEÑO

Etapa en la cual el auditor desarrolla la tarea más delicada y compleja, aquí define los controles
específicos y diseño de prototipos de los reportes que solicitará al nuevo sistema, además se
diseñan las bases de datos, entradas, salidas, secuencia y ocurrencia de los datos y procesos.
De igual manera se elaboran el conjunto de especificaciones físicas del nuevo sistema, que
será la base de elaboración del mismo. Después de analizar estas etapas, se estudia la
participación del usuario en la identificación del nuevo sistema, de la auditoria interna en el
diseño de los controles y la determinación de los procedimientos de operación y decisión.

El cumplimiento de un buen diseño exige ser:

19
 Completo : Que abarque todos los requerimientos
 Consistente : Adecuada definición de las interfases
 Claro : Fácilmente traducible a un lenguaje de programación
 Flexible : Fácil de modificar
 Practico : Fácil realización
 Evaluable : Que se permita revisar, evaluar y mejorar.

Una vez se ha logrado el diseño lógico del sistema se debe evaluar:

a) Identificación de las actividades físicas que realizará el sistema, y la descomposición


de las mismas en forma modular y su documentación.
b) Diseño de las estructuras físicas de los datos; teniendo en cuenta el entorno
tecnológico y rendimiento para los volúmenes y frecuencias de acceso estimados.
c) El plan de pruebas que facilite la verificación y las formas a utilizar en el diseño, al igual
que los informes o reportes, para asegurar la estandarización y economía de formas a
usar, y así evitar la redundancia.
d) Las reuniones del grupo de trabajo y del proyecto, a fin de garantizar el cumplimiento
de los objetivos propuestos, y discutir las conveniencias propias del diseño en la
implantación de los controles (documentación y suficiencia).

2.5.2.3. CONSTRUCCIÓN O PROGRAMACIÓN

En esta etapa se auditan la calidad de los programas, su diseño, lenguaje, interconexión entre
programas y los distintos componentes de software y hardware utilizados en el desarrollo del
sistema. Se llevan a cabo todos los procedimientos para que el usuario pueda operar el
sistema, si en la empresa no hay un departamento de Organización y Métodos, el auditor con
su experiencia, puede guiar o dar las bases para la elaboración de los manuales de operación y
técnicos del sistema. El desarrollo estará soportado en las especificaciones de la etapa de
diseño. El auditor debe revisar la realización del desarrollo de los componentes del sistema y
procedimientos de operación así:

A. Preparación del ambiente de desarrollo y pruebas, además de los procedimientos


previos antes de iniciar el desarrollo:

 Inicialización de bases de datos, separándolas del ambiente de explotación


 Procedimientos de respaldo, editores, compiladores, etc.
 Disposición de los puestos de trabajo y acceso a los mismos.
 Disposición de los recursos para ejecutar las pruebas unitarias e integrales, y
la documentación de todos los procedimientos.

B. Revisar que se están utilizando los estándares de programación definidos en la


metodología.

 Desarrollo de todos los módulos


 Probar cada componente, para determinar su satisfacción, de lo contrario se
modifica y vuelve a probar, hasta cumplir con el objetivo
 Se lleva a cabo las pruebas de integración, por parte del equipo de desarrollo.

C. Preparación de los procedimientos, para que el usuario pueda probar el nuevo sistema:

 Especificación de perfiles de usuario (alcance y limitaciones)


 Manuales de los procedimientos de usuario, que se ajuste a lo diseñado y
requerido por el departamento usuario en general.
 Preparación de los recursos necesarios para impartir la capacitación.

Además el auditor debe evaluar si el nuevo desarrollo cumple con las siguientes
características:

20
 Dinámico : Susceptible a modificaciones
 Estructurado : Subsistemas integrados como un todo
 Integrado : Sistemas interrelacionados y no programas aislados
 Accesibles : Disponibles
 Comprensibles : Con todos los atributos
 Oportunos : Que la información este cuando se requiere
 Funcional : Información a cada nivel
 Jerárquicos : Por niveles funcionales
 Seguros : Acceso por la persona autorizada
 Únicos : Que no duplique información

En conclusión, que sean desarrollados de acuerdo a las especificaciones propias y definidas en


la etapa de diseño.

2.5.2.4. IMPLANTACIÓN

Es aquí donde se realiza la aceptación por parte del usuario, y se debe verificar el
cumplimiento de:

a) Pruebas de aceptación por el usuario final y auditor, para determinar el cumplimiento


funcional de los sistemas (interfases, respaldos, tiempo de respuesta, etc., evaluado el
resultado de las mismas).
b) Revisar la documentación técnica y del usuario, y el plan de entrenamiento
c) Implantación y documentación de la instalación del sistema con todos sus componentes
(Librerías, Utilitarios, etc.)
d) Aceptación del sistema por el grupo de usuarios, y antes de ser llevado a explotación,
obtener el resultado de las pruebas de instalación.
e) Una vez en explotación, se verifica todos los procedimientos requeridos y establecidos
para tal propósito.
f) Se verifica si la nueva aplicación funciona en serie (Dejar la nueva y no usar la vieja), o por
el contrario se continua en paralelo por un tiempo determinado.
g) Se debe constatar que cada uno de los documentos de aceptación, cumplen con las
autorizaciones correspondientes para cada etapa de evaluación.

2.6. AUDITORIA A APLICACIONES EN FUNCIONAMIENTO

El propósito es evaluar el grado de cumplimiento de los objetivos bajo los cuales fueron
creadas las mismas, como herramientas operativas eficaces en la consecución de los objetivos
generales de una empresa o entidad.

2.6.1. RECOGIDA DE LA INFORMACIÓN Y DOCUMENTACIÓN

Permite el conocimiento básico de la aplicación y su entorno, del cual realizamos un estudio


preliminar, para determinar los puntos débiles existentes y aquellas funciones que puedan
significar riesgos:

Esto se logra con entrevistas del área usuaria de la aplicación y usuarios de sistemas;
recopilando información que permite profundizar el conocimiento, para así establecer los
objetivos concretos de la auditoria a realizar, identificando las personas claves y creando en
ellas un ambiente de colaboración.

Pasos para el cumplimiento de esta etapa:

a) Adquirir una visión global del sistema, incluyendo el manual del usuario.

21
b) Conocer la organización y procedimientos de servicio (pruebas, segregación de
funciones, protección física, lógica, etc.)
c) Recursos del entorno de la aplicación (configuración, periféricos, líneas de
comunicación, etc).
d) Software de aplicación con sus seguridades y riesgos inducidos
e) Arquitectura y características lógicas de la aplicación (Programación, bases de datos,
ficheros, modo de captura, listados)
f) Condiciones de seguridad y estadísticas de tiempo de la aplicación.

Es aconsejable solicitar los documentos y soportes informáticos que faciliten su relación, para
llevar a cabo esta evaluación.

2.6.2. OBJETIVOS DEL ALCANCE DE LA AUDITORIA

Examinados los documentos y los temas de las entrevistas, es el momento de establecer el


objetivo o alcance de la auditoria, y el plan detallado del trabajo a realizar (cumplimiento de
objetivos, satisfacción de usuarios, controles de acceso, fiabilidad de la información), en el cual
se debe incluir:

a) Planificación del trabajo y tiempo a emplear


b) Herramientas y métodos
c) Programa de trabajo detallado desarrollando temas como:

 Modelos de captura y validación


 Soporte de los datos a capturar
 Controles preventivos
 Tratamiento de errores
 Controles de salida
 Pistas de Auditoria
 Salvaguardias
 Integridad de los datos
 Evaluación de los controles

d) Test de confirmación y cumplimiento sobre datos y resultados.

2.6.3. TRABAJO DE CAMPO, INFORME Y MEJORAS

En el trabajo de campo se desarrolla el programa de trabajo establecido, es importante incluir el


uso de PC’s en el soporte de los papeles de trabajo, se adquiere más imagen y productividad.

Con respecto al informe se debe incluir una opinión sobre aquellos aspectos relevantes en la
evaluación de la aplicación, y que significan un riesgo para la empresa, y que conduzcan al
desmejoramiento de su imagen o eficacia.

En cuanto a las mejoras y/o recomendaciones, lo importante es que la empresa auditada, las
implante como objetivos dentro del plan de desarrollo o estratégico de sistemas, a fin de
garantizar resultados positivos para el ente empresarial. Estas recomendaciones deben
precisar áreas afectadas y a corregir.

2.7. INFORME DE AUDITORIA

Es el objetivo de la auditoria informática; donde se debe emitir un juicio de valor u opinión


justificada, que tiene su soporte en los papeles de trabajo, y se debe materializar por escrito.

Es importante resaltar aspectos previos al informe como son:

22
A. NORMA : Conjunto de leyes o reglas que se deben seguir, o deben ajustarse todos los
actos fijados por una empresa, en una nación o internacionalmente, con relación a la
auditoria informática. Ej: SISAS, COBIT

B. EVIDENCIA : Base razonable de la opinión del auditor, en ella podemos Observar:

a) Evidencia Relevante : Relación lógica con los objetivos de la auditoria


b) Evidencia Fiable : Válida y objetiva, con nivel de confianza
c) Evidencia Suficiente : De tipo cuantitativo para soportar la opinión.
d) Evidencia Adecuada : De tipo cualitativo para soportar conclusiones.

C. IRREGULARIDAD : Fraudes o errores que pueden existir en un ambiente de sistemas de


información. Es importante resaltar la prudencia con la cual debe actuar el auditor, en caso
de detectar un fraude; aunque siempre debe prevalecer el secreto profesional.

D. DOCUMENTACIÓN : Es el conjunto de los papeles de trabajo preparados o recibidos por


el auditor, para ejecutar su trabajo y llegar a formarse su opinión. Estos pueden llegar a
tener valor legal. Debe respetarse su cronología, organización, proceso de archivo,
custodia y toda la normatividad vigente y legal.

Los aspectos tratados anteriormente determinan si un informe es corto o largo, con relación a
las irregularidades encontradas.

Es usual y recomendable redactar informes preliminares, aunque originan como resultado


controversia entre el auditor y el auditado, pero que pueden ayudar al auditor en descubrir
fallas de apreciación.

2.7.1. PUNTOS BÁSICOS DEL INFORME

I. Identificación del informe:

El objetivo es distinguirlo de otros informes

II. Identificación del cliente:

Los destinatarios y personas que efectuaron el encargo, con indicación de jefaturas y


responsabilidades.

III. Identificación de la entidad.

IV. Objetivos de la Auditoria:

Para identificar su propósito y alcance; señalando los objetivos incumplidos y observando el


siguiente orden:

a) Situación Actual : Cuando se refiere a una revisión periódica, que evalúa una situación en
el tiempo, se expone la situación prevista y la actual.

b) Repercusión : Hallar parámetros que establezcan tendencias futuras.

c) Puntos Débiles y Amenazas : Para crear los controles necesarios.

d) Recomendación y plan de Acción : Constituye con el punto ©, el verdadero objetivo de la


auditoria.

23
V. Normatividad Aplicada:

Hace referencia a las normas legales y profesionales.

VI. Alcance de la Auditoria:

Corresponde a la naturaleza y extensión del trabajo realizado, destacando área organizativa,


período de auditoria, sistemas de información, etc. Resaltando las limitaciones y restricciones al
alcance por parte del auditado.

VII. Conclusión:

Se deben incluir hechos importantes, para no desviar la atención del lector, además de
consolidar los hechos descritos en el mismo.

El informe contendrá uno de los siguientes tipos de opinión:

a) Favorable : Sin salvedad o limpia, se manifiesta de forma clara y precisa, no existieron


limitaciones en el alcance, sin incertidumbre, se ajusta a la normatividad legal y profesional.

b) Con Salvedad : Se reitera lo dicho en la opinión favorable, resaltando las restricciones


significativas con relación a los objetivos de la auditoria, describiendo con precisión y
naturaleza las razones. (limitación en el alcance, incertidumbre, irregularidades significativas,
incumplimientos de normatividad legal).

c) Desfavorable : También adversa se aplica cuando se identifican irregularidades


significativas, incumplimientos en la normatividad legal que afecten los objetivos de la
auditoria.

d) Denegada : Abstención de opinión se presenta cuando hay un alto porcentaje en la


limitación al alcance del auditor, incertidumbre significativa que no permite al auditor
formarse una opinión, incumplimientos a la normatividad legal y profesional en forma
compleja.

VIII. Identificación y firma del Auditor.

IX. Carta de Introducción:

Se debe tener en cuenta la distribución del informe que debe corresponder a lo estipulado en el
contrato. La carta de introducción resume la auditoria realizada, se dirige solo al responsable
máximo de la empresa, o a la persona que encargo o contrato la auditoria, y esta compuesta
por:

a) Como máximo cuatro folios


b) Incluye fecha, naturaleza, objetivos y alcance
c) Cuantifica la importancia de las áreas auditadas
d) Proporciona una conclusión general, de las áreas de gran debilidad
e) Presenta las debilidades en orden de importancia y gravedad
f) No se escribirán nunca recomendaciones.

2.8. PARTICIPACIÓN DEL AUDITOR EN LA SELECCIÓN Y ADQUISION DE HARDWARE Y


SOFTWARE

24
En este aspecto es aconsejable requerir ayuda legal cuando se celebran contratos de software
y hardware, para garantizar que la compra se encuentra totalmente protegida, incluso si el
proveedor cambia o desaparece del mercado; además es importante involucrar a las personas
que tienen el conocimiento jurídico, para que emitan un concepto en cuanto a la forma de
celebrar el contrato en lo correspondiente a la parte legal, y brindar a su vez, por parte del
departamento de sistemas, el apoyo técnico requerido a la parte jurídica, a fin de aclarar los
requerimientos técnicos que se están adquiriendo o forman parte del contrato.

2.8.1. FACTORES INCIDENTES EN LA SELECCIÓN DE HARDWARE

En principio la adquisición de hardware, era mera recomendación de terceros, sin obtener un


estudio serio de las necesidades básicas y estratégicas de una empresa, donde se
descuidaban aspectos tan determinantes como el tamaño del equipo y las necesidades de
capacidad, así mismo el nivel de adquisición a veces lo determinaba el factor financiero, es
decir, bajo estos parámetros no se observaba un análisis que involucrara las necesidades a
corto y largo plazo de una entidad.

El punto de inicio en la decisión sobre las necesidades de equipo lo constituye o determina el


tamaño y los requerimientos de capacidad, además de las terminales que se necesitan para la
operación general de la empresa. Es importante recordar que un sistema específico de
computo puede ser apropiado para un tipo de trabajo y no puede serlo para otro, se deben
tener en cuenta los factores de compatibilidad.

Entre las características relevantes que se deben considerar, se incluyen aspectos como:

a) Tamaño interno de memoria


b) Velocidad de procesamiento
c) Numero de canales para entrada, salida y comunicación
d) Características de exhibición y componentes de comunicación
e) Tipos y cantidad de unidades de almacenamiento auxiliar que se puede incluir
f) Apoyo de sistemas o software de utilería que proporciona o que está disponible
g) Compatibilidad

Es preciso indicar que las necesidades de software a menudo dictan las necesidades de
hardware y viceversa.

La adquisición mediante la compra constituye el método más común, y con el tiempo


representa la opción con costo más bajo, que rentar a corto o largo plazo; debido a la ventajas
fiscales que ella representa. Una mala elección de hardware significaría para la empresa una
desventaja, ya que resultaría difícil su cambio a otro diferente de forma inmediata, lo cual
conlleva a venderlo o a adaptarlo, para cambiarlo posteriormente; en conclusión la empresa se
encierra en un problema que repercute a todo nivel tanto administrativo como operativo,
teniendo incidencia en su eficiencia y consecuentemente con su eficacia.

Por las razones expuestas, el auditor debe analizar las necesidades estratégicas de la
empresa, que le sirvan de soporte para determinar el tipo de hardware que requiere, y a su vez
realizar las evaluaciones pertinentes al particular, recordando el principio de Calidad, en su
concepto de “solicitar la ayuda profesional cuando se desconocen aspectos a auditar”, se hace
referencia en este tema a la parte técnica, que requiere ser bien elegida, por las consecuencias
que ella deriva de no elegirse de manera acertada.

2.8.2. EVALUACIÓN DEL PAQUETE

En lo correspondiente a software , este puede ser Operativo, Utilitario o de Aplicación, para


este ultimo se resaltan las siguientes características a tener en cuenta por parte del auditor:

a) Desarrollo Propio : Caro, falto de complejidad, relativamente inflexible


b) Paquete de Aplicación Específica : Más económico, orientado a un fin específico

25
c) Paquete de Aplicación General : Más económico, y estándar en el mercado

Lo importante es buscar un paquete adecuado en el mercado, que cumpla con las principales
funciones del sistema que se requiere, además de ser digno de confianza, fácil de usar, bien
soportado y un costo razonable.

Un buen paquete debe cumplir con un alto porcentaje de la etapas de análisis, diseño,
desarrollo e implantación, de igual manera de unos requisitos técnicos definidos por el sistema
(lenguaje de programación compatible), donde se debe evaluar el cumplimiento de:

a) Requisitos de consulta que debe apoyar el software


b) Que mejoras futuras son posibles y cuales apoyadas
c) Que hardware y características de comunicación requiere
d) Que archivos y bases de datos maneja al igual que su volumen de transacciones
e) Limites del software
f) Pistas de auditoria que brinda, suficiencia, etc
g) Controles manuales y automáticos, y cuales se deben implementar
h) Nivel de flexibilidad (cambios a necesidades dinámicas de usuario)
i) Nivel de seguridad de los datos que procesa y nivel de acceso.

Es aconsejable que el proveedor del paquete garantice ciertas ventajas que marcan diferencia
a nivel de mercadeo como son:

a) Garantía
 Errores y futuros requerimientos
 Requerimientos legales
 Nuevas versiones

b) Documentación Técnica y Usuaria


 Capacitación

c) Período de Prueba del Paquete


 Sin costo adicional, garantizando su familiarización y funcionamiento.

2.8.3. EVALUACIÓN DEL PROVEEDOR

Para abordar este punto de referencia, las principales fuentes las brindan los otros usuarios,
detallistas y la trayectoria o comportamiento que se ha ganado en el mercado el proveedor
después de haber realizado una venta a un usuario de sistemas y el apoyo posterior que ha
brindado. Cualquiera sea el proveedor elegido, se debe evaluar en este:

a) Antigüedad en la industria
b) Posicionamiento en el mercado
c) Capacidad Financiera
d) Nivel profesional del personal a cargo
e) Reputación y referencias
f) Soporte y mantenimiento
 En el sitio, tiempo de respuesta
 Disponibilidad
 Frecuencia, costo anual, que servicios incluye y cuales excluye
 Horarios de atención
g) Capacitación
 Tiempo y lugar
 Numero de personas
 Costo adicional

3. COMO ORGANIZAR LA FUNCION DE AUDITORIA DE SISTEMAS EN UNA EMPRESA

26
El auditor informático ha estado ligado siempre a la auditoria interna o a la auditoria general, en
factores unidos a la contabilidad de control, veracidad de las cifras y operaciones, etc.
Es claro que hoy en día el auditor informático, para llevar a cabo la revisión, diagnostico de los
sistemas informáticos y sistemas de información, requiere de ciertos conocimientos en ambas
disciplinas, Informática y Auditoria., además de complementar con conocimientos de Gestión de
Cambios y Gestión Empresarial, que le permitan alcanzar las características necesarias de
convertirse en un consultor de la empresa, este es el tipo de profesional que requiere el
mercado.

3.1. PERFILES PROFESIONALES DE LA FUNCION DE AUDITORIA INFORMATICA

Requiere de una persona con alto grado de calificación técnica y corrientes organizativas
empresariales, es decir, esta persona debe contar con una mezcla de auditoria financiera y de
informática general, con conocimientos básicos en:

 Desarrollo informático
 Gestión del departamento de sistemas
 Análisis de Riesgos
 Sistemas Operativos
 Telecomunicaciones
 Administración de Datos
 Comercio Electrónico
 Gestión de BD, Redes Locales
 Seguridad Física
 Ofimática
 Encriptación de Datos
 Gestión de seguridad de los sistemas
 Gestión de problemas y cambios en información

3.1.1. ORGANIZACIÓN DE LA FUNCION DE AUDITORIA INFORMATICA

El auditor informático pasa a ser un auditor y consultor del ente empresarial, no solo de los
sistemas informáticos objeto de estudio, sino de las relaciones operativas entre este y el
contexto empresarial, que lo lleva a ser un Analista, Auditor y Asesor en materias de:

a) Seguridad
b) Control Interno Operativo
c) Eficiencia y Eficacia
d) Tecnología Informática
e) Continuidad de Operaciones
f) Gestión de Riesgos

Dentro de la organización típica del departamento de auditoria informática, se pude ubicar:

I. A nivel de la auditoria operativa, financiera o gestión, pero con independencia de objetivos.


II. Su organización operativa, debe ser un grupo independiente de auditoria interna; con
accesibilidad al sistema informático e información.
III. Depender del máximo organismo de operación, no de la gerencia administrativa,
financiera o sistemas.
IV. Personal que este capacitado en auditoria informática, es decir, en auditoria y perfil
informático.

En la conformación de su organigrama, puede estar conformado por un jefe de departamento,


un supervisor o gerente y un auditor informático.

JEFE DPTO. , Desarrolla plan operativo, puestos de trabajo, planificación anual, etc

GERENTE, Ayuda a evaluar riesgos, vende la función con el auditado, dirige el trabajo

27
Y responde por estos.

AUDITOR INFORMATICO, Ejecuta directamente el trabajo, pruebas, evaluación, etc.

3.2. PRINCIPALES RIESGOS EN UN SISTEMA DE INFORMACIÓN Y MEDIOS DE


CONTROL PARA REDUCIRLOS.

Aquí se hace referencia a los controles de Aplicación en relación con los elementos del sistema
contable y los procedimientos de control de una estructura de control interno del PED, para
garantizar que los controles han sido diseñados a fin de proporcionar una seguridad razonable
en el procesamiento e información de datos.

3.2.1. CONTROLES EN EL INGRESO DE DATOS

Son de vital importancia porque la mayoría de los errores se comenten casi siempre en este
momento. Se diseñan para garantizar una seguridad razonable de que los datos recibidos para
el procesamiento han sido debidamente autorizados y convertidos en forma sensible a la
máquina. Entre los cuales se consideran:

A. CONTROLES DE VERIFICACIÓN

Incluyen la recaptura de todos o la mayor parte de los datos de entrada, por parte de una
segunda persona, comparando resultados, y utilizando documentos reversibles.

B. EDICIÓN POR MEDIO DE COMPUTADORA

Son rutinas que tienen por finalidad detectar datos incompletos, incorrectos o no razonables,
donde se incluyen:

 Comprobación de datos faltantes


 Verificación de caracteres válidos
 Verificación de límites (razonabilidad)
 Verificación de signos válidos
 Verificación de código correcto
 Verificación de digito

C. TOTALES DE CONTROL

Conocidos como totales batch o por lotes, donde se incluyen:

 Totales financieros
 Totales hash (cifras de control)
 Recuento de documentos

3.2.2. CONTROLES EN EL PROCESAMIENTO

Esta clase de controles son diseñados para evitar que se pierdan, añadan, dupliquen o alteren
datos durante el procesamiento. Los más comunes son los incorporados a las aplicaciones
individuales de software, donde se incluyen:

A. CONTROL DE TOTALES

El comando para acumular totales de controles se incluye en el programa, para facilitar el


equilibrio de los totales de entrada con los totales de procesamiento para cada corrida.

B. ETIQUETAS PARA IDENTIFICAR ARCHIVOS

28
Son marcar externas físicamente a cintas magnéticas o discos par permitir la identificación
visual del un archivo. Las etiquetas de archivos internos se encuentra bajo formas legible por la
máquina y se comparan de manera electrónica con instrucciones específicas de los
ordenadores, antes de iniciarse un proceso.

C. VERIFICACIÓN DE LIMITES Y RAZONABILIDAD

Es equivalente al control descrito en la edición por computadora.

D. INFORME ANTES Y DESPUÉS

Muestra un resumen de los contenidos del archivo antes y después de cada actualización

E. PRUEBAS DE SECUENCIA

Cuando a las transacciones se les asigna un número de identificación, o si los registros se han
de procesar en un orden específico.

F. DATOS DE RASTREO O PROCESO

Involucra un listado de datos específicos, para inspección visual con el fin de determinar si el
procesamiento es correcto. Para evaluar cambios en partidas críticas, puede incluir el
contenido antes y después del procesamiento.

3.2.3. CONTROLES DE SALIDA

Para asegurar que el resultado del procesamiento es correcto y de que solo personal
autorizado reciba los resultados, es importante incluir una hoja de distribución de informes. Se
incluyen:

A. CONCILIACIÓN DE TOTALES

Los totales de salida se concilian con los totales de entrada y de procesamiento, por el grupo
de control y usuario final.

B. COMPARACIÓN CON DOCUMENTO FUENTE

Confrontar los datos de salida detalladamente con el documento fuente.

C. ANÁLISIS VISUAL

Los resultados se analizan para asegurarse de su totalidad y aparente razonabilidad, los reales
con los resultados estimados.

3.3. PLAN DE CONTINGENCIAS

Hace referencia al conjunto de actividades y procedimientos tendientes a conservar la vida y la


integridad de las personas, recursos de hardware y software, en el evento de verse
amenazados, mediante cualquier acto de desastre (incendio, inundación, etc).

3.3.1. DEFINICIÓN Y OBJETIVOS

Es una estrategia planificada, que esta constituida por un conjunto de recursos de respaldo,
una organización de emergencia y procedimientos; cuyo objetivo es la recuperación progresiva
y ágil de los servicios afectados por un desastre, y todo esto debe ser llevado a un manual
escrito y actualizado, que debe ser probado, publicado, enseñado y practicado periódicamente.

29
Un desastre además de no avisar, interrumpe el normal funcionamiento de una empresa,
aunque la probabilidad de ocurrencia es baja, en caso de que ocurra la repercusión es fatal,
sino existe un plan contingente.

El plan de contingencia es equivalente a un plan de recuperación, pero diferente a un plan de


restauración interna, el cual es enfocado al CPD (centro de procesamiento de datos) sobre
eventos del entorno, como caídas del sistema, roturas leves, etc., que no afectan gravemente
la continuidad de operaciones.

El plan de contingencias informático, debe hacer parte del plan corporativo de contingencias de
una empresa, que garantice no solamente la pronta restauración del sistema, sino la
disposición inmediata de las personas, por tal razón se debe garantizar su integridad física
dentro del plan.

3.3.2. CONSIDERACIONES GENERALES PARA DESARROLLAR UN PLAN

a) Realizar análisis de riesgos de sistemas críticos, que determinen la tolerancia de los


sistemas.
b) Establecer un periodo crítico de recuperación, y reanudar antes de sufrir perdidas
significativas.
c) Realizar análisis de aplicaciones críticas, para determinar prioridades de proceso.
d) Establecer objetivos de recuperación, que determinen (horas, días, semanas) entre el
desastre y reinicio de aplicaciones críticas.
e) Designar un centro alternativo de proceso de datos.
f) Asegurar la capacidad de las comunicaciones y servicio de backup, para compensar en
mayor o menor medida las perdidas.

Dentro de la etapas que se deben tener en cuenta al desarrollar un plan de contingencias se


consideran las siguientes:

 ANÁLISIS Y DISEÑO

Se analizan las problemáticas, necesidades de recursos y alternativas de respaldo, que


determinan el costo/beneficio de las mismas, esta es la etapa más costosa y la que determina
la viabilidad de implantar o no un plan de contingencias.

Hay personas que acostumbran iniciar esta etapa basándose en la Probabilidad (estadística)
de ocurrencia de un desastre, por el contrario otras personas se basan en el Impacto (imagen)
que significa para la empresa si llegara a suceder, es decir, consideran hechos reales.

 DESARROLLO DEL PLAN

Se desarrolla la estrategia seleccionada, implantan acciones previstas, las diferentes


organizaciones de emergencia y los procedimientos de actuación; hechos que originan o
conllevan a la documentación del plan.

 PRUEBAS Y MANTENIMIENTO

Se definen sus características, ciclos y se lleva a cabo la primer prueba, para familiarizar al
personal implicado. De igual forma su estrategia de mantenimiento, responsable, normatividad
y procedimientos para llevarlo a cabo.

3.3.3. RESULTADOS QUE SE OBTIENEN AL DESARROLLAR UN PLAN DE


CONTINGENCIAS

30
a) Garantizar la continuidad de las operaciones de la empresa, en el menor tiempo posible.
b) Evitar la perdida de imagen corporativa por el efecto del desastre.
c) Ser preventivos y ejercer un control Pre-desastre,
d) Crear la cultura de autocontrol, para defender los intereses de los accionistas, clientes y
proveedores.
e) Garantizar protección de hardware, software y del recurso humano.

31

S-ar putea să vă placă și