Auditoria de Sistemas

Pamplona
Universidad de
Centro de Educacin a Distancia
Programas de Educacin a Distancia
Auditoria de Sistemas
Hugo Fernando Castro Silva
Formando Colombianos de Bien

lvaro Gonzlez Joves
Rector
Mara Eugenia Velasco Espitia
Decana Facultad de Estudios a Distancia
Luis Armando Portilla Granados
Director Centro de Educacin a Distancia
Tabla de Contenido
Presentacin Introduccin Horizontes UNIDAD 1: Auditoria de Sistemas y el Auditor de Sistemas de Informacin Contable Descripcin Temtica Horizontes Ncleos Temticos y Problemticos Proceso de Informacin. 1.1 SITUACIN ACTUAL DE LA AUDITORIA DE SISTEMAS PARA LA INFORMACIN CONTABLE 1.1.1 Definiciones 1.2 EL IMPACTO DE LA TECNOLOGA DE INFORMACION EN LA AUDITORIA FINANCIERA 1.2.1 Tendencias Actuales de la Tecnologa de la Informacin y sus Implicaciones en la Auditoria Financiera 1.2.2 Efecto de la Globalizacin de los Mercados 1.2.3 Respuesta a las Presiones Competitivas 1.2.4 Cambio en el Funcionamiento de las Empresas 1.2.5 Reduccin de Costos 1.2.6 Disponibilidad de Acceso a la Informacin 1.2.7 Medio Ambiente Regulador 1.2.8 Integracin de los Sistemas de Informacin Contables 1.2.9 Avances Tecnolgicos 1.3 CAMPO DE ACCIN DE LA AUDITORIA DE SISTEMAS DE INFORMACIN 1.4 UBICACIN TIPICA DE LA AUDITORIA DE SISTEMAS 1.5 TECNICAS DE AUDITORIA DE SISTEMAS DE INFORMACIN 1.5.1 Tcnicas Manuales 1.5.2 Tcnicas Automatizadas 1.5.3 Tcnicas para Verificar Transacciones 1.5.4 Tcnicas para Analizar Programas 1.5.5 Auditoria Alrededor del Computador vs. a Travs del Computador.
OBJETIVOS DEL CONTROL EN LA AUDITORIA DE SISTEMAS DE INFORMACION CONTABLE 1.6.1 Entorno de Auditoria y Control 1.6.2 Objetivos de Autorizacin 1.6.3 Objetivos del Procesamiento y Clasificacin de Transacciones Financieras 1.6.4 Objetivos de Salvaguarda Fsica 1.6.5 Objetivos de Verificacin y Evaluacin 1.7 BASES PARA LA AUDITORIA DE SISTEMAS DE INFORMACION. 1.8 REPERCUCIN DEL ENTORNO INTERNACIONAL EN LAS AUDITORIAS DE SISTEMAS DE INFORMACION CONTABLES 1.9 COMPETENCIAS PRINCIPALES DEL AUDITOR DE SISTEMAS DE INFORMACIN 1.9.1 Intervencin en el Diseo de Sistemas 1.9.2 Auditoria de Aplicaciones 1.9.3 Revisin de la Integridad de la Informacin 1.9.4 Revisin del Mantenimiento a Sistemas y Programas 1.9.5 Revisin de Procedimientos Generales de Operacin 1.9.6 Revisin del Sistema Operacional 1.9.7 Revisin Administrativa 1.9.8 Administracin de Sistemas de Informacin Especializados para Auditores de Sistemas 1.10 FORMACIN DEL AUDITOR DE SISTEMAS DE INFORMACIN CONTABLE 1.11 RESPONSABILIDADES DEL AUDITOR Proceso de Comprensin y Anlisis Solucin de Problemas Sntesis Creativa y Argumentativa Autoevaluacin Repaso Significativo Bibliografa Sugerida UNIDAD 2: Control y Riesgo del Sistema de Informacin Contable Descripcin Temtica Horizontes Ncleos Temticos y Problemticos Proceso de Informacin 2.1. DEFINICIN 2.2. MARCO DE REFERENCIA PARA EL CONTROL 2.2.1 Estructura de Control Organizacional 2.2.2 Gerencia versus Control
1.6
CONTROLES SOBRE DESARROLLO, ADQUISICIN Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN CONTABLES 2.3.1 Investigacin Preliminar y Anlisis de Informacin 2.3.2 Diseo de Sistemas de Informacin 2.3.3 Diseo de Controles y Seguridades 2.3.4 Diseo de Pistas de Auditoria 2.3.5 Desarrollo e Implantacin del Sistema 2.3.6 Operacin y Mantenimiento del Sistema 2.3.7 Post-implantacin de un Nuevo Sistema de Informacin 2.4 REVISIN DE TCNICAS DE FRAUDE INFORMTICO 2.4.1 Manipulacin de Transacciones 2.4.2 Tcnica de Salami 2.4.3 Tcnica del Caballo de Troya 2.4.4 Bomba Lgica 2.4.5 Juego de la Pizza 2.4.6 Ingeniera Social 2.4.7 Trampas- Puerta 2.4.8 Superzaping 2.4.9 Evasiva astuta 2.4.10 Recoleccin de Basura 2.4.11 Ir a Cuestas para Obtener Acceso no Autorizado 2.4.12 Puertas Elevadizas 2.4.13 Tcnica de Taladro 2.4.14 Intercepcin de Lneas de Comunicacin 2.4.15 Los Virus Proceso de Comprensin y Anlisis Solucin de Problemas Sntesis Creativa y Argumentativa Autoevaluacin Repaso Significativo Bibliografa Sugerida UNIDAD 3: Identificacin y Evaluacin de Riesgos Potenciales y Definicin del Alcance de la Auditoria Descripcin Temtica Horizontes Ncleos Temticos y Problemticos Proceso de Informacin 3.1 RIESGOS 3.1.1 Fraude / Robo 3.1.2 Prdida de Negocios y Credibilidad Pblica 3.1.3 Sanciones Legales
2.3
3.1.4 Decisiones Errneas 3.1.5 Dao y Destruccin de Activos 3.1.6 Desventaja Competitiva 3.2 CAUSAS DE RIESGOS 3.3 MATRIZ DE RIESGOS VS. PROCESOS CON LA UBICACIN DE LAS CAUSAS DE RIESGOS 3.4 MATRIZ DE RIESGOS VS. DEPENDENCIAS (REAS) CON LA UBICACIN DE LAS CAUSAS DE RIESGOS 3.5 MATRIZ DE PROCESOS VS. DEPENDENCIAS CON LA UBICACIN DE LAS CAUSAS DE RIESGOS Proceso de Comprensin y Anlisis Solucin de Problemas Sntesis Creativa y Argumentativa Autoevaluacin Repaso Significativo Bibliografa Sugerida UNIDAD 4: Evaluacin del Sistema de Control Interno Informtico Descripcin Temtica Horizontes Ncleos Temticos y Problemticos Proceso de Informacin 4.1 REAS DE CONTROL (PROCESOS) 4.1.1 Origen y Preparacion de Datos 4.1.2 Entrada de Datos 4.1.3 Procesamiento y Actualizacion de Informacin 4.1.4 Salida de Datos 4.1.5 Control de Acceso 4.1.6 Cambio al Software 4.1.7 Respaldos y Planes de Contingencia 4.1.8 Terminales y Comunicacin de Datos 4.1.9 Documentacin 4.1.10 Utilizacion y Control de Resultados y Satisfaccion del Usuario 4.1.11 Seguridad Fisica y Controles en las Instalaciones. 4.2 EJEMPLOS DE CONTROLES Proceso de Comprensin y Anlisis Solucin de Problemas Sntesis Creativa y Argumentativa Autoevaluacin Repaso Significativo Bibliografa Sugerida
UNIDAD 5: Papeles de Trabajo del Centro de Computo Aplicacin (Prctica) Descripcin Temtica Horizontes Ncleos Temticos y Problemticos Proceso de Informacin 5.1 PLANEACIN DE LA AUDITORIA 5.2 GUIA PARA ELABORAR EL ARCHIVO PERMANENTE 5.2.1 Organizacin del Departamento de Sistemas. 5.2.2 Hardware y Software de Computador 5.2.3 Costos Anuales del Departamento de Sistemas 5.2.4 Otros Datos e Inters 5.3 FORMATO PARA DETERMINAR LA IMPORTANCIA DE LAS APLICACIONES DE COMPUTADOR 5.4 FORMATO PARA DETERMINAR LA IMPORTANCIA DEL CENTRO DE PROCESAMIENTO DE DATOS 5.5 CUESTIONARIOS DE CONTROL 5.5.1 Area De Planeacin 5.5.2 rea de Organizacin 5.5.3 rea de Backup y Recuperacin 5.5.4 rea de Seguridad 5.5.5 rea de Produccin 5.5.6 Plan de Contingencias 5.5.7 rea de Desarrollo de Sistemas 5.5.8 rea de Eficiencia 5.6 AUDITORIA DE CONTROLES GENERALES AL CENTRO DE PROCESAMIENTO DE DATOS 5.7 PROBABILIDAD DE LAS AMENAZAS 5.8 EJEMPLO MATRIZ DE EVALUACIN DE RIESGOS Y CONTROLES 5.9 AUDITORIA DE LAS APLICACIONES EN FUNCIONAMIENTO 5.10 GUA PARA ELABORAR EL ARCHIVO PERMANENTE DE LA APLICACIN 5.10.1 Objetivos, Alcance y Tamao de la Aplicacin Proceso de Comprensin y Anlisis Solucin de Problemas Sntesis Creativa y Argumentativa Autoevaluacin Repaso Significativo Bibliografa Sugerida BIBLIOGRAFA GENERAL
Presentacin
La educacin superior se ha convertido hoy da en prioridad para el gobierno Nacional y para las universidades pblicas, brindando oportunidades de superacin y desarrollo personal y social, sin que la poblacin tenga que abandonar su regin para merecer de este servicio educativo; prueba de ello es el espritu de las actuales polticas educativas que se refleja en el proyecto de decreto Estndares de Calidad en Programas Acadmicos de Educacin Superior a Distancia de la Presidencia de la Repblica, el cual define: Que la Educacin Superior a Distancia es aquella que se caracteriza por disear ambientes de aprendizaje en los cuales se hace uso de mediaciones pedaggicas que permiten crear una ruptura espacio temporal en las relaciones inmediatas entre la institucin de Educacin Superior y el estudiante, el profesor y el estudiante, y los estudiantes entre s. La Educacin Superior a Distancia ofrece esta cobertura y oportunidad educativa ya que su modelo est pensado para satisfacer las necesidades de toda nuestra poblacin, en especial de los sectores menos favorecidos y para quienes las oportunidades se ven disminuidas por su situacin econmica y social, con actividades flexibles acordes a las posibilidades de los estudiantes. La Universidad de Pamplona gestora de la educacin y promotora de llevar servicios con calidad a las diferentes regiones, y el Centro de Educacin Virtual y a Distancia de la Universidad de Pamplona, presentan los siguientes materiales de apoyo con los contenidos esperados para cada programa y les saluda como parte integral de nuestra comunidad universitaria e invita a su participacin activa para trabajar en equipo en pro del aseguramiento de la calidad de la educacin superior y el fortalecimiento permanente de nuestra Universidad, para contribuir colectivamente a la construccin del pas que queremos; apuntando siempre hacia el cumplimiento de nuestra visin y misin como reza en el nuevo Estatuto Orgnico: Misin: Formar profesionales integrales que sean agentes generadores de cambios, promotores de la paz, la dignidad humana y el desarrollo nacional. Visin: La Universidad de Pamplona al finalizar la primera dcada del siglo XXI, deber ser el primer centro de Educacin Superior del Oriente Colombiano. Luis Armando Portilla Granados. Director CEDUP
UNIVERSIDAD DE PAMPLONA Centro de Educacin a Distancia
Introduccin
Aunque la nueva generacin de sistemas de informacin contables, proporciona bastantes beneficios a las organizaciones, la complejidad y sofisticacin de estos sistemas proporciona nuevos retos a los auditores. Quizs, el mayor reto para este colectivo est en mantenerse actualizado y comprender los ltimos avances tecnolgicos en que se apoyan las aplicaciones (sistemas de administracin de bases de datos, redes, provisiones de seguridad, hardware y sistemas operativos). Para auditar eficientemente los sistemas de informacin contables de las empresas, sin importar el tamao ya que en la PYME es el sector donde ms esta creciendo el uso de tecnologa informtica, los auditores tienen que entender los riesgos inherentes de su aplicacin. Como el avance en la tecnologa informtica y los sistemas de informacin de los negocios es imparable, los auditores tienen que mantener siempre un nivel creciente en el conocimiento de estos sistemas. Para ayudar a las organizaciones a garantizar el control y la auditabilidad de los sistemas de aplicacin, los auditores deben estar involucrados en su diseo, desarrollo e implementacin. Los sistemas que se desarrollen de una manera estructurada y organizada con controles construidos en su diseo, son los sistemas que ms eficaz y eficientemente apoyan los objetivos de la organizacin. El objetivo es analizar el impacto tecnolgico en la auditoria de sistemas de informacin contable, la formacin, y habilidades que debe poseer el profesional de la contabilidad y la auditoria para desempear su papel en la empresa actual, una propuesta metodolgica ordenada eficaz y fcil de aplicar para auditar la seguridad de los sistemas de informacin contables y su entorno en una PYME, analizar y comparar algunos de los principales estndares y regulaciones en materia de auditoria y control de sistemas de informacin de aceptacin a nivel internacional.
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia
Horizontes
Mantener actualizado y comprender los ltimos avances tecnolgicos en que se apoyan las aplicaciones; sistemas de administracin de bases de datos, redes, provisiones de seguridad, hardware y sistemas operativos. Auditar eficientemente los sistemas de informacin contables de las empresas, sin importar el tamao, ya que en la PYME es el sector donde ms esta creciendo el uso de tecnologa informtica. Ayudar a las organizaciones a garantizar el control y la auditabilidad de los sistemas de aplicacin. Estructurar y organizar los controles construidos en su diseo, siendo los sistemas ms eficaces y eficientes los que apoyan los objetivos de la organizacin.
Costos Bsicos
UNIDAD 1: Auditoria de Sistemas y el Auditor de Sistemas de Informacin Contable

Descripcin Temtica En un principio, el inters del auditor en la aplicacin comercial de los sistemas fue mnimo, ya que el origen del computador como herramienta fue cientfica y el nfasis del contador era comercial; sin embargo, se aplicaba en los terrenos contable y financiero donde era indispensable para preparar cuadros y tablas. A partir de 1960, la sistematizacin electrnica permeabiliz las funciones gerenciales y administrativas especialmente la contable lo que hizo que el auditor se interesara por este mtodo de proceso.
Horizontes
Conocer el principio de inters en la aplicacin comercial del auditor. Permeabilizar las funciones gerenciales y administrativas. Identificar el papel desempeado por los contadores y auditores en todas las sociedades. Responder a las tendencias de globalizacin e internacionalizacin con mayores contribuciones y mejores estndares. Competencias Principales del Auditor de Sistemas de Informacin. Formacin del Auditor de Sistemas de Informacin Contable. Responsabilidades del Auditor.
Ncleos Temticos y Problemticos

Situacin Actual de la Auditoria de Sistemas para la Informacin Contable. El impacto de la tecnologa de informacin en la auditoria financiera. Campo de accin de la auditoria de sistemas de informacin. Ubicacin tpica de la auditoria de sistemas. Tcnicas de auditoria de sistemas de informacin. Objetivos del control en la auditoria sistemas de informacin contable. Bases para la auditoria de sistemas de informacin Repercusin del entorno internacional en las auditorias de sistemas de informacin contables. Competencias principales del auditor de sistemas de informacin. Formacin del auditor de sistemas de informacin contable. Responsabilidades del auditor.
Proceso de Informacin
1.1 1.1.1 SITUACIN ACTUAL DE LA AUDITORIA DE SISTEMAS PARA LA INFORMACIN CONTABLE Definiciones
Auditoria de Sistemas de Informacin

Es la revisin y evaluacin de los controles, sistemas y procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participa en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin, de los equipos, del recurso humano, se mejoren los procesos y se logre de manera integrada una organizacin gil, dinmica, controlada y segura. Este tipo de auditoria comprende la evaluacin de todos los aspectos de los sistemas automatizados de procesamiento de informacin, incluyendo los procesos no automatizados relacionados y las interfaces entre ellos
Es la evaluacin del ambiente de procesamiento electrnico de datos para presentar alternativas de soluciones a la empresa moderna y promueve la automatizacin en las diferentes modalidades de las auditorias
Auditoria Informtica
La auditoria es la actividad encaminada a realizar el examen metdico de una situacin empresarial relativa a un producto, proceso u organizacin, en materia de calidad, realizado en cooperacin con los usuarios y encaminado a verificar la concordancia de la realidad con lo preestablecido y la adecuacin al objeto buscado. Teniendo como el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficazmente los recursos.
Auditoria de Calidad
Es realizar todas las auditorias descritas hasta el momento con un convencimiento total de que las actividades profesionales del auditor son de calidad siempre.
Auditoria de Sistemas con Enfoque Operacional

Es la evaluacin del control interno informtico para optimizar el recurso organizacional.
Auditoria de Procesos
Revisa y evala la eficacia y eficiencia del sistema de control de un proceso y asesora a la gerencia de manera independiente en el establecimiento y mejoramiento del sistema de control para que el proceso alcance los resultados esperados. La gerencia recibe informacin sobre dnde hay debilidades de control, sus causas y el efecto en los costos del proceso o en el producto. La tendencia actual es el control, entonces empezaremos a hablar de control informtico o de sistemas, control financiero, control operacional, control interno, control externo, control ambiental, control de gestin, control fiscal, control global, control internacional y control de calidad. Nuestra profesin debe dar un vuelco total para prestar asesoras dinmicas que faciliten a la administracin la implementacin del control y no la bsqueda del culpable del fraude, de la ineficiencia o el listado de errores y fallas.
1.2
EL IMPACTO DE LA TECNOLOGA DE INFORMACIN EN LA AUDITORIA FINANCIERA
Los avances y el uso de modernas tecnologas para el procesamiento de la informacin y las telecomunicaciones se ven reflejados en las mejoras que realizan la mayora de las organizaciones como la automatizacin de procesos, la eliminacin de espacios fsicos, operaciones virtuales e integracin de los diferentes sistemas de informacin de las empresas. Este impacto ha trado como consecuencia el aumento de los riesgos por la dependencia de las empresas de sus sistemas, incremento drsticos en procesamiento electrnico de datos, migracin de controles al ambiente p.e.d., menos visibilidad de las pistas de auditoria, segregacin de funciones hombre maquina y nuevas funciones y recursos a auditar. Tal como lo indica F, Fernndez (1998, Pg. 87-88), en entornos como el EDI, las implicaciones de las tecnologas de estos sistemas que disminuyen costos, agilizan las operaciones y permiten redefinir los procesos de negocio, hacen necesario que los auditores deban comprender los nuevos controles involucrados y los riesgos que representa este entorno para la organizacin y as no ver limitado el alcance de su trabajo. Estas tecnologas que nos llevan a hablar de la auditoria de sistemas de informacin han aportado beneficios a las empresas: mejora de la cultura de control en la organizacin, previene la ocurrencia de situaciones perjudiciales para la organizacin, genera actitud positiva hacia los controles en los responsables de las operaciones de la empresa, promueve la eficiencia operacional en el procesamiento electrnico de datos, complementa el control que ejerce la gerencia de sistemas y complementa los controles ejercidos por los usuarios internos y externos del sistema de informacin contable. 1.2.1 Tendencias Actuales de la Tecnologa de la Informacin y sus Implicaciones en la Auditoria Financiera
El ambiente de los negocios se ha visto influenciado por varias tendencias significativas. Por ejemplo la tendencia hacia la globalizacin de la empresa, el aumento de la competencia en todos los segmentos de mercado, y el grado de regulacin impuestos emitidas por las agencias gubernamentales. Como respuesta de las organizaciones a estas y otras presiones, la demanda de sistemas de informacin apoy el cambio en las empresas. Esta demanda se reafirma con la influencia de los avances tecnolgicos sobre las expectativas y necesidades de los usuarios del sistema, como por ejemplo, la disponibilidad de unidades de
almacenamiento como CD-ROM, D.V.D., etc., la migracin de los sistemas basados inteligentes de los laboratorios hacia las funciones normales de los negocios y los avances en la tecnologa de redes. 1.2.2 Efecto de la Globalizacin de los Mercados
Hoy en da y en un futuro, sern solicitados sistemas de tareas especficas para satisfacer los requerimientos de usuarios a nivel mundial, tambin como proveer a las empresas de una capacidad de procesamiento continuo e indefinido. La necesidad de interfaces para usuarios de diferentes idiomas, traslado de fondos en tiempo real y el cumplimiento con una variedad de requisitos de regulacin de cada pas sern el resultado de la demanda generada por la globalizacin. Esta clase de requerimientos en los sistemas se traducir en una mayor complejidad de los sistemas y, por ende en un mayor impacto sobre la auditoria de los mismos. La globalizacin de las empresas generar un incremento en el uso de la tecnologa de redes, junto con los riesgos inherentes. Adems del incremento de la complejidad de los sistemas y plataformas de procesamiento, el auditor llegar a familiarizarse con las diferentes tendencias resultantes de los aspectos multinacionales de la organizacin. 1.2.3 Respuesta a las Presiones Competitivas
Debido al aumento de las presiones competitivas, la organizacin deber ser ms flexible y de esta forma responder a los cambios del mercado. Igualmente existir una demanda de los sistemas de informacin. Para cumplir con estas necesidades, el diseo de los sistemas deber abarcar una amplia variedad de escenarios de los negocios, dando como resultado un sistema estable que funcionar en diferentes ambientes comerciales. Alternativamente el uso de las metodologas de desarrollo de los sistemas que facilitan una implementacin rpida de los cambios, sern necesarios para habilitar funciones en los sistemas de informacin que permitan dar respuesta a los continuos cambios en el ambiente comercial. En cualquier caso, la frecuencia de los cambios en los sistemas necesitar una mayor atencin por parte de los auditores con el fin de asegurar un desempeo satisfactorio. 1.2.4 Cambio en el Funcionamiento de las Empresas
La descentralizacin de las empresas sigue ejerciendo un impacto sobre la arquitectura de los sistemas de informacin contable de las empresas. Las redes de rea local, la conexin de los microcomputadores, y la funcionalidad de los
microcomputadores continuarn jugando un papel importante, particularmente en las organizaciones o estructuras descentralizadas como respuesta a las presiones del mercado. Igualmente las organizaciones estn reevaluando la forma de manejar sus empresas con el propsito de readecuar las funciones, reducir los niveles de soporte y automatizar las labores de mayor demanda. El auditor debera asumir un papel mas activo en este proceso para crear nuevos controles y comprender las implicaciones de la auditoria sobre los nuevos procesos. Por ejemplo, muchas organizaciones han cambiado sus procesos de pagos desde que se remite el pago hasta cuando se ha recibido la mercanca. El uso de la tecnologa de los computadores ha facilitado el cambio en los procesos y como resultado se ha visto una reduccin en el personal que maneja el proceso de pago. Al mismo tiempo las labores de ms intensidad, como las rdenes de compras, el recibo de informes o la facturacin han sido reemplazadas por rutinas de muestreo o informe de objeciones que suministran la seguridad de un funcionamiento eficiente en los procesos de desembolso. 1.2.5 Reduccin de Costos
Como resultado directo del aumento de la competencia, las organizaciones estn enfrentando una presin adicional en el control de los costos por medio de diferentes mtodos como la reestructuracin organizacional y el Downsizing. Estas presiones han conducido a dos demandas en el sistema de informacin de la empresa: incremento en la necesidad de que los sistemas ejecuten funciones que anteriormente se han manejado en forma manual y la participacin de los sistemas de informacin en el esfuerzo por reducir costos. Como resultado, el vendedor de software es utilizado con ms frecuencia para el suministro de soluciones rpidas. La tendencia hacia las soluciones de software influye tanto en el tiempo como en la naturaleza de la auditoria sobre los procesos de desarrollo. La revisin de los controles en la pos-implementacin de los sistemas comprados a distribuidores, pueden ser menos factibles que en los sistemas desarrollados en la misma empresa. En el caso de los paquetes comprados a los distribuidores el cdigo fuente no estar disponible para la revisin del auditor. Adems, el incremento en el uso de los paquetes comprados ocasiona un cambio en las actividades de instalacin y mantenimiento, la cual es llevada a cabo fuera de la organizacin. Muchos de los paquetes comprados a distribuidores presentan condiciones, normalmente accesibles por medio de programas de configuracin con mens, que permiten adecuar el sistema para satisfacer las necesidades del cliente. La facilidad con la cual estas actividades se pueden ejecutar, ha hecho que los usuarios asuman ms responsabilidad.
10
Otra tendencia tecnolgica que tiene incidencia en la reduccin de los costos es la reingeniera de software. Esta tcnica utiliza las herramientas de ingeniera de software asistida por computador (CASE), y partiendo de un sistema ya existente desarrollan un modelo de proceso. El modelo puede ser modificado para reflejar las condiciones actuales del negocio y puede ser procesado a travs de la herramienta de desarrollo de aplicaciones para producir un sistema actualizado. La madurez de la tecnologa de reingeniera de software tiene diferentes implicaciones significativas para la auditoria. Adems de proveer un medio para actualizar los sistemas existentes en forma rpida, la reingeniera de software puede cambiar tambin los factores econmicos involucrados en la actualizacin y correccin de los controles deficientes en los actuales sistemas. Igualmente esta tcnica puede proveer un mtodo de costo-efectivo para que los auditores formulen un modelo de proceso para los sistemas antiguos, donde la documentacin del sistema existente puede estar desactualizado o incompleto. 1.2.6 Disponibilidad de Acceso a la Informacin
Como el costo del medio de almacenamiento ha disminuido, la cantidad de datos almacenados electrnicamente por la empresa, ha aumentado significativamente. La relativa facilidad del acceso en medios magnticos frente a los datos en papel ha permitido manejar el acceso a base de datos histricos mucho ms comprensibles, lo que ayuda a la toma de decisiones. Debido a la globalizacin de las organizaciones y sus mercados, se continuar incrementada la cantidad de datos requeridos para el manejo efectivo de los negocios. Estos factores vuelven a colocar a un nivel alto el nfasis sobre los programas de manejo efectivo de los datos. Desde la perspectiva del auditor, no slo sern requeridos los controles para asegurar que los datos necesarios para el manejo, estn disponibles cuando sean pedidos y sean precisos, pero habr tambin la necesidad de garantizar que los datos sean destruidos cuando no sean de utilidad. La destruccin oportuna de los datos elimina el exceso de costo por la retencin de datos y limita el riesgo que tiene la organizacin desde un punto de vista de litigios. Otro aspecto en el incremento de la disponibilidad de informacin resulta de los cambios filosficos en la relacin que puede haber entre el trabajo y la administracin en muchas organizaciones. Una vez se ha caracterizado como adversa la relacin, esta es reemplazada por un ambiente de cooperacin y compaerismo. Este movimiento tiene resultado en un medio ambiente abierto, estamos hablando de compartir datos del negocio entre los participantes. Desde la
11
perspectiva del auditor, esto puede afectar, debido a diseminacin indiscriminada de los datos del negocio, como consecuencia la valoracin del riesgo y los controles de acceso se enfocarn ms sobre la sensibilidad de la informacin y la importancia de la confidencialidad. 1.2.7 Medio Ambiente Regulador
Los requerimientos de las diferentes agencias gubernamentales colocan exigencias adicionales sobre los sistemas de informacin. Debido a que las regulaciones gubernamentales cambian y las organizaciones comienzan a depender ms de los datos almacenados en medios magnticos como soporte de conformidad con las regulaciones, las aplicaciones debern ser modificadas o perfeccionadas para satisfacer la demanda. Adicionalmente las implicaciones de las debilidades del control en cuanto hace referencia a la retencin de los datos de la organizacin y las polticas de seguridad sern ms significativas. Por ejemplo, si los medios magnticos son utilizados para almacenar datos exigidos por la administracin de impuestos, se podra incurrir en sanciones financieras significativas, si los datos son borrados en forma prematura o no pueden ser ledos en el momento. 1.2.8 Integracin de los Sistemas de Informacin Contables
Los sistemas integrados continan reemplazando las aplicaciones individuales del pasado. Los sistemas integrados se caracterizan por base de datos pblicos, rutinas de edicin y validacin comunes, mtodos de acceso y navegacin, e informe y formatos de pantalla consistentes. Los objetivos de la integracin estn orientados a reducir las redundancias en los datos y funciones, ampliando el desarrollo de sistemas y actividades de mantenimiento, y mejorar el acceso a la informacin de vital importancia para la organizacin. Ya que aumenta la integracin de la informacin, aumenta la complejidad de los sistemas y el riesgo asociado a stos. Otra forma de integrar la informacin es el nter organizacin de los sistemas; estos sistemas se caracterizan por el esfuerzo de dos organizaciones en el desarrollo cooperativo de los sistemas, es decir el comprador y el vendedor utilizando en lo posible estndares. Estos sistemas requieren por lo menos de dos partes, a menudo con diferentes objetivos comerciales, para colaborar en el desarrollo de la unin de un sistema basado en computadores. Cada parte normalmente desarrolla y opera sus componentes, pero cada uno de ellos no trabajar sin el otro componente.
12
1.2.9
Avances Tecnolgicos
El promedio de cambios tecnolgicos en los computadores, contina incrementndose. Los avances en cuanto al poder de procesamiento tanto en los minicomputadores como en los microcomputadores, la introduccin de la tecnologa de almacenamiento como el CD-ROM, D.V.D. etc., ejerce una influencia sobre los sistemas de negocios. Uno de los mayores cambios que enfrentar el auditor interno ser el mantenimiento de un nivel de conocimientos suficientes para juzgar las implicaciones del control de la tecnologa que sirve como fundamento en los sistemas crticos en las organizaciones. Ser necesario incrementar la especializacin dentro de la funcin del auditor o alternativamente incrementar el uso de asesores como un tercer participante u otros recursos externos especializados para la funcin de auditoria. Una de las tendencias potencialmente ms importantes es el procesamiento cooperativo con su fundamento en las arquitecturas Cliente-Servidor. Esta tecnologa facilita la integracin de computadores personales, estaciones de trabajo (Workstation), minicomputadores, supercomputadores (mainframes), redes institucionales orientadas hacia las necesidades del usuario final. Aunque el procesamiento cooperativo tiene un mayor impacto en todos los aspectos del computador y el software, este es ms grande en los programas aplicativos. Casi todas las categoras de aplicaciones se vern afectadas por los requerimientos estructurales y oportunidades funcionales de los procesamientos cooperativos. 1.3 CAMPO DE ACCIN INFORMACIN DE LA AUDITORIA DE SISTEMAS DE
La auditoria debe comprender una revisin de todas las polticas y procedimientos de seguridad, adems de las pruebas de estos procedimientos, para determinar si se estn cumpliendo y si satisfacen las normas del gobierno, de la industria y de la organizacin en las reas de evaluacin de los centros de cmputo y tecnologas relacionadas, evaluacin de los procedimientos especficos, evaluacin de los sistemas de informacin, entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin, y soporte a otras reas funcionales de auditoria. La auditoria de sistemas de informacin consiste en ejecutar un examen independiente y objetivo de la Seguridad del entorno, para determinar si las medidas de seguridad establecidas son razonables y suficientes para proteger los recursos informticos de la Empresa contra daos intencionales y no intencionales.
13
Es indispensable que la auditoria sea realizada por personas que no estn relacionadas con el Departamento de Sistemas, para permitir que los resultados sean imparciales. Por esta razn, los auditores son responsables de evaluar y no de establecer la seguridad. 1.4 UBICACIN TIPICA DE LA AUDITORIA DE SISTEMAS
La mejor ubicacin de la funcin de auditoria de sistemas en una empresa es la divisin de Auditoria Interna, porque se trabaja de manera ms independiente. Algunos opinan que si depende de la Gerencia de Sistemas el flujo de informacin y las comunicaciones van a ser mejores, pero se pierde en cierto grado, esa independencia de criterio que es fundamental para el auditor. Se comenta adems que es mejor depender directamente de la gerencia general porque permite adoptar acciones correctivas ms rpidas y evitar distorsiones en el contenido de las recomendaciones. De todas maneras el auditor de sistemas debe trabajar con el gerente de sistemas, con el gerente administrativo y con el auditor interno general, para conocer las reas sobre las cuales va a desarrollar sus funciones y hacer que sus sugerencias lleguen a feliz trmino en un perodo de tiempo ms corto. Adems es bastante til y adecuado que la gerencia de sistemas forme parte de todo el proceso administrativo donde se coordinan las actividades, los esfuerzos, se distribuyen las responsabilidades, para que se vean los resultados de manera integral en todo el contexto organizacional empresarial de acuerdo con los objetivos y polticas planeadas por la gerencia general. Finalmente la funcin de auditoria de sistemas tambin puede ser desarrollada en las empresas a nivel de un trabajo de consultora. 1.5 TCNICAS DE AUDITORIA DE SISTEMAS DE INFORMACIN
Las normas internacionales de auditoria emitidas por IFAC en la NIA 15 y 16 contemplan que en el ejercicio de la auditoria financiera en empresas de cualquier tamao, cuando estas llevan sus registros contables en ambientes computacionales, la aplicacin de procedimientos de auditoria requerir de tcnicas adicionales a las tradicionales. Los profesionales de la contabilidad y la auditoria debern valerse de estas tcnicas, para que su trabajo siga siendo eficiente y no caiga en la obsolescencia.
14
Cada vez, los volmenes de informacin para revisar o evaluar sern ms grandes, pretender realizar la labor solo con tcnicas manuales nos demandar mucho tiempo y los resultados se vern muy tarde. En los momentos actuales el Contableauditor que no utilice el computador para aplicar estas tcnicas quedar fuera del mercado. 1.5.1 Tcnicas Manuales
Inspeccin: consiste en examinar los documentos, procedimientos y activos tangibles. La inspeccin de registros y documentos proporciona evidencia de diversos grados de confiabilidad dependiendo de su naturaleza y fuente, as como de la eficacia de los controles internos a lo largo del procesamiento. La inspeccin de activos tangibles da lugar a una evidencia fidedigna en relacin con su existencia pero no necesariamente con su propiedad o valor. Observacin: consiste en examinar el proceso o procedimientos que otros realizan. Ejemplo: Observar el conteo de los inventarios o la ejecucin de los procedimientos que no dejan rastros de auditoria. Investigacin: consiste en buscar una informacin recurriendo a personas claves ya sea dentro o fuera de la entidad a travs de simples preguntas orales a los empleados. Las respuestas de estas investigaciones permiten al auditor contar con una informacin o evidencia para corroborar. Confirmacin: la respuesta que se da a una investigacin que pretende ratificar los datos contenidos en los registros contables. Calculo: verificacin de la precisin aritmtica de los documentos fuente y de los registros contables o en la realizacin de clculos independientes. Revisin analtica: estudiar razones y tendencias financieras significativas as como investigar fluctuaciones y partidas poco usuales. Tcnicas Automatizadas
1.5.2
Datos de prueba: es ejecutar la aplicacin con datos preparados por el auditor que genera resultados ya establecidos o conocidos por l. Sirve para saber que hace el programa y que controles tiene. Caso bsico: es una ligera variacin de datos de prueba. Consiste en ejecutar la aplicacin con el paquete de datos de prueba desarrollados por el personal de sistemas.
15
I.T.F. (Integraded test facility) prueba integrada de facilidades: consiste en mezclar informacin ficticia con la real en un proceso normal Simulacin paralela: utiliza programas desarrollados por auditoria para procesar informacin viva y simular el proceso normal. Operacin paralela: consiste en procesar los datos reales con duplicados de los programas que estn bajo el control total del auditor. Debe utilizar otro programa para que le compare los archivos porque los volmenes de informacin son altos. Anlisis de listado de compilacin: el auditor estudia y analiza las instrucciones de los diferentes programas de la aplicacin. Tcnicas para Verificar Transacciones
1.5.3
Paquetes de auditoria: conjunto de programas que tienen la capacidad de procesar archivos, controlados por parmetros de entrada definidos por el auditor. Las funciones de estos paquetes son: control de secuencia, bsqueda de registros en archivos, seleccin y presentacin de informacin de los archivos, realizacin de operaciones lgicas con la informacin, estratificacin, muestreo estadstico, elaboracin de cartas de confirmacin, preparacin de reportes, clculos para comparar contendidos en otros archivos, comparar dos archivos y encontrar diferencias. Software diseado: son programas elaborados especialmente para auditoria que se convierten en herramientas necesarias para aplicar otras tcnicas descritas anteriormente. Estos programas pueden ser diseados exclusivamente para satisfacer requerimientos de informacin de auditoria. Rutinas incluidas en el programa de la aplicacin: uno o ms mdulos de recoleccin de informacin involucrados en la aplicacin para seleccionar y registrar informacin para anlisis posterior. Registros extendidos: consiste en reunir por medio de programas especiales en un solo registro toda la informacin significativa sobre una determinada transaccin.
16
1.5.4
Tcnicas para Analizar Programas
Snapshot: permiten obtener una fotografa interna de el sistema, es decir de la memoria, por ejemplo de resultados intermedios de un proceso. Utiliza modelos involucrados dentro de los programas que activa bajo ciertas condiciones preestablecidas. Traceo: indica por donde pas el programa. Cada vez que se ejecuta una instruccin me imprime o muestra en pantalla el valor de las variables. Puede activarse para todo el programa o para parte del programa y para las variables. Mapeo: indica caractersticas de los programas tales como el tamao del programa en bytes, localizacin en la memoria y la fecha de la ltima modificacin. Diagramas de flujo: consisten en una secuencia lgica de un proceso, que permiten visualizar las etapas de un procedimiento dentro de un programa. Comparacin de cdigo: comparacin de cdigo de los programas en poder de auditoria con el cdigo fuente de los programas en produccin y con el cdigo objeto de produccin. Revisin manual de la lgica del programa: se sigue paso a paso cada una de las instrucciones del programa, verificando los diferentes valores que toman las variables del programa. El auditor debe conocer el lenguaje de programacin y dominar la manera de entender la lgica de un programa. Job accounting software: el informe de la contabilidad del sistema es un utilitario del software del sistema que provee los medios para acumular y registrar la informacin necesaria para facturar a los usuarios y para evaluar la economa del uso de los sistemas de computador. Auditoria Alrededor del Computador vs. a Travs del Computador
1.5.5
Un sistema basado en computador puede ser auditado alrededor o a travs del computador. La auditoria alrededor del computador involucra examinar la entrada y la salida del computador pero no examina el procesamiento del computador. Esta alternativa es ms til en sistemas nicos no sofisticados. Por ejemplo, supongamos que un sistema de nmina toma los datos y las horas de la tarjeta de tiempo como entrada y entonces genera totales de nmina y deducciones y no tiene conexin con otros sistemas. Este sistema de nmina puede ser auditado
17
alrededor del computador examinando slo la entrada y la salida. Sin embargo, en sistemas ms complicados, esta alternativa no es posible. La entrada del subsistema examinado es frecuentemente la salida de otros subsistemas, y esta salida es la entrada a otros subsistemas. De esta forma, no es posible tratar cualquier subsistema aisladamente, y la auditoria debe ser a travs del computador. Auditoria a travs del computador significa que el computador se audita a s mismo. Debido a que los datos y la pista de auditoria son en forma electrnica, no pueden ser ledos examinados directamente por el auditor, y debe hacerlo el computador por si mismo. El examen consistir en pruebas de cumplimiento de los controles internos adecuados y pruebas sustantivas de los balances contables finales. Despus de una revisin preliminar del sistema, el auditor debe adquirir evidencia relacionada con la efectividad del control interno. Esta evidencia es usualmente adquirida mediante la observacin, revisin de los documentos, pistas de transacciones y cuestionarios de control interno. Usando esta evidencia, el auditor debe decidir si puede o no contar con los controles internos para detectar errores. Si el auditor puede contar con ellos, entonces hay una revisin detallada de los controles generales y controles de aplicacin. Los controles generales se aplican a todo el sistema, mientras que los controles de aplicacin slo se aplican a una aplicacin particular, como cuentas por cobrar. Los controles de aplicacin son luego agrupados en controles de entrada, controles de procesamiento y controles de salida. Las pruebas de cumplimiento incluyen el uso de una prueba de escritorio, una prueba integrada de facilidades, pista del programa, una revisin de la lgica del programa, comparacin del programa, simulacin paralela, implantacin de mdulos de auditoria y datos contables de trabajo. Las pruebas sustantivas examinarn los balances contables directamente, usualmente con software independiente bajo el control del auditor llamado software de auditoria generalizado. Hay una relacin entre pruebas de cumplimiento y pruebas sustantivas. La mayor es la confianza que se pueda tomar sobre el control interno del sistema para detectar errores, la menor es la necesidad para analizar los balances directamente.
18
1.6
OBJETIVOS DEL CONTROL EN LA AUDITORIA DE SISTEMAS DE INFORMACIN CONTABLE
1.6.1 Entorno de Auditoria y Control Asegurar que un adecuado entorno de auditoria y control sea empleado dentro de la organizacin, es responsabilidad de la administracin, quien determina los parmetros para toda la organizacin, incluyendo los del sistema de control interno que manejen los riesgos asociados con el uso de tecnologa de informacin. El sistema de control interno incluye los procesos, funciones, actividades, subsistemas, procedimientos y la organizacin de recursos humanos que proporcionen seguridad razonable para lograr las metas y objetivos de la organizacin y garanticen que los riesgos sean reducidos a un nivel aceptable. Los elementos clave en el sistema de control interno incluyen el entorno de control, los sistemas manuales y automatizados y los procedimientos de control. Estos elementos se pueden describir de la siguiente manera: Un buen entorno de control proporciona las bases para la operacin de los sistemas y controles, as mismo, contribuye a su confiabilidad. Los sistemas manuales y automatizados afectan a la forma como la informacin es procesada, almacenada, informada o transferida. Los procedimientos de control referentes a sistemas de informacin, incluyen controles generales y de aplicacin especfica.
Las consideraciones de costo/beneficio son extremadamente importantes en la implementacin de controles que reducen el riesgo. Todos los controles, independientemente de la clasificacin (preventivos, detectivos, correctivos, etc.) estn diseados para mitigar los riesgos y para permitir el logro de tres objetivos principales: Integridad en la informacin, encaminada a apoyar el proceso de toma de decisiones. Seguridad y proteccin del hardware, software e informacin del sistema de informacin de la organizacin. Cumplimiento con los procedimientos y disposiciones internas y externas.
Los adelantos en la tecnologa de informacin y la dependencia de las organizaciones en sus sistemas de informacin, continan proporcionando retos significativos tanto a la administracin como a los auditores. Para trabajar
19
efectivamente, todos los auditores requieren aumentar sus habilidades en sistemas de informacin y tecnologa. Actualmente, los departamentos de auditoria interna estn asumiendo estos retos a travs de lo siguiente: La integracin de la auditoria interna con las habilidades de los sistemas de informacin. Enfocar al personal, esto incluye pedir prestados especialistas desde organizaciones funcionales y turnos de servicio en la seccin de auditoria. Ajustar y afirmar el entrenamiento.
Los objetivos generales del control interno en sistemas son la autorizacin, procesamiento y clasificacin de transacciones, salvaguarda fsica, verificacin y evaluacin 1.6.2 Objetivos de Autorizacin
Todas las operaciones deben realizarse de acuerdo con autorizaciones generales o especficas de la administracin. Las autorizaciones deben estar de acuerdo con criterios establecidos por el nivel apropiado de la administracin. Las transacciones autorizadas deben quedar en archivos adecuados y procesarse oportunamente. 1.6.3 Objetivos del Procesamiento y Clasificacin de Transacciones Financieras
Todas las operaciones deben registrarse para permitir la preparacin de los estados financieros en conformidad con los principios de contabilidad generalmente aceptados. Adems deben mantenerse archivos con los datos correspondientes a los activos sujetos a custodia. Las transacciones deben clasificarse en forma tal que permitan la preparacin de los estados financieros, de acuerdo con los principios de contabilidad generalmente aceptados, las transacciones deben quedar registradas en el perodo a que corresponden y si afectan varios ciclos deben quedar especificadas a que ciclos corresponden. 1.6.4 Objetivos de Salvaguarda Fsica
El acceso a los activos: equipos e informacin que slo debe permitirse de acuerdo con autorizaciones de la administracin.
20
1.6.5
Objetivos de Verificacin y Evaluacin
Los datos registrados relativos a los activos sujetos a custodia deben compararse con los activos existentes a intervalos razonables y tomar las medidas apropiadas respecto a las diferencias que existan. Igualmente debe suceder con los saldos de los estados financieros. 1.7 BASES PARA LA AUDITORIA DE SISTEMAS DE INFORMACIN
Al estudiar un ambiente computarizado el auditor debe tener en cuenta dos aspectos: Examinar el marco de control:
El marco de control organizacional y estratgico. Practicas de control y gerencia de la actividad P.E.D. Identificacin de las aplicaciones clave desde el punto de vista de auditoria y asignacin de controles:
Controles sobre entradas y salidas (E/S). Controles de proceso. Funcionalidad del ciclo de proceso de auditoria. Manejo de los errores detectados en el proceso. Se debe recordar que aunque al auditor se le exige considerar el entorno E.D.P. desde dos puntos de vista: el del marco de control general y el de las aplicaciones financieras. El alcance del estudio en cualquier rea depende de los controles en que confe el auditor. Sea que el auditor mire los controles generales o los de las aplicaciones, este tiene que considerar tres niveles de estudio: Recoger informacin sobre la manera de operar el sistema de E.D.P. Acumular evidencia para demostrar como opera el sistema E.D.P. Acumular evidencia en cuanto a razonabilidad y correccin de los registros sea el sistema computarizado o no.
21
Es decir, al auditor se le exige hacer una evaluacin preliminar del entorno E.D.P. como parte del proceso de auditoria desde el punto de vista del control general y de las aplicaciones. A partir del estudio preliminar el auditor determina al alcance del anlisis en detalle y las pruebas de cumplimiento procedimental necesarias, con base en la extensin de la auditoria y el grado de confianza dados al control. 1.8 REPERCUCIN DEL ENTORNO INTERNACIONAL EN AUDITORIAS DE SISTEMAS DE INFORMACION CONTABLES LAS
En las auditorias de sistemas de informacin que se realizan en diferentes pases, el auditor debe considerar unos riesgos que plantea el entorno por sus caractersticas, que puede llevar a que las diferencias no sean solo normas y regulaciones de los sistemas de informacin contable y de los estndares de control de sistemas. No obstante la auditoria de sistemas de informacin, a nivel internacional por parte los auditores es una practica que se viene dando cada vez mas a menudo, debido a que las empresas importan y exportan tecnologa informtica para la operacin de sus negocios en diferentes partes del mundo. Ya que esto les permite estar en conocimiento de la informacin en tiempo real, funcionar operacionalmente y tomar decisiones. Sin embargo esto conlleva que el auditor de sistemas de informacin incremente los controles sobre los sistemas locales y remotos, para obtener seguridad de la integridad de estos. La diversidad de entornos en los diferentes pases, en cuanto a los sistemas contables se ven afectadas por diferentes factores como el sistema legal y fiscal, factores polticos, factores econmicos y factores socioculturales. Vindose reflejados estos en riesgos como la seguridad de orden pblico en diferentes pases, los diferentes cambios de moneda, sindicatos laborales, la calidad y tecnologa de los servicios pblicos de las comunicaciones y el transporte, el desarrollo tecnolgico de un pas y otros riesgos que puedan llevar a considerar una ventaja o desventaja para el negocio y por ende para la auditoria. 1.9 1.9.1 COMPETENCIAS PRINCIPALES DEL AUDITOR DE SISTEMAS DE INFORMACIN Intervencin en el Diseo de Sistemas
La participacin del auditor en los diseos de sistemas se refiere a asesorar sobre la implementacin de controles para prevenir la ocurrencia de riesgos. Cuando se
22
disean los nuevos sistemas de informacin es el mejor momento para establecer los controles de dichos sistemas. El papel del auditor debe ser de asesor y no de crtico, de colaborador y no de ordenador, adems se deben crear las pistas de auditoria para facilitar el ejercicio o la prctica de la misma posteriormente. 1.9.2 Auditoria de Aplicaciones
La participacin en las auditorias de las aplicaciones se refiere a evaluar los controles de las aplicaciones en funcionamiento. Cuando la Auditoria Interna de Sistemas no est establecida en la empresa contratan a una persona natural o jurdica para que a travs de un proceso metodolgico realice su trabajo, determine los puntos crticos, las reas reales de riesgo, lleve a cabo las pruebas de cumplimiento y sustantivas del caso y d sus sugerencias y recomendaciones. 1.9.3 Revisin de la Integridad de la Informacin
Evaluar que la informacin sea completa, exacta, autorizada, consistente, y relevante. Es importante verificar si los procedimientos de control interno y las pistas administrativas, de proceso y de auditoria aseguran el control administrativo y la evidencia de auditoria de que la informacin cumple con los requisitos anotados. 1.9.4 Revisin del Mantenimiento a Sistemas y Programas
Los sistemas necesitan mantenerse, la informacin almacenada en discos duros durante el proceso necesita bajarse a cintas, cartuchos u otros perifricos de almacenamiento, las copias de seguridad deben efectuarse oportunamente, no debe permitirse subir informacin de terminales al disco duro del servidor; en general estos son algunos de los aspectos del mantenimiento al sistema. Particularmente cuando se realiza un cambio a un programa, se constituye en un momento bastante vulnerable para cometer fraude, el conocimiento del lenguaje de programacin es bastante til, adems que el conteo de las instrucciones y la verificacin del listado de compilacin anterior y el nuevo, el procedimiento de controlar la ejecucin de un cambio a un programa debe incluir autorizacin, documentacin, fechas, justificacin, copias y pruebas. 1.9.5 Revisin de Procedimientos Generales de Operacin
Es muy tpico del auditor de sistemas externo, verificar todos los procedimientos de produccin de todas las aplicaciones, evaluando los puntos de control de cada procedimiento.
23
1.9.6
Revisin del Sistema Operacional
Para lograrlo hay que tener un conocimiento del funcionamiento del sistema operacional desde su configuracin inicial, sus usos, sus procesos, sus seguridades y los usuarios. Este campo forma parte de la auditoria de sistemas especializada. 1.9.7 Revisin Administrativa
Su objetivo es evaluar la gestin del administrador no el administrador, es bastante difcil lograrlo, pero es importante involucrar los conceptos de eficiencia, eficacia y costos vs. beneficios. 1.9.8 Administracin de Sistemas de Informacin Especializados para Auditores de Sistemas
Son muy tiles porque permiten en poco tiempo generar muestras, hacer comparaciones y en general obtener listados que servirn de base para los anlisis por parte de los auditores de sistemas de los casos excepcionales o anormales. 1.10 FORMACIN DEL AUDITOR DE SISTEMAS DE INFORMACIN CONTABLE La Federacin Internacional de Contables (IFAC) en su Gua Internacional de Formacin No 9 de julio de 1991 revisada en octubre de 1996 (Valoracin de la competencia profesional y requerimientos de experiencia de contables) y la gua No. 11 de 1995 (Tecnologa de la Informacin en el Curriculum de Contabilidad), reconoce que no todos los pases estn en el mismo nivel de utilizacin de tecnologa para la informacin. Los organismos miembros, por lo tanto necesitarn; interpretar las recomendaciones de esta gua a la luz de la tecnologa actualmente disponible en sus pases, y deben reconocer la necesidad de que los auditores estn constantemente al tanto de los desarrollos y cambios que se producen, tanto en sus respectivos pases como en el extranjero: se les anima para que intercambien informacin con otros organismos u rganos miembros e instituciones y para asegurarse de que los desarrollos o innovaciones, generalmente, sean conocidos y con ello se evite la duplicidad de esfuerzos en el campo de la formacin. La utilizacin de computadores y avances en tecnologa de informacin estn cambiando continuamente las tcnicas de acumular, manipular y divulgar datos contables; estos avances han modificado fundamentalmente los mtodos tradicionales del tratamiento de datos contables en Auditoria; los avances en los
24
sistemas de proceso de datos que se han distribuido han conducido a la descentralizacin de la funcin de automatizacin de los usuarios finales y el bajo coste del microordenador ha permitido que organizaciones pequeas puedan mejorar sus sistemas de informacin. El uso intensivo de TI exige que los auditores se familiaricen con sus aplicaciones; por tanto, es vital que se entrenen para reconocer, comprender y evaluar el impacto de la TI en un entorno contable y de auditoria en los que operan. El uso de computadores y la disponibilidad de diversos paquetes de programas ofrece nuevas oportunidades para los auditores financieros; les capacita para suministrar servicios diversificados a clientes y empresarios, y para explorar y usar las bases de datos a efectos de resolver toda clase de problemas: los computadores representan una herramienta valorable para solucionar problemas en el mbito de la contabilidad financiera, la Auditoria y la planificacin fiscal. Los estudiantes de Auditoria pueden adquirir parte de sus conocimientos y habilidades en la tecnologa de la informacin antes de comenzar su formacin profesional; por ejemplo, a travs del estudio en su propia casa, de una formacin pre - profesional, o experiencia de trabajo. El uso de computadores en programas de formacin le ayudar a desarrollar an ms sus actuales conocimientos y experiencia. La Federacin recomienda que los auditores obtengan el conocimiento necesario de la TI a travs de un sistema de dos componentes: el primer componente incluye cursos bsicos dirigidos, bien como un requisito previo al programa de formacin contable y formal, o como los primeros cursos del programa; el segundo componente trata de la TI como un elemento esencial integrado dentro del curriculum normal del programa de formacin contable; por ejemplo, un curso en proceso de datos sobre Auditoria que es ofrecido como parte de los cursos normales de Auditoria. Las aplicaciones de sistemas informticos de ordenadores pueden integrarse dentro de muchas materias, por ejemplo, los sistemas contables computarizados pueden ser parte del programa de contabilidad normal, y a los estudiantes se les puede pedir una preparacin en el diseo de sistemas contables para cubrir distintas necesidades de la direccin y contabilidad, y para preparar los estados financieros y consolidados, mediante el uso de programas informticos o software. La previsin y anlisis de sensibilidad, basados en programas, pueden incorporarse como parte de un curso sobre estados financieros, presupuestos o control presupuestario.
25
El informe COBIT (1998), recomienda una estructura de conocimientos bsicos y habilidades en anlisis, diseo, construccin y mantenimiento de S.I., teora general de riesgos y controles aplicados a los S.I., control interno en las organizaciones, auditoria operacional, financiera y de sistemas, tcnicas y herramientas de verificacin de controles manuales y automatizados en las aplicaciones en computador, elaboracin y organizacin de papeles de trabajo, conocimientos sobre elaboracin y presentacin de informes, metodologas, enfoques y tecnologas de punta, tcnicas de control en etapas del ciclo de vida de sistemas, planificacin de sistemas, administracin de medios magnticos, conocimientos de contratacin de servicios de computador, seleccin y adquisicin de software y hardware, estndares de sistemas, controles de seguridad fsica en centro de procesamiento de datos y lgica del software y de los datos, conocimientos y experiencia para planear, organizar, dirigir y controlar la funcin de Auditoria de Sistemas, familiaridad con los planes, polticas, normas, estrategias y negocios de la organizacin, tecnologas de informtica utilizada por la competencia y conocimientos de los riesgos inherentes a los negocios controlados por las aplicaciones de la empresa, adems de los conocimientos generales del Contador - Auditor en administracin, auditoria y contabilidad financiera, legislacin, estadstica, conocimiento de la empresa y su entorno. El auditor de sistemas de informacin deber tener habilidades para el desarrollo de sus actividades como una visin de negocios, capacidad para hacer anlisis de situaciones, riesgos y controles, mantener buenas relaciones interpersonales a todo nivel, fcil comunicacin para transmitir sus ideas, adaptable fcilmente al trabajo en grupo, evaluacin de las cosas en su justa dimensin y con objetividad, asesor, solucionador de problemas, ejecutar su trabajo de acuerdo con los principios morales adecuados y el cdigo de tica profesional. 1.11 RESPONSABILIDADES DEL AUDITOR
El estndar de auditoria (SAS) No.3 Revisin Preliminar de los Controles Contables en el Sistema Electrnico por parte del Auditor, establece que es responsabilidad del auditor determinar si su cliente utiliza el PED., para el proceso de su informacin contable; si es as, deber considerar los efectos de este en el control interno y estudiar las aplicaciones del sistema para establecer la funcin individual de los mismos. Lo anterior se tiene que lograr dentro del contexto general del anlisis y evaluacin del control interno. El inters del auditor en el control interno permanece igual ya sea en un ambiente manual o computarizado. Sin embargo en sistemas computarizados se requieren controles adicionales debido a la exposicin de estos a riesgos o debilidades, lo
26
que hace necesario que el auditor entienda completamente la estructura del sistema de control a establecerse cuando PED. Es clave en el sistema de informacin del cliente. El inters del auditor en conocer los tipos de control en el entorno PED, y en el sistema general de control interno, consiste en determinar los controles en que puede confiar y el alcance de estos a fin de establecer o poner un lmite a la auditoria y con especial referencia al monto de las pruebas necesarias. Como resultado de lo que el pronunciamiento No.3 se refiere a la fase preliminar de la revisin del auditor, este deber obtener: Un conocimiento de flujo de transacciones tanto de la parte manual como de la parte automtica del sistema contable. Conocimiento del alcance del uso de aplicaciones contables automticas. Conocimiento de la estructura fundamental del control contable.
A partir de ello el auditor podr determinar los controles automticos y no automticos en que puede confiar en el proceso de auditoria para poder evaluarlos y probarlos. Adems de las responsabilidades bsicas descritas en el SAS el auditor tiene un gran inters en el entorno PED. Del cliente, ya que las empresas hacen cada vez mas uso de los computadores hacindose dicho recurso ms importante tanto a nivel financiero como operacional. En este aspecto, el auditor deber interesarse en el impacto de estos en los estados financieros desde el punto de vista inversin y de las consecuencias que trae la interrupcin del servicio en las operaciones corrientes de la empresa. Este aspecto es adicional a las responsabilidades de evaluacin del control interno, pero se deben tener en cuenta al disear programas de trabajo y as poder cumplir con los requerimientos de cada cliente, ya que existen reas que exigen una mayor atencin y conocimiento. El auditor de sistemas de informacin debe tener en cuenta que la mayor responsabilidad por el control no es de l, sino de la administracin: Que los controles previenen, detectan y corrigen el riesgo. El computador cambia la naturaleza del control. Los problemas y/o prdidas crean la conciencia del control. En procesamiento se requieren controles mejorados. La auditoria es un control administrativo esencial.
27
Los auditores deben participar en el desarrollo de sistemas. Los auditores deben verificar los controles antes y despus de la instalacin de un sistema.
Proceso de Comprensin y Anlisis

Con base a lo estudiado hasta el momento responder los siguientes interrogantes: Qu es auditoria de sistemas? Cul es el principio de auditoria de sistemas? Qu impacto producen las tecnologas de informacin en la auditoria financiera? Identificar las diferentes tcnicas de auditoria de sistemas de informacin. Describir los diferentes objetivos de la auditoria de sistemas de informacin contable. Que papel desempea el auditor de sistemas en la gestin empresarial? Como demostrara usted que la utilizacin del computador es un medio para la minimizacin de costos en la realizacin de una auditoria financiera?
Solucin de Problemas
Identificar Contadores Pblicos que hayan desarrollado dentro de su ejercicio profesional, auditorias apoyadas por computador y realizar una entrevista acerca de los temas principales tratados en esta unidad y relacionados con el concepto, fases, importancia y legislacin de la auditoria de sistemas. Con base en la informacin presentada en esta unidad, en dilogos con Contadores Pblicos en ejercicio y en la legislacin vigente, realizar un breve ensayo acerca de la situacin actual de la auditoria de sistemas y su desarrollo en el medio.
Sntesis Creativa y Argumentativa

Los procesos especficos de auditoria, que se pueden facilitar a travs de la aplicacin de tecnologa son la direccin, planificacin, administracin e informes
28
de las auditorias. Para sustentar sus opiniones y recomendaciones los contables tienen que planear cuidadosamente su trabajo, organizar y documentar la evidencia de sus hallazgos, en un entorno que esta cambiando continuamente. Los sistemas de informacin de las empresas se pueden resumir en sistemas de aplicacin central, comunes en la mayora de organizaciones como contabilidad, nmina, dems sistemas financieros y sistemas especficos para la industria como son: transferencia electrnica de fondos, procesamiento de reclamaciones de seguros, integracin de la computacin al sector industrial, sistemas de servicio al cliente en empresas de servicio pblico y planificacin de mercadeo para comerciantes. Aunque, cada sistema est sujeto a su propio y nico conjunto de riesgos hay riesgos que son comunes a todos los sistemas de negocios como el acceso no autorizado a funciones de procesamiento o a informacin, prdida de integridad y/o exactitud de la informacin e interrupciones en el procesamiento. Las consecuencias de estos riesgos pueden llevar a errores en la administracin o en los informes financieros, costos excesivos, prdida de ventaja competitiva, prdida o destruccin de valores, sanciones legales y la oportunidad para la ejecucin de actividades incorrectas. Los controles para mitigar estos riesgos comprenden el control de acceso al software (por ejemplo, software de control de acceso, caractersticas distintivas del sistema de administracin de la base de datos, etc.), controles de seguridad fsicos para restringir el acceso a personas no autorizadas, controles sobre la exactitud e integridad de la informacin, transacciones rechazadas y adems pendientes, procesamiento completo y exacto dentro del perodo de contabilidad propiamente dicho. Con base en este contenido, realizar un cuadro sinptico.
Autoevaluacin
Que es auditoria de sistemas? Enunciar y explicar los diferentes ambientes en que se desenvuelven las auditorias apoyadas por computador. Cual es el propsito de la Auditoria de sistemas? Enunciar y explicar las etapas principales en la realizacin de una auditoria de sistemas.
29
Cual es su opinin acerca de la situacin actual en el desarrollo de las Auditorias apoyadas por computador?
Repaso Significativo
Disear un mapa conceptual que contenga la definicin, funcin y el alcance de la auditoria de sistemas. Disear un diagrama que refleje la estructura de la realizacin de una auditoria de sistemas y su funcionalidad en la gestin empresarial. Elaborar un glosario de trminos que considere ms relevantes en el ambiente del rea de auditoria de sistemas.
Bibliografa Sugerida
Page, J.; Hooper, P. Accounting and Information Systems, Prantice Hall. E.E.U.U. (1996). Piattini, M.; del Peso, E. Espaa. (1998). Auditoria Informtica un enfoque practico, RA-MA,
Snchez Toms, A. Sistemas Expertos en Contabilidad, Tcnica Contable, n 514. (1991). Serrano, C. L. Fabra y E. Lobera. Planificacin de Sistemas de Informacin en la Empresa: El Intercambio Electrnico de Datos (EDI) SCIRE: Representacin y Organizacin del Conocimiento, 1997, Vol. 2. (1997). Teodoro, J. "Intercambio electrnico de datos (EDI)", Ministerio de Obras Pblicas, Transportes y Medio Ambiente, 1994. The Institute of Internal Auditors Research Foundation's. SAC Systems Auditability and Control, E.E.U.U. (1994).
Costos Bsicos
30
UNIDAD 2: Control y Riesgo del Sistema de Informacin Contable

Descripcin Temtica Una adecuada estructura de control es necesaria para asegurar los recursos de los sistemas de informacin contables y los datos que son usados o producidos por el sistema. Las grandes organizaciones, con millones de clientes y transacciones, no pueden continuar sus operaciones sin sistemas que funcionen propiamente. Las organizaciones pequeas como las PYMES podran al menos sufrir prdidas de productividad significativas.
Horizontes
Controlar el riesgo del sistema de informacin contable. Asegurar los recursos de los sistemas de informacin contables. Describir que diferencia existe entre riesgo y control Identificar que tipos de riesgos que se pueden presentar en un departamento de sistemas Enunciar e identificar los tipos de controles para minimizar los riesgos ms comunes en un departamento de sistemas.

Definicin Marco De Referencia Para El Control Controles Sobre Desarrollo, Adquisicin Y Mantenimiento De Los Sistemas De Informacin Contables Revisin De Tcnicas De Fraude Informtico
31
2.1 DEFINICIN
El informe COSO (1996), define el control como un proceso ejecutado por el consejo de directores, la administracin y otro personal de una empresa, diseado para proporcionar seguridad razonable con miras a la ejecucin de los objetivos de efectividad y eficiencia de las operaciones, confiabilidad de la informacin financiera y el cumplimiento de regulaciones. El control interno esta compuesto por cinco componentes interrelacionados que son el ambiente de control, valoracin de riesgos, actividades de control, monitoreo, informacin y comunicacin. 2.2 MARCO DE REFERENCIA PARA EL CONTROL
Los elementos generales del control interno, plan organizacional, sistemas de autorizaciones, estructura contable, prcticas de desempeo del trabajo, calidad y moral del personal se aplican al entorno de sistemas de informacin contables con uso del computador. El control quiz es el ms crtico ya que este opera en ambientes cerrados, con funciones muy desarrolladas con poco personal, mientras que en otros entornos, estas, estn muy dispersas. Existe una jerarqua de controles dentro del sistema P.E.D. El nivel externo lo suministra la organizacin y la gerencia de la empresa. Dentro de este marco opera el manejo y organizacin de la actividad proceso de datos. Un elemento parte de esta actividad es la funcin de control que supervisa la calidad del proceso. La operacin del proceso de datos esta sujeta a una estructura organizacional. 2.2.1 Estructura de Control Organizacional
Un sistema computacional es de gran importancia en toda organizacin, no solo desde el punto de vista de su inversin en equipo y personal sino tambin por el servicio de registro, manipulacin y almacenamiento de datos cuyo objetivo es suministrar informacin. Si esta funcin no se maneja bien, puede convertirse en un gran problema para la empresa, de donde se observa que la gerencia debe establecer un sistema de polticas y autorizaciones definido sobre las actividades de esta para poder evaluar su desempeo.
32
2.2.2
Gerencia versus Control
Las responsabilidades de la gerencia en cuanto al procesamiento de datos consiste en: Autorizacin de cambios y adiciones. Revisin de costos de post-instalacin y efectividad de los proyectos de sistemas. Revisin de la organizacin, controles y practicas de a funcin proceso de datos. Evaluacin del desempeo.
Con responsabilidad de la gerencia se quiere decir, que los grandes cambios dentro de la divisin, departamento o centro de computo y sistemas de informacin se deben aprobar por esta con base en la presentacin de una propuesta que debe ser evaluada en trminos de costos y beneficios que se deriven de el. La compra de un sistema nuevo o mejorado es comparable a la ampliacin de una planta o fabrica, la cual tiene que ser estudiada en detalle antes de comprometer grandes desembolsos. Y tambin como el sistema afecta el proceso de datos de toda la organizacin, la gerencia debe entender toda la actividad de cambio para poder autorizarlo y establecer los controles adecuados. El hecho de exigir la aprobacin gerencial fuerza al departamento o gerencia de sistemas de informacin a planear y preparar propuestas de cambio. La gerencia tiene la responsabilidad de emplear personal competente, con el entrenamiento adecuado en sistemas e informacin. La supervisin y el control diario, es responsabilidad de la direccin del centro de cmputo de manera que una organizacin con controles y procedimientos pobres indican debilidad en el manejo de este. En este sentido A. Lpez (1997, Pg. 129), pone de manifiesto que el director de informacin realiza funciones en lo relativo a la informacin y su entorno, planificando y controlando todos aquellos aspectos que tienen que ver, primordialmente con la obtencin, proceso y distribucin de la informacin, tanto interna como externa. El control del desempeo a este nivel exige un plan de actividades contra el cual se puedan comparar las operaciones reales y reportar las desviaciones: Costo de las actividades de proceso comparado contra el plan. Frecuencia y duracin de las demoras en cumplimiento de los programas. Tasas de deteccin de errores en los distintos puntos de control.
33
La funcin de procesamiento de datos debiera ser organizada y manejada usando mtodos de probada eficiencia en otras reas de la entidad. Debe existir un plan de organizacin y una clara asignacin de responsabilidades. 2.3 CONTROLES SOBRE MANTENIMIENTO DE CONTABLES DESARROLLO, LOS SISTEMAS ADQUISICIN Y DE INFORMACIN
2.3.1 Investigacin Preliminar y Anlisis de Informacin La participacin del auditor de sistemas en el desarrollo de proyectos de sistemas es la manera ms efectiva y preventiva de asesorar con esquemas de control. La gran mayora de personas hemos sentido la necesidad de resolver nuestros problemas de informacin a travs de sistemas de informacin que se adapten a las condiciones y caractersticas especficas de nuestra empresa y no al contrario que mis procedimientos se amolden al sistema, sin descartar los cambios en los procedimientos, que busquen agilizar las operaciones; surge entonces la necesidad de elaborar y desarrollar nuestro propio proyecto de sistemas. En primer lugar se parte de varios tipos de necesidades: Requerimientos de informacin para los usuarios que constituyen un nuevo sistema de informacin. Necesidad de resolver un problema a travs de una solucin sistematizada si es factible. Necesidad de un cambio en el sistema de informacin actual. Implementacin de un cambio de programas o de equipo por efectos de introduccin de nuevas tecnologas.
Una vez concebida la anterior situacin, hay que definirla claramente y concretarla para poder canalizar ms fcilmente las posibles soluciones. Se pasa posteriormente a realizar los estudios de factibilidad tcnica, econmica y operacional.
Factibilidad Tcnica
Se cuenta con la tecnologa para hacer lo que se propone, el equipo propuesto tiene la capacidad tcnica para manejar el nuevo sistema o el cambio, hay garanta tcnica para lograr exactitud, facilidad de acceso, controles, seguridades, el sistema propuesto provee respuesta adecuada para consulta sin importar nmero de sitios o de usuarios.
34
Factibilidad Econmica
Costos del desarrollo, costos de equipos y programas, costos de no cambiar nada, beneficios en reduccin de costos.
Factibilidad Operacional
Hay suficiente soporte de la gerencia y de los usuarios, los procedimientos actuales son aceptables para el buen usuario, los usuarios han sido involucrados en la planificacin y desarrollo del proyecto, el sistema propuesto puede causar prdida de controles, dificultad en el acceso a la informacin, disminucin en el rendimiento de los empleados, va a afectar al cliente de una forma no deseada, va el sistema a trabajar cuando se desarrolle e instale, va a cumplir con los procedimientos operacionales de la organizacin. Finalmente, si el proyecto cumple con estos tres requisitos, es factible realizarlo. En cuanto a la planificacin, en el departamento de sistemas deben elaborarse planes a corto, mediano y largo plazo, que sean compatibles con los planes maestros de la organizacin. Deben adems conformarse los comits de sistemas donde participen el cuerpo directivo de la empresa, el personal de sistemas y los usuarios. El auditor de sistemas dialogar con los integrantes de dicho comit para identificar y discutir estrategias de acuerdo con los objetivos del departamento de sistemas y de la organizacin en general. Entrevistar a los usuarios para concretar si las estrategias se cumplen, en fin, determinar cuan eficiente y efectivo es dicho plan. En cuanto a la metodologa para desarrollar proyectos de sistemas debe estar escrita y contar con parmetros establecidos para estructurar y controlar el proceso de desarrollo de los sistemas de informacin en la empresa. El auditor de sistemas estar en capacidad de evaluar si cada fase de la metodologa establecida tiene un producto final cuantificable antes de seguir a la fase siguiente. Analizar si la metodologa incluye un mecanismo de control de cambios en los requerimientos, si es familiar para todos, si es flexible, si incluye estndares de documentacin, si valora la adecuacin de la metodologa a los cambios de la tecnologa, las razones o justificaciones del proyecto, el control interno y la seguridad que deber satisfacer, el ambiente del proyecto, alcance, restricciones, beneficios, patrocinadores, necesidades de informacin, ventajas y desventajas de cada alternativa de solucin.
35
En la factibilidad tcnica el auditor evaluara las necesidades de equipos, programas, equipos y programas para comunicaciones, su disponibilidad, aprovechamiento y los requisitos legales relacionados con la transferencia nacional e internacional de tecnologa de datos. En la factibilidad operacional, los ajustes del nuevo proyecto al ambiente de programas, equipos y comunicaciones de la organizacin. En la factibilidad econmica, el anlisis de costos y beneficios de cada alternativa de acuerdo con los requerimientos de informacin que tiene que satisfacer el proyecto y el impacto en la seguridad, confidencialidad y requerimientos de control interno de todo el proyecto. Verificar adems que en el anlisis de alguna manera se incluyan los beneficios no cuantificables. Finalmente deber participar junto con los administradores, los funcionarios responsables de la seguridad, los ingenieros de sistemas, los usuarios de sistemas y los programadores en el anlisis de riesgos. Deber contar con una lista de las necesidades de control interno, vulnerabilidad de la seguridad y protecciones factibles para reducirlas o eliminarlas. 2.3.2 Diseo de Sistemas de Informacin
En general, la metodologa para desarrollar los proyectos de sistemas debe garantizar que durante la etapa de diseo se incorporen adecuadamente todas las especificaciones necesarias y se tenga presente que ocurrira cuando algo se modifique o cambie. Bsicamente debe tener en cuenta el desarrollo de la estructura de los siguientes elementos y procedimientos: Entradas Salidas Archivos Requerimientos fsicos y lgicos de los procesos
Deber por consiguiente especificar: Documentos fuente Mecanismos de control Seguridades importantes Pistas de auditoria
Siguiendo un orden didctico que permita la mejor comprensin del tema, partiendo de lo general y global hasta llegar a lo particular y especfico, es
36
recomendable la elaboracin de la Tabla Visual del Contenido del proyecto, que permite localizar y empezar a aterrizar las especificaciones de la etapa de diseo. Es importante no descuidar el hecho de que los productos finales cumplan con las especificaciones requeridas. Estructuracin de entradas:
Edicin y validacin de requerimientos. Seguridad y medidas de proteccin a los datos. Definicin de tipos de transacciones y reglas de autorizacin. Procedimiento de establecimiento de totales de control. Definiciones y contenidos de los documentos de entrada aprobados por el usuario. Estructuracin de salidas:
Contenido y formato del informe Autorizacin de usuarios para recepcionar informes Perodos de retencin para archivos Garanta de que los informes son completos, exactos y con datos reales Estructura de los archivos: la definicin de los archivos cubre la parte fsica, lgica, la relacin de las estructuras de datos, las dependencias de los datos, los requerimientos de almacenamiento de los datos y la proteccin para garantizar la privacidad. Participacin del administrador de la base de datos en el establecimiento escrito de formatos de archivo, definicin de contenidos y perodos de retencin de los archivos, participacin de los departamentos usuarios en la aprobacin de la informacin anterior. Requerimientos fsicos y lgicos de los procesos:
Definicin de requerimientos de los procesos para garantizar exactitud, validacin, duracin y flexibilidad en cada paso. Determinar si los usuarios finales han aprobado los pasos de los procesos.
37
Especificaciones de los programas:
Deben ser claras, consistentes y completas. Revisar la razonabilidad de la lgica del programa a travs de la navegacin por el flujo de datos para valorar lo relevante y el anlisis de las tablas de decisin. Preparacin de los datos. Los diseos han sido aprobados por la administracin de los departamentos usuarios. Los documentos constan de espacios exactos de anotacin, prenumeracin, autorizacin de la transaccin independiente del diligenciamiento del documento y de la captura. Al digitarlos emiten mensajes de error en la pantalla para promover exactitud y reducir errores y bloqueo. 2.3.3 Diseo de Controles y Seguridades
Mecanismos que garanticen la integridad de los datos copiados y procesados, y protecciones a los recursos de los sistemas: Diseo de controles adecuados en los puntos crticos al interior del sistema. Anlisis del costo - beneficio de los controles. Diferencia entre control preventivo y detectivo. Si el control correctivo se llevo a cabo, cundo y dnde fue apropiado. Controles que reduzcan o eliminen riesgos asociados con la operacin del sistema. Especificaciones de los controles ntegros y acceso con el suficiente detalle para facilitar la prueba. Diseo de Pistas de Auditoria
2.3.4
Pista de auditoria es el camino de los datos, programas, procesos o utilitarios desde su origen hasta los resultados finales. El auditor de sistemas conocer las polticas administrativas de control de la empresa y con base en ellas revisar todo tipo de archivo de log. Igualmente fijar pautas para establecer suficiente grado de confidencialidad sobre estos archivos para asegurar la integridad y lo adecuado de las pistas incluidas en las especificaciones del diseo manteniendo un logs que contenga:
38
Diagnstico de cada problema y un mtodo de aislar la persona del componente del software, y del recurso fsico que causa el mal funcionamiento. Desarrollar reportes estadsticos de esos logs e iniciar acciones apropiadas correctivas. Determinar si cada cargue inicial del sistema queda registrado en el archivo de logs. Mantener logs de las terminales. Determinar si una violacin a la proteccin de la seguridad causa instantneamente un aborto del trabajo o transaccin y qu mensaje aparece en la consola. Registro en el log de la falla elctrica. Revisin del log del sistema para analizar los tiempos de reproceso causados por mal funcionamiento y los accesos ilegales u otras violaciones.
Existen unos archivos denominados log donde de manera particular quedan registrados todos los accesos que los diferentes usuarios de los sistemas de informacin hacen a los equipos de computacin y por supuesto a los programas de todo tipo, operacional, de comunicaciones, de bases de datos, aplicativos. En estos logs se registran las actividades de las operaciones desde el momento de entrada inicial, correccin de inconsistencias hasta las operaciones de consola, donde quedan registradas todas las actividades que se realizan en el centro de cmputo. En las comunicaciones, las entradas desde las terminales, la transmisin y recepcin de los mensajes; y en las bases de datos, las entradas iniciales de registros, las ejecuciones de las aplicaciones, las modificaciones a los datos, los procesos de reinicio y recuperacin y el uso de utilitarios. Los archivos de Log constituyen una evidencia magntica respecto a las actividades computacionales realizadas por los usuarios del centro de cmputo. Cuando nos asignen un password o una clave secreta utilicmoslo con responsabilidad, evitemos que personas amigas o compaeros de trabajo conozcan nuestra clave. Log del sistema: todas las transacciones y mensajes que ingresen al sistema aplicativo se conservan en archivos independientes. Estos archivos identifican de cada transaccin, la fecha, la hora, identificacin del terminal de origen, el cdigo de seguridad del departamento usuario, el password individual, el archivo utilizado, la actividad desarrollada.
39
Log de secuencia: normalmente el usuario identifica las transacciones mediante un nmero de secuencia y tambin mantiene un Log interno de los nmeros de secuencia que sirve para asegurarse de que los datos estn completos y sirven como pista de auditoria. Log de errores: son un elemento valioso como pista de auditoria y como instrumento para monitorear los errores en el proceso de correccin y de realimentacin al sistema Log de operaciones no programadas: todas las intervenciones del operador que no estn programadas debern quedar registradas y contener el tipo de transaccin, la fecha, la hora y la accin tomada. Log de la consola del operador: es oportuno examinar la copia del log de la consola para determinar el nmero de interrupciones del operador del computador durante la ejecucin de los procesos y programas. Log de los registros de problemas de software: debe existir un log donde se registren los problemas del software que contenga el diagnstico de cada problema y que de alguna forma se pueda aislar el componente del software o el dispositivo que lo gener de la persona. Deben desarrollarse reportes estadsticos de los logs para poder analizar las tendencias especiales e iniciar las acciones correctivas. Log de control del sistema de comunicacin: permite revisar peridicamente los comandos de la terminal del supervisor de la red. Entre los comandos examinados deben incluirse los utilizados para habilitar o inhabilitar lneas y/o terminales. Log de espera para los mensajes: todos los mensajes que esperan transmisin se colocan en un log de espera antes de ser incluidos en la cola de transmisin, a medida que se transmiten y se reciben los mensajes, el terminal receptor responde que el mensaje se ha recibido correctamente. Log de mensajes de entrada y salida: en un dispositivo de registro magntico se lleva un log de todos los mensajes de entrada y de salida para facilitar la recuperacin o reinicio del sistema y el rastreo de los mensajes. Log de la terminal: para efecto del registro debern asignarse cdigos para la identificacin de terminales, de manera que sean transmitidos desde las terminales al computador central para ser verificadas y que las terminales puedan funcionar en el sistema de red.
40
Log de la base de datos: el administrador de la base de datos debe ser el responsable del desarrollo y supervisin de las estadsticas y otros reportes tales como los logs del sistema y otros dispositivos o medios de salida con respecto al acceso inicial a los registros permanentes, modificacin a la base de datos, ejecucin de los programas de la base de datos, modificacin de los registros del sistema, de los procedimientos de reinicio y reconstruccin, tablas de seguridad, y otras estadsticas provistas por el sistema administrativo de la base de datos, as como los utilitarios. Desarrollo e Implantacin del Sistema
2.3.5
La documentacin de los proyectos se maneja a travs de los manuales del usuario, de programas, de sistemas, de operaciones y administrativos. Manuales del usuario: para explicarle claramente y en palabras comunes como manejar la aplicacin y los datos. Manuales del programa: contenido de documentos fuente, diseo de archivos, informes, diagramas de lgica, datos de prueba, listados de compilacin. Manuales de operacin: procedimientos de ejecucin definidos para realizar las operaciones de produccin por parte de los operadores. Manuales tcnicos: programas. para determinar porque fallas tcnicas no funcionan los
Manuales administrativos: para identificar la secuencia de los procedimientos administrativos y el personal responsable. Existencia de estndares para probar los programas. Ejecucin en paralelo. Operacin y Mantenimiento del Sistema
2.3.6
Debe existir la documentacin suficiente y actualizada sobre el manejo de las operaciones del sistema para agilizar la produccin de la informacin, controlar y evitar que se aprovechen las circunstancias de falta de procedimientos de control para cometer fraudes. Debe hacerse un anlisis de los costos de produccin para determinar si su monto estaba dentro de los lmites previstos. En cuanto al mantenimiento, es decir, al cambio de un programa por necesidades de informacin del usuario o cualquier otra causa, reglamentacin legal, contable, innovadora, es importante fijar procedimientos de control claro y con anterioridad
41
al cambio pues dicho momento es susceptible de incluir rutinas no autorizadas en los programas con intenciones de cometer fraude. 2.3.7 Post-implantacin de un nuevo sistema de informacin
Despus de la implantacin de un nuevo sistema, debe verificarse si est satisfaciendo las necesidades del usuario fijadas en los requerimientos de informacin aprobados inicialmente. Igualmente una revisin del cumplimiento de los objetivos fijados para dicho sistema de informacin y de la calidad de la informacin. Finalmente es til efectuar una confrontacin entre los costos y los beneficios estimados y los costos y beneficios reales para determinar si los desfases son razonables y estn dentro de los lmites de tolerancia establecidos. 2.4 REVISIN DE TCNICAS DE FRAUDE INFORMTICO
Las tcnicas de fraude o delitos informticos se pueden explicar como las acciones u omisiones que las personas realizan para afectar a las personas y organizaciones o producen beneficios no justificados. Estos delitos son contra la intimidad, el patrimonio, la informacin y la falsedad de documentos. 2.4.1 Manipulacin de Transacciones
La manipulacin de transacciones ha sido el mtodo ms utilizado para cometer fraudes, en ambientes computarizados. El mecanismo para concretar este tipo de fraude sistmico o informtico, consiste en cambiar los datos antes o durante la entrada al computador. Puede ser ejecutado por cualquier persona que tenga acceso a crear, registrar, transponer, codificar, examinar, comprobar o convertir los datos que entran al computador. Por ejemplo, alterar los documentos fuente y modificar el contenido en alto relieve de las tarjetas de crdito entre otros. 2.4.2 Tcnica de Salami
La tcnica de Salami consiste en sustraer pequeas cantidades (tajadas) de un gran nmero de registros contables, mediante la activacin de rutinas incluidas en los programas aplicativos corrientes. La empresa es duea del salami (archivo de datos) de donde el intruso toma pequeas sumas para llevarlos a cuentas especiales conocidas solamente por el perpetrador del fraude. Aqu, normalmente, los totales de control no se alteran y en consecuencia, se dificulta descubrir el fraude y a quin lo comete.
42
La tcnica de Salami es muy comn en los programas que calculan intereses, porque es all en donde se facilita la sustraccin de residuos que generalmente nadie detecta, configurndose cmodamente el fraude. 2.4.3 Tcnica del Caballo de Troya
La tcnica del Caballo de Troya consiste en insertar instrucciones, con objetivos de fraude, en los programas aplicativos de contabilidad, tesorera, etc. de manera que, adems de las funciones propias del programa, tambin ejecute funciones no autorizadas. Las instrucciones fraudulentas se esconden dentro de las dems obteniendo acceso libre a los archivos de datos, normalmente usados por el programa. Esta tcnica de fraude es muy comn debido a la facilidad que se presenta para ocultar instrucciones fraudulentas dentro de cientos de instrucciones que generalmente componen los programas aplicativos. Sin embargo, no siempre la tcnica del caballo de Troya se configura en programas de aplicacin, tambin, se acostumbra en sistemas operacionales y en programas utilitarios. Para efectos de incluir la instruccin en un programa legtimo, el programador aprovecha la autorizacin para hacer cambios corrientes a los programas y en ese momento incluye las instrucciones fraudulentas, evidentemente no autorizadas. A esto se debe que la tcnica haya adoptado el nombre de caballo de Troya. 2.4.4 Bomba Lgica
Las bombas lgicas son una tcnica de fraude, en ambientes computarizados, que consiste en disear e instalar instrucciones fraudulentas en el software autorizado, para ser activadas cuando se cumpla una condicin o estado especfico. Esta tcnica de fraude informtico es difcil de descubrir, porque mientras no sea satisfecho la condicin o estado especfico, el programa funciona normalmente procesando los datos autorizados sin arrojar sospecha de ninguna clase. Cuando la condicin de fraude se cumple, entonces automticamente, se ejecuta la rutina no autorizada producindose de esta manera el fraude. Entre las condiciones ms frecuentes, para la prctica de este tipo de fraudes tenemos, abonar un crdito o dbito no autorizado a una cuenta cuando el reloj del computador alcance determinado da y hora, hacer un traslado de fondos cuando el computador encuentre una determinada condicin como por ejemplo una fecha. Esta tcnica de fraude se diferencia de la del caballo de Troya, bsicamente en que la instruccin o instrucciones fraudulentas se incluyen en el programa, cuando
43
se est generando originalmente el sistema. En cambio, en el caballo de Troya, se incluyen las instrucciones fraudulentas cuando es autorizada una modificacin al programa. Esto es, que se ejecutan las modificaciones autorizadas se aprovecha la oportunidad para agregar instrucciones fraudulentas. 2.4.5 Juego de la Pizza El juego de la pizza es un mtodo relativamente fcil para lograr el acceso no autorizado a los Centros de PED, as estn adecuadamente controlados. Consiste en que un individuo se hace pasar por la persona que entrega la pizza y en esa forma se garantiza la entrada a las instalaciones de PED durante y despus de las horas de trabajo. 2.4.6 Ingeniera Social
Esta tcnica consiste en planear la forma, de abordar a quienes pueden proporcionar informacin valiosa o facilitar de alguna manera la comisin de hechos ilcitos. Se recurre luego, a argumentos conmovedores y/o sobornar a las personas para alcanzar los objetivos deseados. Esta tcnica combina artsticamente las caractersticas del petulante y del jactancioso para conseguir el hecho fraudulento. Adems, normalmente, usan un estilo de actuacin importante, vestido elegante, amenazas sutiles y porciones aisladas de informacin clave de la organizacin para influir en otra persona. 2.4.7 Trampas- Puerta
Las trampas puerta son deficiencia del sistema operacional, desde las etapas de diseo original (agujeros del sistema operacional). Los expertos programadores del sistema pueden aprovechar las debilidades del sistema operacional para insertar instrucciones no autorizadas, en dicho sistema, con el objeto de configurar fraudes informticos. Las salidas del sistema operacional permiten el control a programas escritos, por el usuario, lo cual facilita la operacionalizacin de fraudes, en numerosas opciones. 2.4.8 Superzaping
El superzaping deriva su nombre de superzap, un programa utilitario de IBM de un alto riesgo por sus capacidades. Permite entrar al sistema, adicionar, modificar y/o eliminar registros de archivos, datos de registros o agregar caracteres dentro de un archivo maestro y salir sin dejar rastro y sin modificar ni corregir los programas normalmente usados para controlar los archivos.
44
Este programa permite consultar los datos para efectos de conocimiento o para alterarlos omitiendo todos los controles y seguridades en actividad establecidas. Hay otro programa similar al superzap, en el sistemas 34 de IBM, denominado DFU. Todos los sistemas de computacin tienen programas de alto riesgo como el superzap, los cuales funcionan como especies de llaves maestras o programas de acceso universal. 2.4.9 Evasiva Astuta
Esta tcnica consiste en un mtodo inventado como consecuencia de la aparicin de los compiladores. Se trata de que los programadores de sistemas se inventaron la forma de comunicarse con la computadora a travs de lenguaje de mquina. Esta tcnica tambin se conoce con el nombre de parches. Es un mtodo limpio para entrar en la computadora, cambiar las cosas, hacer que algo suceda y hasta cambiarlas para que vuelvan a su forma original, sin dejar rastro para auditoria. En la media en que se fue sofisticando la tecnologa de sta metodologa de fraude, se le llam DEBE: Does Everything But Eat (una rutina que hace todas las cosas menos comer). Es usada por los fanticos de los bits, quienes literalmente desean hablar con las computadoras. 2.4.10 Recoleccin de Basura La recoleccin de basura es una tcnica para obtener informacin abandonada o alrededor del sistema de computacin, despus de la ejecucin de un trabajo. Consiste en buscar copias de listados producidos por el computador y/ o papel carbn para de all extraer informacin, en trminos de programas, datos password y reportes especiales bsicamente. 2.4.11 Ir a Cuestas para Obtener Acceso no Autorizado Se trata de una tcnica de fraude informtico para lograr el acceso no autorizado a los recursos del sistema entrando detrs o a cuestas de alguien influyente (piggyback) o por imitacin. El piggybacking fsico consiste en seguir a un usuario autorizado, dentro de un rea de acceso controlada, protegida por puertas cerradas electrnicamente. El piggybacking electrnico consiste en usar una terminal que esta ya activada o usar una terminal secreta conectada a una lnea activada para accesar la informacin
45
del sistema, comprometiendo el rgimen de seguridad. La imitacin, sea fsica o electrnica implica la obtencin de password, cdigos secretos y la suplantacin de personas autorizadas para entrar al rea de computacin. 2.4.12 Puertas Elevadizas Esta tcnica consiste en la autorizacin de datos, sin la debida autorizacin, mediante rutinas involucradas en el programa o en los dispositivos de hardware. Mtodos sofisticados de escape de datos pueden ser ejercidos en ambientes de alta seguridad y alto riesgo. Por ejemplo, la informacin robada es decodificada de modo que personal del centro de PED, no puede descubrir que esta pasando. Dicha informacin puede ser reportada por medio de radios transmisores en miniatura (BUGS) colocados secretamente en la CPU de muchos computadores como sucedi en la guerra de Vietnam. Estos BUGS fueron capaces de transmitir el contenido de los computadores a receptores remotos, concretndose de esta manera el escape de datos a travs del concepto de puertas elevadizas. El personal del PED puede construir puertas elevadizas en los programas o en los dispositivos de hardware para facilitar la salida de datos y la entrada de los mismos sin ser detectados. Los realizadores del fraude no necesariamente deben estar presentes en el momento de la ejecucin del mismo. 2.4.13 Tcnica de Taladro Esta tcnica consiste en utilizar una computadora para llamar o buscar la manera de entrar al sistema con diferentes cdigos hasta cuando uno de ellos resulte aceptado y permita el acceso a los archivos deseados. Mediante el sistema de ensayo permanente se descubren las contraseas del sistema para entrar a los archivos y extraer informacin en forma fraudulenta. 2.4.14 Intercepcin de Lneas de Comunicacin Esta tcnica de fraude informtico consiste en establecer una comunicacin secreta telefnica o telegrfica para interceptar mensajes. Normalmente, las conexiones activas o pasivas se instalan en los circuitos de comunicacin de datos, entre terminales y concentradores, terminales y computadores. De otra parte, la intercepcin de comunicaciones por micro - ondas y va satlite es tambin tcnicamente posible.
46
El computador afectar todos los negocios poderosamente y por lo tanto, todos los contables deben familiarizarse con l. Los contables de pequeos negocios deben conocer ms acerca del computador que los contables de grandes negocios, dado que ellos no tienen un staff de procesamiento de datos separados. El impacto del computador sobre la contabilidad y la auditoria comenz duramente y su uso ser un porcentaje muy significativo a finales de la dcada de los noventa. El computador tiene el potencial para liberarlos de la tarea pesada y aburrida, expandir horizontes, liberar el espritu creativo y expandir nuestra capacidad productiva. Debemos aprovechar esta oportunidad. 2.4.15 Los Virus Los virus son programas ilcitos de computador o cdigos dainos que atacan o "infectan" a otros programas y sistemas. Una vez que un programa ha sido infectado, este podra ser instruido para realizar funciones no autorizadas antes de extenderse a otros sistemas. La interaccin entre usuarios, fsicamente o sobre una red, podra extender el cdigo malicioso. Los sntomas de un ataque de virus incluyen los siguientes: Reduccin significante de la funcin del sistema Prdidas o cambios inexplicables de los datos Conteo de datos fuera de balance Aparicin de grficas o mensajes no familiares Cambio de los tamaos y fechas de archivos Activacin de dispositivos que no son requeridos por el programa
Los virus podran ser introducidos de las siguientes maneras: Cargue de software del dominio pblico y juegos de tableros electrnicos o por va de grupos compartidos es una actividad popular entre usuarios de PC. Los usuarios podran copiar o cargar software de tableros electrnicos, porque es ms fcil que obtener aprobacin para comprar una copia. Hay riesgo de que estas copias puedan estar contaminadas con un virus u otros programas destructivos ocultos. Un programa en un medio sin proteccin podra ser infectado cuando el medio es usado en un sistema infectado.
47
Los usuarios podran sin saberlo contaminar numerosos sistemas compartiendo o transmitiendo un programa o archivo infectado a travs de las facilidades de red que podran extenderse a fronteras internacionales. Si hay inadecuados planes de copias, recuperacin y contingencia, los usuarios podran no ser capaces de recuperar los datos y programas si es descubierto un virus que ha daado sus datos y programas. El rango de amenazas presentadas por los virus de computadores estn limitadas solamente por la imaginacin del autor del virus. Algunos de los ms serios riesgos para la organizacin son los siguientes:
La destruccin o modificacin de datos: la restauracin de los datos y programas perdidos o destruidos es una tarea formidable sin adecuados planes de copia y recuperacin. Interrupcin de operaciones: un ataque de virus de cualquier tipo podra interrumpir las operaciones del negocio. El administrador podra tener que restablecer confidencias de clientes o accionistas en la organizacin. El personal tcnico podra tener que ser apartado de la rutina de trabajo para diagnosticar y remover el virus, restaurar los datos y programas destruidos o corruptos, e implementar medidas preventivas contra futuros ataques. Violacin de la confiabilidad o fraude: un virus podra copiar datos valiosos tales como archivos de clientes, a una localizacin remota o fondos dispersos sistemticamente en vez de destruir los archivos de datos. Impacto en informes financieros: la confianza del administrador en datos corruptos para la toma de decisiones comerciales, podra tener serias consecuencias. Desconcierto: la organizacin podra ser renuente en reportar un ataque de virus por miedo de publicidad adversa. Las noticias del ataque podran afectar la confidencia de accionistas o clientes en el manejo de la organizacin.

Cual es la metodologa para el diseo de un sistema de informacin? Que es una pista de auditoria? Cuales son los pasos para la implantacin de un sistema de auditora? Que es un fraude informtico? Que es la teora de salami? De que trata la teora del caballo de Troya?
48
De que trata la teora de la bomba lgica? De que trata la teora del juego de la pizza? En que consiste la ingeniera social? Que es un Virus?
En equipos de trabajo simular e identificar los fraudes y controles a aplicar en el departamento de sistemas, y cuantificar monetariamente el costo de los controles aplicados en la evaluacin jerrquica de los mismos.

Elaborar una sntesis que contenga los posibles fraudes que se presenten y controles a aplicar en un departamento de sistemas e identifique su consecuencia y su valoracin de acuerdo a su grado complejidad y gravedad.
Autoevaluacin
Enunciar y explicar brevemente los tipos de fraudes que se pueden presentar en un departamento de sistemas. Enunciar y explicar brevemente los diferentes tipos de controles informticos. Cmo identificara usted un riesgo en un departamento de sistemas? Cmo valorara usted un control?
Disear un mapa conceptual que contenga definicin, objetivos, alcance y etapas de la planificacin de la auditoria de sistemas, incluyendo el concepto de evidencia y los medios utilizados para su determinacin. Elaborar un glosario que contenga los trminos que considere ms importantes dentro de esta unidad.
49
Leitch, R.A.; Davis, K.R. EE.UU. 1995. Accounting and Information Systems, Prantice Hall.
Lpez, A. El cuadro de mando y los sistemas de informacin para la gestin empresarial, aeca. Madrid. 1998. Moeller, R. Computer Audit, Control and Security, Wyley & Sons Inc. New York. 1989. Page, J.; Hooper, P. Accounting and Information Systems, Prantice Hall. EE.UU. 1996. Piattini, M.; del Peso, E. Espaa. 1998. Auditoria Informtica un enfoque practico, RA-MA,
Snchez Toms, A. Sistemas Expertos en Contabilidad, Tcnica Contable, n 514. 1991.
Costos Bsicos
50
UNIDAD 3: Identificacin y Evaluacin de Riesgos Potenciales Crticos y Definicin del Alcance de la Auditoria
Descripcin Temtica Para aplicar un enfoque de auditoria orientada al riesgo es necesario determinar cules son los riesgos crticos a los que estn expuestos los servicios o negocios que se soportan en el Sistema de Informacin o Proyecto que se est auditando. Se debe valorar o estimar los riesgos inherentes a las operaciones de negocios y servicios de la empresa, significa medir la exposicin de esta a los riesgos potenciales que podran presentarse de acuerdo con las caractersticas del entorno en el que se desarrolla. El nivel de criticidad (impacto) de los riesgos puede ser: A Alto, M Medio, B Bajo. En la actualidad se utilizan metodologas como el Mtodo Delphy y el Mtodo de Cuestionarios.
Horizontes
Valorar o estimar los riesgos inherentes informaticos a las operaciones de negocios y servicios de la empresa. Identifiacar y evaluar los riesgos potenciales criticos a las operaciones de negocios y servicios de la empresa. Aplicar un enfoque de auditoria orientada al riesgo informatico. Determinar los niveles de responsabilidad y definir que auditores de sistemas se desempearan en cada nivel. Estimar el tiempo requerido para la auditoria de sistemas y el tiempo que cada auditor asignado estara trabajando en ella.
51

Riesgos. Causas de Riesgos Matriz de Riesgos vs. Procesos con la Ubicacin de las Causas de Riesgos. Matriz de Riesgos vs. Dependencias (reas) con la Ubicacin de las Causas de Riesgos. Matriz de Procesos vs. Riesgos. Dependencias con la Ubicacin de las Causas de
3.1 3.1.1 RIESGOS Fraude / Robo
Apropiacin indebida por parte de un funcionario o de terceros de los activos de la empresa o de dineros. Estas se generan por la alteracin de la informacin (documentos fuentes, antes de ingresar los datos al sistema, cambios no autorizados a archivos o programas, etc.) que representan operaciones de los negocios o servicios de la Organizacin. Este riesgo se produce como consecuencia de Causas Malintencionadas. 3.1.2 Prdida de Negocios y Credibilidad Pblica
Se producen prdidas de dinero cuando los empleados en forma intencional provocan fallas, interrupcin de los servicios, para vengarse de la Organizacin o presionar el otorgamiento de beneficios laborales (Sabotaje), o cuando la Entidad no cumple con los compromisos pactados con El Cliente. Se produce en forma accidental o malintencionada. 3.1.3 Sanciones Legales
Se genera por no cumplir disposiciones gubernamentales (Circulares Reglamentarias, por ejemplo) o por no entregar informacin exacta y oportuna exigida por normas legales. Se produce en forma Accidental o Malintencionada.
52
3.1.4
Decisiones Errneas
Se toman a causa de la no disponibilidad del sistema o de inexactitudes en la informacin que este genera. Se produce en forma accidental. 3.1.5 Dao y Destruccin de Activos
Prdidas de dinero ocasionadas por desastres naturales (terremotos, inundaciones, etc.) o provocadas por el hombre sin premeditacin (errores y omisiones) o con premeditacin (actos terroristas, disturbios civiles, etc.), los cuales producen daos o la destruccin de los recursos. Este riesgo se produce como consecuencia de causas accidentales o alintencionadas. 3.1.6 Desventaja Competitiva
Se genera por ofrecer servicios de inferior calidad que los competidores. Puede ser causado por demoras en el Procesamiento Electrnico de Datos. Puede ocurrir por Causas Accidentales o Mal Intencionadas. 3.2 CAUSAS DE RIESGOS
Alteracin del estado de la solicitud de rechazada (REC) a aprobada (APR). Creacin de crditos o cuentas cuyo estado de solicitud sea diferente a aprobado. Creacin de crditos o cuentas excediendo atribuciones. Ingreso de cupos al sistema por personal no autorizado. Creacin de plan de pago diferente al autorizado. Error en digitacin de datos. Creacin de crditos o cupos por mayor valor al monto autorizado. Crear crditos o cuentas sin constituir Garanta Admisible. Reversin de un pago con la finalidad de aplicar cuota a otra obligacin.
53
3.3.
MATRIZ DE RIESGOS VS. PROCESOS CON LA UBICACIN DE LAS CAUSAS DE RIESGOS

PROCESOS Aprobacin de Crditos Administracin del Crdito CR001 CR001 CR006
Fraude / Robo Perdida de Dinero Sanciones Legales Decisiones errneas Dao y destruccin de G activos O Desventaja Competitiva S Perdida del Negocio CAUSA RIESGO: CR001. Alteracin de Estado de la Solicitud de Rechazada (REC) a Aprobada (APR). CR002. Creacin de Crditos o Cuentas cuyo estado de solicitud sea diferente a Aprobado. CR006. Error en digitacin de datos R I E S
3.4.
MATRIZ DE RIESGOS VS. DEPENDENCIAS UBICACIN DE LAS CAUSAS DE RIESGOS

Oficinas CR001 CR006
(REAS)
CON LA
Fraude / Robo Perdida de Dinero Sanciones Legales Decisiones errneas Dao y destruccin de G activos O Desventaja Competitiva S Perdida del Negocio CAUSA RIESGO: CR001. Alteracin de Estado de la Solicitud de Rechazada (REC) a Aprobada (APR). CR002. Creacin de Crditos o Cuentas cuyo estado de solicitud sea diferente a Aprobado. CR006. Error en digitacin de datos R I E S
DEPENDENCIAS Divisin de Crdito CR001
54
3.5.
MATRIZ DE PROCESOS VS. DEPENDENCIAS CON LA UBICACIN DE LAS CAUSAS DE RIESGOS

Oficinas CR001 DEPENDENCIAS Divisin de Crdito CR001
P R O C E S O S
Registro de Solicitudes Registro de Datos Bsicos Creacin del Crdito/Cuenta CR002 Desembolsos CR006 Liquidaciones Generacin de Informes Cobranza Actualizacin Parmetros CAUSA RIESGO: CR001. Alteracin de Estado de la Solicitud de Rechazada (REC) a Aprobada (APR). CR002. Creacin de Crditos o Cuentas cuyo estado de solicitud sea diferente a Aprobado. CR006. Error en digitacin de datos

Definir que es identificacin y evaluacin de riesgos potenciales crticos? Describir cuales son los riesgos potenciales crticos? Que significa alcance en la auditoria de sistemas Como se evala un riesgo inherente? Son propios de la auditoria de sistemas los riesgos inherentes, justificar
Acudir a algunas entidades a su alcance en las cuales se haya realizado auditorias de sistemas, evaluar y analizar los dictmenes obtenidos. Teniendo en cuenta los informes finales de auditorias de sistemas obtenidos en el proceso anterior, identificar cada uno de los elementos tratados en esta unidad y realizar una sntesis de lo interpretado en los informes.
55

Identificacin y Evaluacin de Riesgos Potenciales Crticos
La identificacion y evaluacin de riesgos potenciales criticos existen una clase de argumentos que se deben tener en cuenta para no cometer ningun riesgo en el momento de realizar una auditoria de sistemas, dichos argumentos establecen los errores que al momento de realizar la auditoria se llegan a cometer perjudicando a la empresa que se esta auditando estos argumentos son: Fraude / Robo Prdida de Negocios y Credibilidad Pblica Sanciones Legales Decisiones errneas Dao y dest Desventaja Competitiva ruccin de activos
Estos argumentos tambien poseen unas causas: Alteracin de Estado de la Solicitud de Rechazada (REC) a Aprobada (APR). Creacin de Crditos o Cuentas cuyo estado de solicitud sea diferente a Aprobado. Creacin de Crditos o Cuentas excediendo atribuciones. Ingreso de Cupos al sistema por personal no autorizado. Creacin de Plan de Pago diferente al autorizado. Error en digitacin de datos. Creacin de Crditos o Cupos por mayor valor al Monto Autorizado. Crear Crditos o Cuentas sin Constituir Garanta Admisible. Reversin de un pago con la finalidad de aplicar cuota a otra obligacin. Con base en lo explicado anteriormente dar su opinin al respecto.
Autoevaluacin
Enunciar los elementos bsicos que debe contener un informe de auditoria de sistemas. Explicar los objetivos, caractersticas y afirmaciones que contiene el informe de auditoria de sistemas. Explicar los diferentes tipos de opinin.
56
Explicar las circunstancias con efecto en la opinin del auditor, apoyados por computador.
Disear un diagrama que contenga la estructura bsica del informe de auditoria de sistemas para cada tipo de opinin que puede ser emitida por el auditor que realiza su trabajo apoyado por computador.
El consejo superior de informtica del ministerio de administraciones pblicas de Espaa. MARGERIT, Metodologa de anlisis y gestin de riesgos de los sistemas de informacin, MAP, Espaa. Fernndez, F. Procedimientos de auditoria en los sistemas de EDI, Revista Tcnica. Instituto de Auditores Censores Jurados de Cuentas de Espaa. 1998. Fitzgerald, J. Framework system imformation, Limusa, Mxico. 1990. FORTUNA, J.M.; BUSTO, B. y SASTRE, J.M. Los Sistemas Expertos: fundamentos y aplicaciones a la Contabilidad, Partida Doble n17. 1991. GALN, L. 1996. Informtica y Auditoria para las Ciencias Empresariales, Colombia.
IFAC. Federacin Internacional de Contables, Gua Internacional de Formacin No. 11. (Tecnologa de la informacin en el curriculum de Contabilidad). 1995. IFAC. International Federation of Accountants Handbook. 1997. Normas internacionales de auditoria. www.ifac.org.
Costos Bsicos
57
UNIDAD 4: Evaluacin del Sistema de Control Interno Informtico

Descripcin Temtica En esta etapa se identifican los controles establecidos por la organizacin para cada proceso del Sistema de Informacin objeto de la auditoria y se evala si son apropiados para mitigar los riesgos crticos objeto de la auditoria. Es importante que el auditor tenga en cuenta que la implantacin de un control puede ser costosa y consume tiempo, por eso debe hacerse una evaluacin realista con respecto a la probabilidad de que un riesgo especifico afecte un activo. Es importante evaluar la proteccin que ofrecen los controles existentes para cada causa de riesgo y objetivo de control, utilizando como criterio.
Horizontes
Identificar los controles establecidos para el proceso del Sistema de informacin de la auditoria. Evaluar la proteccin que ofrecen los controles para las causas de riesgo y objetivos de control. Aplicar la auditoria de sistemas como instrumento de evalaucin del departamento de sistemas Evaluar el control interno dentro de parmetros eficiencia, eficacia y efectividad

reas de Control. Ejemplos de Controles.
58
4.1 REAS DE CONTROL (PROCESOS)
Al evaluar el Control Interno deben tenerse en cuenta las Areas de Control de la aplicacin, estas son: 4.1.1 Origen y Preparacion de Datos
En este proceso se evalan los controles manuales y automatizados establecidos en las fuentes de la informacin para garantizar la veracidad y consistencia de los datos que se generan para ser procesados por los programas de aplicacin. Comprende las actividades que se realizan desde la generacin de documentos fuente de operaciones / eventos hasta su recepcin en el rea o cargo responsable de transcribir o registrar los datos en medio legible para su proceso (cintas, discos, diskettes, caracteres magnticos, reconocimiento de caracteres pticos, imgenes, etc.). Los responsables son las empresas o clientes que originan, generan, reciben documentos fuente de operaciones que se constituyen en fuente de datos (transacciones) para la aplicacin evaluada. 4.1.2 Entrada de Datos
Comprende las actividades manuales y/o automatizadas que se realizan desde la recepcin de los documentos por el rea / cargo / proceso responsable de la transcripcin o conversin a medio legible por el computador, hasta su completa validacin o depuracin antes de iniciar los procesos de actualizacin sobre los archivos. Las posibles modalidades son: transcripcin independiente sin validacin o validacin parcial; con proceso en batch de validacin y correccin integradas; transcripcin, validacin y correccin integradas; y, transcripcin, validacin, correccin y actualizacin en lnea. 4.1.3 Procesamiento y Actualizacion de Informacin
Comprende la evaluacin de los controles establecidos para garantizar su exactitud, integridad y oportunidad del procesamiento de los datos. Adems se verifica que los datos son creados, modificados o borrados nicamente por los programas y procesos autorizados comprende las actividades manuales y/o
59
automatizadas, desde la finalizacin del proceso de validacin y depuracin total del movimiento hasta la produccin de resultados finales de actualizacin u otros procesos complementarios, que reflejan el efecto de las transacciones sobre movimientos en los archivos maestros de la aplicacin. 4.1.4 Salida de Datos
Es la evaluacin de los controles relacionados con la preparacin, control, custodia y distribucin de los resultados que produce la aplicacin en papel y medios magnticos. Comprende todas las actividades desde la finalizacin del proceso de actualizacin, la produccin de resultados de la aplicacin para los usuarios finales, la identificacin, preparacin, envo / transmisin de resultados (salidas), hasta su recepcin por las reas de origen u otros usuarios. 4.1.5 Control de Acceso
En este Area de Control se evalan los procedimientos establecidos en la aplicacin y el sistema operacional, para controlar el acceso a los programas fuente y objetos de la aplicacin. Estos incluyen controles de identificacin, niveles de autorizacin, autenticacin, encripcin de datos crticos, segregacin de funciones, Confidencialidad de Claves de Acceso, Pistas de Auditoria y monitoreo. Los controles de acceso a la informacin constituyen uno de los parmetros ms importantes a la hora de Administrar Seguridad. Con ellos determinamos quin puede acceder a qu datos, indicando a cada persona un tipo de acceso (perfil) especfico. En el caso de Bases de Datos se evala la utilizacin y grado de proteccin de los procedimientos de control de acceso lgico y otras rutinas de seguridad ofrecidas por el Data Base Management System (DBMS), para proteger la integridad de los datos y mitigar las amenazas de modificacin, destruccin y divulgacin de la informacin contenida en la Base de Datos. En el caso de Redes de Comunicacin de Datos, se considera necesario la inclusin de control de accesos a Directorios, Archivos, Registros ,control contra robo de datos, e introduccin de Software forneo con el riesgo de incorporacin de virus a la Red que pueden traer complicaciones graves.
60
4.1.6
Cambio al Software
Comprende la evaluacin de los procedimientos de Solicitud, anlisis, diseo, ejecucin e instalacin de los cambios a los programas de la aplicacin (mantenimiento del software). 4.1.7 Respaldos y Planes de Contingencia
Comprende la evaluacin de los procedimientos de respaldo, plizas de seguro y planes de contingencia previstos para garantizar el funcionamiento continuo de las operaciones sistematizadas en caso de interrupcin de los servicios de cmputo ocasionados por errores, fallas de Hardware y actos humano o de la naturaleza. En la medida que el uso de los Sistemas de Informacin se expande y ms personas dependen de su continuidad operativa. Tanto ms importante es contar con un adecuado Plan de Contingencia y Recuperacin que facilite superar situaciones no deseadas. Al evaluar si el plan de contingencias tiene un eficiente nivel de cobertura ante situaciones de desastres, es conveniente tener en cuenta una serie de pautas, como: Se Identificaron en forma preliminar de factores de riesgos ante situaciones de desastres? S Planificacin adecuadamente las acciones a seguir?. S Designaron los Responsables de la implementacin del Plan? Est asegurado el correcto funcionamiento del Plan? Terminales y Comunicacin de Datos
4.1.8
Comprende la evaluacin de los procedimientos de seguridad fsica y ambiental sobre las estaciones de trabajo y terminales de computador, as como la comunicacin de datos de entradas y salidas de la aplicacin. 4.1.9 Documentacin
Trata del anlisis de la suficiencia, disponibilidad y calidad de la documentacin tcnica, del usuario y del sistema.
61
4.1.10 Utilizacion y Control de Resultados y Satisfaccion del Usuario Comprende la evaluacin de los controles ejercidos por los propietarios de los datos (usuarios primarios de la aplicacin) sobre los resultados de procesamiento; tambin cubre el grado de satisfaccin del usuario con el sistema de informacin. 4.1.11 Seguridad Fisica y Controles en las Instalaciones Comprende los controles establecidos por los administradores de las instalaciones de centro de cmputo para proteger los recursos informticos (Hardware, Software, Datos, Personas e Instalaciones) contra los riesgos causados por desastres naturales, accidentes, actos malintencionados, infidelidad de los empleados, etc. 4.2 EJEMPLOS DE CONTROLES
Control de Acceso (manejo de perfiles de usuario, claves, etc). Revisin peridica del Gerente de la Relacin de Clientes creados en el sistema. El sistema slo puede crear crditos a aquellas Solicitudes que tengan Estado Aprobado (APR). El Estado Aprobado slo puede ser registrado por el estamento autorizado, dependiendo de sus atribuciones. El Estamento Aprobador debe registrar el monto autorizado, el cual ser validado por el sistema al momento de la creacin del crdito. El sistema debe validar el valor mximo del cupo aprobado vs. utilizaciones. Rastro de Auditoria que se dispare automticamente para determinados eventos (Ej: cuando se excedan atribuciones, o se modifiquen datos crticos). Validacin del nmero de la cuenta como dato obligatorio.
Durante el transcurso de esta etapa se disea el mapa de controles, el cual utiliza las siguientes matrices: Matriz de Causas de Riesgo vs. Controles. Matriz de Controles vs. Procesos.
Para facilitar el anlisis de dichas matrices es recomendable codificar los controles teniendo en cuenta las reas de control:
62
Control de Acceso (CA): CCA001: Asignacin nica de cdigos de usuarios en el sistema CCA002: Definir caractersticas de los Passwords
Respaldos y Planes de Contingencia (RC): CRC001: Obtener Backups Peridicos (Copias de Respaldo)
Matriz de Causas de Riesgo vs. Controles

CR001 X X CR002 CR003 CAUSAS DE RIESGO CR004 CR005 CR006 CR007 X CR008
C O N T R O L E S
CCA001 CCA002 CRC003 CVA004 CCS005 CTCC01 CTC007 CSFC02 CSU009
X X X X X X X
Matriz de Controles vs. Procesos

PROCESOS Aprobacin de Crditos CR001 CR001-CR002-CR006 CR006 Administracin del Crdito CR001
C Control de Acceso (CA) O Validaciones Automticas (VA) N Revisiones Operativas (RO)
CR001-CR002 T Rastros de Auditoria (RA) Planes de Contingencia y Recuperacin de CR003 R Desastres (RC) Validaciones de Integridad de datos y O auditabilidad de la BD (IN) Controles especiales para Redes de Datos: CR001 Control de Acceso, control contra robo de L datos y Software & Hardware especializado para Redes (firewalls, encripcin, monitoreos, etc.) (TC) Controles especiales para Internet: CR001 Autenticacin, autorizacin, integridad y privacidad de datos, y software & hardware especializado (firewalls, etc.) (IT) CAUSA RIESGO: CR001. Alteracin de Estado de la Solicitud de Rechazada (REC) a Aprobada (APR). CR002. Creacin de Crditos o Cuentas cuyo estado de solicitud sea diferente a Aprobado. CR003: Dao en Equipo. CR006. Error en digitacin de datos.
63

Que son reas de control? Como se preparan los datos? Que son las entradas de datos? Que son las salidas de datos? Que es la actualizacin de la informacin? Que es el control de acceso? Cuales son los cambios del software? Que entiende usted por planes de contingencia?
Acudir a una entidad de carcter privado u oficial a su alcance, y formular en forma precisa preguntas al contador y director de sistemas, con el fin de identificar el proceso de la evaluacin del sistema de control interno informtico.

Teniendo en cuenta la informacin obtenida en el proceso anterior, determinar las caractersticas y procesos de evaluacin que se siguen en un departamento de sistemas, con el fin de identificar los tipos de riesgos y de seguridad que emplea la organizacin. Revisar la legislacin vigente en nuestro pas en relacin con el tratamiento de archivos que contengan informacin personal, y realizar un ensayo comparando el cumplimiento de esta normatividad por parte de la organizacin.
Autoevaluacin
Explicar el concepto y etapas de la Auditoria Informtica. Explicar los beneficios obtenidos de la ayuda del computador dentro de la planificacin y ejecucin de la Auditoria financiera. Explicar las diferentes clases de ficheros.
64
Explicar los diferentes tipos de seguridad a tener en consideracin dentro de la Auditoria de Sistemas. Explicar las caractersticas de la informacin electrnica.
Disear un mapa conceptual que contenga la definicin, funcin y alcance de la auditoria informtica en el proceso de evaluacin del sistema de control interno informtico. Elaborar un glosario de los trminos ms importantes relacionados con la auditoria informtica y los riesgos informticos.
AICPA. The American Institute of Certified Public Accountants. SAS 78 Consideration of the Internal Control Structure in a Financial Statement Audit., EE.UU. 1995. Audisis ltda Metodologa de Auditoria de los centros de cmputo, Vol. 1, Santa fe de Bogot. 1992. COLBERT, J. BOWEN, P. A compararison of internal control: (COBIT, SAC, COSO and SAS 78), 1998. Pgina WEB (www.isaca.org). COOPERS & LYBRAND. Control Interno, Auditoria y Seguridad Informtica. Vol. 5, Expansin, Madrid. 1996. Cornella, A. Informacin digital para la empresa. Marcombo, Barcelona. 1996. COSO. The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework, EE.UU. 1992. DAVIS, J. CUSHING, B. Accounting Information System. EE.UU. 1980. E.D.P. Auditors Foundation. Estndares de auditoria de sistemas, L.A., EE.UU. 1990.
Costos Bsicos
65
UNIDAD 5: Papeles de Trabajo del Centro de Computo Aplicacin (Prctica)

Horizontes
Conocer las diferentes guas de aplicacin que contienen los trabajos del centro de cmputo. Evaluar la importancia de los sistemas de la organizacin. Identificar la naturaleza de los papeles de trabajo. Describir y evaluar los documentos de seguimientos en el proceso de la auditoria de sistemas.

Planeacin de la Auditoria. Gua para Elaborar el Archivo Permanente. Formato para Determinar la Importancia de las Aplicaciones de Computador. Formato para Determinar la Importancia del Centro de Procesamiento de Datos. Cuestionarios de Control. Auditoria de Controles Generales al Centro de Procesamiento de Datos. Probabilidad de las Amenazas. Ejemplo Matriz de Evaluacin de Riesgos y Controles. Auditoria de las Aplicaciones en Funcionamiento. Gua para Elaborar el Archivo Permanente de la Aplicacin
66
5.1 PLANEACIN DE LA AUDITORIA
Investigacin Preliminar:
Determinacin de los Recursos de Cmputo de la Organizacin Evaluar Seguridades Existentes:
Definir los objetivos de Auditoria Aplicar cuestionarios de control Elaborar informe de acciones de emergencia Disear Pruebas de Auditoria Ejecutar Pruebas de Auditoria Analizar efecto de las Debilidades de Seguridad:
Determinar el impacto de las debilidades Determinar la probabilidad de ocurrencia de las amenazas Estimar perdidas y gastos por interrupcin de actividades Determinar y Evaluar medidas de seguridad adicionales Elaborar Informe Final de la Auditoria GUA PARA ELABORAR EL ARCHIVO PERMANENTE Organizacin del Departamento de Sistemas Ref - Pt
5.2 5.2.1
Obtenga el organigrama de la Empresa Obtenga o elabore el organigrama de la Gerencia Informacin. (Dpto) de Sistemas de
Obtenga o elabore la descripcin de las funciones asignadas a cada uno de los cargos existentes en el Dpto. de Sistemas. Nombre de los Cargos Cantidad
67
PLANEACIN DE LA AUDITORIA CENTRO DE COMPUTO___________________________________ OBJETIVO GENERAL DEL TRABAJO A REALIZAR__________ ___________________________________________________ ___________________________________________________ ___________________________________________________ ___________________________________________________ ___________________________________________________ ___________________________________________________ ALCANCE DEL TRABAJO A REALIZAR (reas de Revisin) 1. 2. 3. 4. 5. 6. 7. 8. Planeacin Organizacin Backup y Recuperacin Seguridad Produccin Plan de Contingencias Desarrollo de Sistemas Eficiencia ( ( ( ( ( ( ( ( ) ) ) ) ) ) ) )
PUNTOS DE INTERES PARA ESTE TRABAJO________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ _________________________________________________________ AUDITORES ASIGNADOS. Supervisor_______________________ Senior ________________ Jnior_________________________________________________ DURACIN ESTIMADA______ Horas____ Das____ Semanas____ FECHA INICIACIN_________ FECHA TERMINACIN__________
68
Obtenga una lista de los nombres de los funcionarios del Dpto de Sistemas. Contrato de arrendamiento. Hardware y Software de Computador
5.2.2
Elabore un esquema de la red de comunicacin y de los equipos de la Empresa que estn intercomunicados. Obtenga (elabore) un inventario de los equipos de computacin indicando su localizacin. Obtenga los siguientes datos sobre los equipos de computacin de la Empresa:
TAMAO Grandes (mainframes) Minicomputadores Microcomputadores CANTIDAD MARCA
Describa las caractersticas de los equipos de cada centro de procesamiento de informacin vital de la Empresa. Obtenga la siguiente informacin:
Unidad Central de Proceso (CPU) Fabricante Nmero de modelo Fecha de Instalacin Localizacin fsica ______ ______ ______ ______
Capacidad de memoria instalada. Capacidad de almacenamiento en disco (cantidad y caractersticas): unidades de cinta, unidades de disco, unidades de diskette, terminales on - line locales, terminales on-line remotas, controladores de comunicacin, UPS's, impresoras, modems, multiflexores, encriptores, concentradores. Sistema operacional instalado: Nombre Versin Otros paquetes de software ambiental instalados: Software Software Software Software de seguridad (control de acceso) control de libreras de administracin del sistema de comunicaciones
69
Software administrador de base de datos (DBMS) Software especializado diseado por la instalacin Utilizacin del sistema.
Horas utilizacin: Diarias______ Semanales ____ Das de utilizacin: Semanales_____Mensuales____ Horas mensuales por tipo de trabajo Produccin ______ Pruebas ______ Reprocesos ______ Mantenimiento de programas ______ Desarrollo de programas ______ Otros ______ Indquelos
Tiempo ocioso ______ Software de aplicaciones en produccin: Nombre de la Aplicacin ___________________ Aplicaciones en desarrollo: Nombre de la aplicacin ___________________ 5.2.3 Fecha de Terminacin __________________ Periodicidad de actualizacin ________________________
Costos Anuales del Departamento de Sistemas
Total Presupuestado
Ao Fiscal corriente Ultimo ao Fiscal Costos de Arrendamiento
CPU'S Otros equipos
70
Costo de equipos adquiridos (Depreciacin)
CPU'S Los dems Costos de mantenimiento de Hardware y otros equipos (especificar) Incluido dentro del presupuesto general de gastos PROVEEDOR ____________________ COSTO __________________
Costos de suministros (especificar conceptos) Vigencia Fiscal 1995 Costos de Servicios Controlados
Conversin de Datos Otros servicios (especificar) Otros Costos del Departamento. Vigencia Fiscal 1995
Espacio fsico Servicios (especificar) Costos del personal
De planta Temporales (a destajo) Costos de seguros (especificar compaas) Otros Datos de Inters
5.2.4
UPS'S
Cantidad Caractersticas Sitios de almacenamiento de medios magnticos.
Adyacentes o cercanos a las instalaciones Cantidad Localizacin

71
Lejanos de las instalaciones Cantidad Localizacin Provisiones para procesamiento en instalaciones de respaldo: FORMATO PARA DETERMINAR APLICACIONES DE COMPUTADOR LA IMPORTANCIA DE LAS
5.3
EMPRESA_________________CENTRO DE PROCESAMIENTO__________________ 1. NOMBRE DE LA APLICACIN_________________________________________ 2. MODO DE PROCESAMIENTO Batch________Batch/On line________On line/Tiempo Real 3. FUNCIONES QUE SATISFACE ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ 4 CRITICIDAD DE LA APLICACIN 4.1 Por Tiempo Muerto Un da Una semana Un mes Indefinido Efecto A __ M __ B 5 5 5 5 4 4 4 4 3 3 3 3 SUBTOTAL 4.2 Por Divulgacin 5. 6. 5 4 3 __________ Impacto
___________
DILIGENCIADO POR__________REVISADOR POR___________ FECHA DE DILIGENCIAMIENTO______________
72
5.4
FORMATO PARA DETERMINAR LA IMPORTANCIA DEL CENTRO DE PROCESAMIENTO DE DATOS __________________________________
EMPRESA
CENTRO DE PROCESAMIENTO___________________________________
APLICACIONES EFECTO DEL TIEMPO MUERTO EFECTO DE LA DIVULGACIN PUNTAJE
________________ ________________ ________________ ________________ ________________ ________________ ____TOTALES_____
__________ __________ __________ __________ __________ __________ __________
+ + + + + + +
_______ _______ _______ _______ _______ _______ _______
= = = = = = =
CRITICIDAD DEL CENTRO DE CMPUTO (C). Puntaje Total Obtenido C = -------------------------------------- x 100 25 x n Donde, "n" es la cantidad de aplicaciones evaluadas. "25" es el puntaje mximo que puede obtener una aplicacin.
Significado de C
Entre 90 y 100%, la criticidad es ALTA. Menos del 80% la criticidad es BAJA. Entre 80 y 89% la criticidad es MEDIA.
73
5.5 5.5.1
CUESTIONARIOS DE CONTROL rea de Planeacin
Objetivos de Auditoria
Determinar que exista un plan de desarrollo estratgico y el soporte correspondiente. Determinar la planeacin propia para el departamento de sistemas. Asegurarse de que el computador fue comprado previendo que producir mayores beneficios que cualquiera de las otras alternativas de automatizacin. Asegurar la seleccin de servicios adecuados y del equipo de computacin. Asegurarse de que se elabor un plan de pre-instalacin contra el cual verificar los resultados y el avance.
Controles
Que exista un Comit que se responsabilice de iniciar, guiar y revisar los resultados de la investigacin preliminar. Que se haga un estudio de factibilidad y se elabore un informe de investigacin de acuerdo con las especificaciones. Se deber elaborar un listado de los criterios de seleccin adecuados para entregrselos a cada proveedor en potencia. El criterio de seleccin, deber de establecerse en forma de un cuadro en el cual se anotar la evaluacin de las propuestas de los proveedores. El proveedor del equipo podr ser sometido a calificacin en la resolucin de problemas de prueba, mediante la evaluacin de sus programas y los resultados. Para evaluar las propuestas de los fabricantes, podrn emplearse programas paquetes de simulacin. Los arreglos contractuales, debern ser revisados minuciosamente antes de hacer las seleccin final del equipo y firmar el contrato.
74
Que exista un cronograma de actividades y tiempo detallado con previo cumplimiento de las normas legales establecidas. Que exista la asignacin presupuestal para la vigencia fiscal correspondiente. rea de Organizacin
5.5.2
Objetivo de Auditoria
Determinar que exista una estructura organizacional del departamento de sistemas. Determinar que exista un manual de funciones y responsabilidades, una adecuada segregacin de funciones y un presupuesto para el departamento de sistemas. Asegurarse qu organismo o persona ejecuta un control organizacional al departamento de sistemas y con que periocidad.
Controles
Asegurar que haya una separacin de deberes adecuada entre los operadores de la computadora, los programadores de la aplicacin, los programadores del sistema y los analistas de sistemas. Cuando alguien entre al rea de operacin de la computadora, adems del personal de operacin, asegurar que haya los controles externos apropiados de manera que el personal administrativo adecuado est informado de esta situacin especial. Salvar una copia de la bitcora de la consola de la computadora y de la bitcora de salidas del sistema para la revisin posterior. Estas dos bitcoras pueden servir como un camino de auditoria en relacin a lo que fue alimentado a la computadora y acerca de las diversas rdenes del operador. Cuando sea factible, rotar a los operadores de la computadora entre diferentes corridas de trabajo. Asegurar que haya un manual adecuado de las corridas de trabajo para cada trabajo de cmputo. El manual de la corrida del trabajo debe incluir por lo menos las instrucciones de operacin para el trabajo, la informacin de implementacin del trabajo, notas sobre formas u otras funciones de impresin, y los procesos de verificacin/reinicio para el caso de falla del trabajo.
75
Asegurar que haya alguna clase de reporte de utilizacin de mquina para identificar al menos el trabajo que se est corriendo al operador de la computadora presente, si fue o no llamado el programador, el tiempo usado de computadora, y cualesquiera condiciones no usuales encontradas durante la corrida de la aplicacin. Procurar un grupo de prueba de sistemas que examine adecuadamente todas las modificaciones a los sistemas, as como a los nuevos sistemas que se estn desarrollando. Revisar los organigramas para asegurar que la organizacin es funcional y que puede operar exitosamente dentro de los confines de la organizacin. Interrelacionar los organigramas totales con los organigramas departamentales para asegurar que exista una relacin adecuada de trabajo. Revisar los procedimientos del departamento de proceso de datos para ver si siguen y/o llevan a cabo adecuadamente las polticas bsicas tal como fueron esbozadas por la alta Gerencia de la organizacin. Revisar las descripciones de los puestos dentro del departamento de proceso de datos con el fin de asegurar que existe una separacin de las funciones laborales; por ejemplo, no se debe de pedir que programen los operadores de la computadora. Asegurar que haya una separacin adecuada de deberes entre el personal que trabaje en la biblioteca de cintas y discos y el dems personal de operacin de la computadora. Asegurar que los procedimientos de trabajo dentro del rea del departamento de procesamiento estn escritas en un manual de polticas o estndares. Procurar un rea separada de cintoteca /discoteca. Esta rea debe de estar separada pero contigua a las operaciones de proceso de datos. Asegurar que existe una documentacin adecuada para todos los sistemas y programas. Designar oficialmente a una persona como la encargada de la oficina de control de la informacin para toda la organizacin. Esta persona es responsable de la seguridad de todo el proceso de datos, tanto fsicamente como de la informacin.
76
Asegurar de que haya una poltica escrita especfica respecto a quin dentro de la organizacin tiene el derecho de acceso a la informacin especfica. Esta poltica debe de definir cualesquiera limitaciones en el uso de esta informacin por los que tengan acceso autorizado a ella. rea de Backup y Recuperacin
5.5.3
Objetivo de Auditoria
Asegurar que existan procedimientos adecuados para proteger el contenido de las libreras contra daos accidentales, prdidas o mal manejo. Asegurar que todos los archivos y medios magnticos sean inventariados y adecuadamente controlados. Asegurar que existan normas adecuadas de identificacin de archivos. Asegurar que existan procedimientos adecuados de backup que respondan a los requerimientos de recuperacin y que garanticen la continuidad de las operaciones. Asegurarse que solo personas autorizadas accesan los archivos o medios magnticos.
Controles
Determinar la existencia del manual de procedimientos de Backup y recuperacin. Determinar las personas responsables del procedimiento de Backup Determinar los tipos, clases y periocidad de los Backup. Que exista una cintoteca. Determinar mediante pruebas selectivas el contenido de los Backup. Que exista personal idneo para las pruebas de recuperacin. Que exista procedimientos adecuados de inventario para la biblioteca y cintotecas. Que existan copias de seguridad almacenadas en lugares remotos y restringidos. Que existan instrucciones escritas adecuadas para la identificacin de los archivos y su rotacin.
77
Que hayan claves de autorizacin para la creacin de Backup y su recuperacin. rea de Seguridad
5.5.4
Exposicin al Fuego
Objetivos de Auditoria:
Revisar la suficiencia de las medidas contra incendio en el edificio construido y la naturaleza no combustible de su contenido. Revisar si la planificacin de proteccin contra incendios tiene suficientes medidas de seguridad y revisar las medidas preventivas. Revisar la suficiencia de: dispositivos de deteccin de incendios, alarmas e interruptores de la energa elctrica, equipo de extincin de incendios, luces de emergencia.
Procedimientos de Control
El centro de computacin est ubicado en un edificio resistente al fuego o no inflamable? El saln de Computador est separado de las reas adyacentes mediante particiones, paredes, pisos y puertas no combustibles o resistentes al fuego, y separado de contenidos peligrosos? Los pisos y techos falsos (incluyendo los materiales de soporte y de aislamiento), estn hechos a prueba de incendio? Son a prueba de incendios, las alfombras, los muebles, y las cubiertas de las ventanas? El papel y otros suministros combustibles se guardan fuera del rea del computador? Est prohibido fumar en el Centro de Cmputo? El personal de operaciones de PED est adiestrado en tcnicas de extincin de incendios, y tienen responsabilidades individuales asignadas para casos de incendio? El centro de computacin est protegido por sistemas de extincin automticos?
De agua? En este caso, suena una alarma al activarse y hay alguna demora para el surtido de agua?
78
Halgeno? Dixido de carbono? El personal conoce las precauciones de seguridad que deben observarse? Hay extintores de fuego porttiles ubicados estratgicamente en el centro de computacin, con marcadores de ubicacin bien visibles? Los controles de emergencia para desconectar la energa elctrica estn fcilmente accesibles en las salidas? Los controles de emergencia de energa elctrica desconectan la calefaccin, la ventilacin y el aire acondicionado? Se usa una lista de comprobacin para apagar el equipo? Hay detectores de humo y de ionizacin instalados en:
Varias zonas del centro de computacin? Techos? Pisos falsos? Conductos de ventilacin? Los detectores de humo/ionizacin activan el interruptor de emergencia de la energa elctrica? Se hacen pruebas regulares del funcionamiento de los detectores? Con regularidad se hacen ejercicios de simulacin de incendios? Hay disponible un suministro suficiente de agua para la extincin de incendios? Hay una cantidad suficiente de cajillas de alarma contra incendios por todo el centro de computacin? Al activarse la alarma de incendios, su sonido se escucha:
Localmente? En el puesto del guardia de seguridad? En la estacin central de alarmas de incendio? En la estacin (Departamento) de bomberos? Se conoce la tasa de incendios suministrada por el cuerpo de bomberos local? Se usan materiales inflamables en el mantenimiento del computador? (Si se usan deben ser en cantidades pequeas y deben almacenar en recipientes aprobados)
79
Las cuadrillas de emergencia deben entrar a la sala del computador sin demora? Hay suficiente suministro de iluminacin de emergencia distribuida por todo el centro de computacin y se prueba con regularidad?
Exposicin a Daos por Causa de Agua

Objetivo de Auditoria:
Revisar las medidas para prevenir y reducir los daos causados por el agua. Procedimientos de Control:
Los computadores y el equipo relacionado, estn colocados ms arriba del nivel del suelo? Las tuberas de agua y de vapor que pasan por arriba, estn fuera de la sala del computador, con excepcin de los surtidores de emergencia? Se ofrece un drenaje adecuado debajo de los pisos falsos y en otras reas del centro de computacin? Hay un drenaje adecuado en el piso de encima, para evitar que se filtre el agua por el techo? Se proporciona un drenaje adecuado en las reas adyacentes al centro de computacin? Todas las unidades elctricas estn en cajas colocadas debajo de los pisos falsos y desconectados de las planchas de dicho suelo para evitar daos por agua? Las puertas y ventanas exteriores estn hechas a prueba de agua? Se tiene proteccin contra agua de lluvia acumulada o contra goteras en el tejado y en las torres de enfriamiento que estn sobre el tejado?
Sistema de Aire Acondicionado (Temperatura, Filtracin y Humedad)

Verificar la suficiencia del sistema de aire acondicionado en cuanto a: temperatura, ventilacin, filtracin, humedad, proteccin, respaldo Procedimientos de Auditoria:
Se usa el sistema exclusivamente para el centro de computacin?
80
Los revestimientos de los conductos y los filtros estn hechos en materiales no combustibles? Se suministran reguladores de corrientes de aire contra incendio? El compresor est alejado del centro de computacin? La torre de enfriamiento est suficientemente protegida? Existe un sistema de aire acondicionado de respaldo? Las tomas de aire: Estn cubiertas con mallas protectoras? Estn ubicadas a mayor altura que el nivel de la calle? Estn ubicadas para evitar que entren elementos contaminantes o escombros?
Electricidad
Determinar la calidad de la fuente principal de energa elctrica. Determinar la necesidad y el tipo de suministro interrumpido de energa elctrica y revisar las pruebas para el mismo. Revisar el cumplimiento de los cdigos locales de los cables elctricos. Procedimientos de Control:
Es confiable el suministro elctrico local? El voltaje de las lneas es registrado por voltmetro? Si el voltaje de la lnea no es confiable: se han investigado lneas alternas? Si es alto el grado crtico de los sistemas que se procesan en el centro de computacin, se ha investigado sobre suministros de energa elctrica sin interrupcin (UPS's)? Todos los canales elctricos del centro de computacin satisfacen los cdigos elctricos de aceptacin general local?
Exposicin a Desastres Naturales

Objetivo de Auditoria: computacin estn
Determinar si las instalaciones del centro de razonablemente protegidas contra desastres naturales.
81
Procedimientos de Auditoria:
El edificio del centro de computacin es slido en su estructura y est protegido contra: Huracanes y vientos? Daos por inundacin? Terremotos? El edificio y el equipo estn correctamente conectados a tierra como medida de proteccin contra rayos?
Controles de Acceso
Revisar los procedimientos apropiados de seguridad y los dispositivos de cierre para evitar el acceso no autorizado. Determinar si las puertas y ventanas estn construidas de modo adecuado. Identificar la cantidad mnima necesaria de puertas y ventanas. Procedimientos de Auditoria:
El centro de computacin es un objetivo poco probable para delincuentes? Hay guardias de vigilancia en todas las entradas al centro de computacin? Se exige una constancia de identificacin para entrar al computacin (ejemplo: un sistema de carnet con fotografa)? centro de
El acceso al centro de computacin est restringido solamente a las personas autorizadas por ser su lugar de trabajo? La limitacin de acceso al centro de computacin es suficiente durante las 24 horas cada da? Se usan llaves, cerraduras de cdigo, lectores de carnet, u otros dispositivos de seguridad para controlar el acceso? El personal est adiestrado para retar a los visitantes que no estn debidamente identificados? Hay suficientes controles para los visitantes del centro de computacin? Se desestimula la divulgacin de la ubicacin del centro de computacin? Es necesaria cada una de las entradas al centro de computacin? Las puertas del centro de computacin que son necesarias para ventilacin e iluminacin, estn protegidas por alguna reja o malla cuando estn abiertas? Las puertas de las salidas de emergencia estn protegidas con alarmas de salida?
82
Las puertas las cerraduras, los pasadores de cierre, las bisagras, los marcos y otros mecanismos del edificio, estn construidos de tal modo que se disminuya la probabilidad de ingresos no autorizados? Si el acceso al centro de computacin se controla elctrica o electrnicamente, hay bateras cerca y disponibles para casos de interrupciones del sistema de energa primario? Hay adecuados controles sobre la remocin de materiales del rea de procesamiento de datos? Los reportes sensitivos se desmenuzan (Hacen trizas)? El sistema hace uso de: Guardias, Tarjetas, Badger (escarapelas de color codificado), Circuito cerrado de televisin, Puntos de entrada limitados, Monitoreo central, Dispositivos de deteccin, Alarmas, Sistema de intercomunicacin (intercom), Puertas tramman (entrada de doble puerta), puertas de salida nicamente en emergencia de incendio, Las terminales estn localizadas en reas seguras para prevenir el acceso a las mismas por usuarios no autorizados? Las terminales incluyen dispositivos de cierre (locking) para prevenir uso no autorizado? Todas las conexiones de modems y lneas de comunicacin estn aseguradas para prevenir que sean interceptadas? Se utilizan lneas arrendadas para la comunicacin de datos sensitivos? Se utilizan dispositivos automticos de descripcin proteger la transmisin de datos sensitivos? La alta direccin apoya el sistema de seguridad? Se utilizan auditores internos y oficiales de seguridad? La identificacin de las personas se efecta por: alguna cosa que el usuario tiene, alguna cosa que el usuario conoce, caractersticas de los usuarios, identificacin de la terminal, por localizacin de las terminales, mediante nombre y funcin de programas individuales, de los archivos hacia abajo, hasta el nivel de campo. Los accesos a los archivos de datos y programas de aplicacin estn restringidos por uno o todos los siguientes mtodos: Clasificacin de archivos (e.g. Top Secret, confidencial, etc.)? Leer nicamente, escribir nicamente, adicionar, copiar, etc.? Categora o usuario?
(criptoboxes)
para
Las claves del dispositivo de encripcin se cambian con frecuencia?
83
A todos los empleados o visitantes al centro de computador o a otras reas sensitivas se les exige identificacin positiva en forma de escarapelas (badges) o carnets con la foto del individuo, nombre, posicin y departamento? Estn previstos procedimientos para controlar la emisin y recuperacin de escarapelas y carnets? Las existencias peridicamente? de escarapelas o carnets sin utilizar se verifican
Est establecido un lmite para permitir repeticin de intentos no vlidos para accesar el sistema desde las terminales (generalmente de uno a tres)? El sistema de seguridad incluye caractersticas de autenticacin de personas y terminales tales como call-back (e.g. una terminal es desconectada y discada para ver si la terminal apropiada responde)?
Los passwords se cambian frecuentemente? Los passwords son cuidadosamente manejados por sus propietarios y el archivo de estos est adecuadamente protegido contra acceso no autorizado? Los terminales automticos? estn equipados con generadores de identificacin
Las llaves de las cerraduras de las terminales se conservan adecuadamente protegidas? Se mantiene un log de todos los intentos infructuosos para entrar al sistema de computador (e. g. va terminales)? Todos los intentos de violaciones de acceso son inmediatamente reportados y seguidos de una accin correctiva? Todas las intervenciones de operacin del computador son registradas en el log y aclaradas?
Aseo y Mantenimiento
Determinar si los procedimientos de aseo y mantenimiento reducen al mnimo los riesgos relativos a: materiales combustibles, polvo y otros elementos contaminables, fuerzas estticas. Procedimientos de Control:
Se evita la acumulacin de escombros en el centro de computacin? Se limpian con regularidad el equipo y las superficies de trabajo?
84
Se lavan los pisos con regularidad? Se limpian con regularidad las superficies que estn debajo falsos? de los pisos
Se vacan los recipientes de basura fuera del centro de computacin para disminuir la descarga de polvo? Se usan alfombras y cera de pisos antiestticos? Se prohbe comer en la sala del computador? Se usan recipientes de basura poca propensin al fuego en el computacin? Est prohibido fumar en la sala del computador? Se mantiene limpia y ordenada el rea de mantenimiento? centro de
Asuntos Generales
Revisar y evaluar la planificacin de la seguridad de la organizacin. Procedimientos de Auditoria:
Se ha orientado el personal de seguridad y de operaciones en cmo se debe reaccionar en caso de disturbios civiles? Se ha adiestrado al personal en cmo manejar amenazas de bombas? Hay un programa de enlace con las agencias locales de orden pblico?
Polticas del Personal

Revisar la poltica de contratacin para asegurarse que se han realizado chequeos del pasado profesional de todo el personal de PED. Revisar si los estndares de educacin y entrenamiento son suficientes. Revisar los procedimientos de terminacin de contrato laboral y de proteccin contra daos por parte de empleados descontentos. Procedimientos de Control:
Se hacen chequeos del pasado profesional de todos los empleados nuevos?
85
Se vuelve a chequear en forma peridica el pasado profesional empleados?
de todos los
Reciben los empleados adiestramiento cruzado de materias relacionadas entre si? Se informa a la Gerencia de empleados que dan muestra de descontento? Hay polticas establecidas para contener a empleados despedidos de inmediato, que pueden representar una amenaza para el centro de computacin? Existe un programa educativo continuo respecto a las medidas de seguridad?
Controles
Determinar si la construccin del edificio, incluyendo las paredes, techo y pisos, son de materiales no combustibles con objeto de reducir la posibilidad de incendio. Ver que las paredes adyacentes inmediatas a los archivos o al equipo crtico son de ladrillo, de manera que no sean penetradas fcilmente. Separar fsicamente el servicio de computacin de los otros departamentos. En edificios de varios pisos situar el servicio de proceso de datos en un piso alto para reducir el riesgo de una penetracin extraa o dao por inundacin. Verificar el tejado para cerciorarse que no haya goteras. Separar la habitacin de la computadora, y las reas de archivo y equipo de cinta/disco y la biblioteca, por medio de paredes no combustibles con un mnimo de resistencia al fuego de dos horas. No se permite la visita del centro de cmputo. Verificar que los techos estn a aprueba de agua de manera que esta no fluya a los pisos. Procurar un servicio de drenaje adecuado bajo pisos elevados debido a que los cables con corriente elctrica para debajo de estos pisos. Verificar que slo haya una puerta de entrada y de salida que sea usada por el personal de operacin del centro de cmputo. Todas las puertas deben de estar provista de aberturas, para poder romperlas en caso de emergencia.
86
Instalar un sistema automtico de supresin de fuego en el cuarto de la computadora y especialmente dentro de la biblioteca de discos/cintas. El sistema recomendado es el usar un agente halogenado de contacto seco. Situar estratgicamente cerca del centro de cmputo a nivel del suelo extinguidores porttiles, y marcar el lugar con una franja roja del suelo al techo. Comprobar que las cortinas, tapetes, muebles, piso falso, falso techo, filtros de aire acondicionado, materiales aislantes elctricos y acsticos, etc., estn hechos de materiales no combustibles o bien est tratado con materiales retardantes de fuego. Prohibir el fumar, comer y beber en el cuarto de la computadora y en la bveda de cintas/discos. Verificar que el sistema de alarma contra incendio automtico tiene la capacidad de transmitir seales a un punto remoto que sea supervisado las 24 hrs. El punto remoto puede ser una estacin de guardia de la organizacin o la estacin de bomberos local. Almacenar el papel y otros suministros combustibles fuera del cuarto de la computadora, a excepcin de aquellos que se van a usar inmediatamente. Conservar en pequeas cantidades los materiales inflamables usados en el cuarto de la computadora, tales como lquidos limpiadores. Proteger de las variaciones de voltaje a toda la potencia elctrica que sirve a la unidad central de proceso (UCP o CPU), al equipo relacionado con la UCP, u al equipo de comunicacin de datos utilizando un transformador. Marcar apropiadamente a los tableros del circuito de manera que si se le va a dar servicio al equipo permitan una referencia rpida y expedita. Conservar abajo del piso a todo el equipo elctrico y especialmente al pedestal de los ductos del piso falso con objeto de aumentar la seguridad personal. Proporcionar reas cerradas separadas para el equipo de motores generadores con el fin de afirmar su seguridad Procurar dar el mantenimiento preventivo apropiado a todos los motores generadores relacionados con el equipo.
87
Generar un medio ambiente de temperatura y humedad controladas en el rea de la computadora. Mantnganse diagramas de humedad por medio de un registrador continuo. Procurar capacidad de respaldo para el aire acondicionado, que sea independiente del edificio central. Esto implica la capacidad de que opere independientemente el sistema de aire acondicionado en el caso de que se trabaje en proceso de datos fuera de horas normales. Dar mantenimiento y verificar mensualmente al sistema de aire acondicionado. Proteger las conexiones elctricas y las cajas de los circuitos que alimenten a los condicionadores de aire. Conserve cerrada a estas cajas y en una habitacin cerrada independiente. Asegurar un respaldo adecuado al aire acondicionado para el caso de que llegar a quedar inoperante. Los acondicionadores de aire independientes y montados en el piso no llegan a dejar inoperante a la unidad central de proceso. Verificar el flujo de los circuitos elctricos a travs del edificio para asegurarse de que estn relativamente seguros. Proporcionar cubiertas de plstico que protejan al equipo de proceso de datos si hay una fuga arriba de l. Hacer que todo el personal porte gafetes o insignias en reas restringidas; los visitantes deben usar un gafete de color diferente, y deben firmar el registro y ser escoltados. No se permita a los programadores y analistas de sistemas entrar en el cuarto de la computadora. Si por razones especiales estas reglas deben de ser rotas, las personas deben de tener una escolta adecuada y una autorizacin externa. No se permitan paquetes, portafolios y bolsas de mano dentro del rea de la computadora central, en la cintoteca, u otras reas muy sensitivas. Cuando sea factible, utilcese un servicio de guardias de 24 hrs con respecto a la entrada y salida del centro de cmputo.
88
Procurar contratar personal instruidos en materias de seguridad, de manera que la responsabilidad por ella quede fijada y entendida claramente por aquellos que la tienen. Desarrollar un boletn mensual o trimestral con informacin relativa a la seguridad con objeto de supervisar y entrenar continuamente al personal. Determinar si es necesario romper los papeles (papel carbn y otros artculos) para destruir reportes y listas confidenciales. El romper el papel puede no ser lo conveniente y lo anterior tenga que ir a alguna otra compaa para su custodia o destruccin. Verificar que haya sistemas adecuados para la administracin de cintas/discos, la manera que slo sean borradas las cintas/discos oportunos. Ratificar que la Gerencia preste su asistencia a los esfuerzos de entrenamiento con respecto a la seguridad fsica. Dependiendo de la sensibilidad del sistema, protjase contra el espionaje electrnico a travs de las emanaciones elctricas, del equipo de proceso de datos. Asegurar todas las ventajas, porque no slo puede ser tirado a travs de ellas algo de afuera sino tambin algo de adentro, tal como un disco o una cinta. Hacer que el personal revise el registro de acceso al sistema de mini computadoras, con objeto de determinar quin y cundo entr al rea. Determinar si los empleados del centro de cmputo deben de firmar un convenio reconociendo el hecho de que no deben vender programas de computadoras, usar a la mquina para asuntos particulares, etc. REA DE PRODUCCION
5.5.5
Operacin
Objetivos de Control:
Determinar que existan controles suficientes sobre las operaciones de computacin, que proporcionen una seguridad razonable de que sus resultados son exactos y completos.
89
Los objetivos de control deben ser orientados a alcanzar los siguientes objetivos bsicos: Prevenir y detectar errores accidentales ocurridos durante el procesamiento. Prevenir o detectar la manipulacin fraudulenta de los datos mientras son procesados en el departamento de PED, y para prevenir la inadecuada utilizacin de la informacin confidencial. Proteger contra la destruccin accidental de los registros y asegurar la continuidad de las operaciones.
Procesamiento
Objetivos de Control: los controles de procesamiento deben estar orientados al cumplimiento de los siguientes cuatro objetivos principales de control:
Asegurar que la totalidad de los datos sean procesados por el computador. Asegurar la exactitud de los datos procesados en el computador. Asegurar que todos los datos procesados por el computador estn debidamente autorizados. Asegurar que las pistas de Auditoria sean adecuadas.
Controles
Deber establecerse un grupo de control que reciba la totalidad de los datos para el procesamiento y asuma la responsabilidad de comprobar que todos los errores detectados durante el procesamiento sean corregidos, as como para garantizar que los datos de salida se distribuyan adecuadamente. Debern de utilizarse, siempre que sea posible, los programas de edicin del computador con el fin de verificar que los datos estn completos, sean exactos, y estn debidamente autorizados, complementando as las funciones del grupo de control. Se debern de proporcionar manuales de sistemas y procedimientos para todas las funciones de operacin del computador. La metodologa mediante la cual controla sus propias operaciones el computador deber evaluarse desde el punto de vista de los requerimientos generales de control.
90
Para todas las acciones que se requieran de parte del operador del computador debern de emitirse manuales de operacin. Debern de predeterminarse y verificarse peridicamente durante el procesamiento los totales de los archivos maestros, de entrada y de salida de los datos. Siempre que sea posible, deber de emplearse el computador para hacer la edicin de los errores. Deber de haber algn mtodo que asegure que los componentes fsicos del equipo (hardware), trabajen adecuadamente. Se deber de independizar la funcin de programacin y la de operacin del computador. Es conveniente que los conocimientos de programacin por parte del operador sean limitados. Se debern establecer procedimientos con el fin de detectar los errores lo antes que sea posible. Se debern de elaborar instrucciones explcitas para el operador acerca de los procedimientos en caso de error y de detencin del trabajo. Cada transaccin deber ser registrada inicialmente en un formato especial con cdigo de identificacin, el cual deber llenarse de tal manera que ms adelante sea posible referirse al mismo. Donde sea posible, se deber de programar el computador de manera que pueda anticipar cada transaccin y detectar la falta de datos de entrada (control anticipado). Los empleados encargados de la preparacin de los datos de entrada, o que tengan acceso al almacn de papelera, no debern de tener acceso ni responsabilizarse de los archivos relacionados con los mismos documentos, ni de programas del computador, ni del computador en s. Los datos de entrada debern ser codificados cerca de su punto de origen para tomar en cuenta los totales de control del lote; debern de utilizarse formas para el encabezado del lote, que contengan un cdigo de identificacin, as como un registro del total de control del lote.
91
En algunas aplicaciones, los datos de salida debern de ser listados para revisarlos visualmente en detalle contra los documentos originales. La totalidad de los datos rechazados en el ciclo de procesamiento deber registrarlos el grupo de control en una cdula de errores e identificar las correcciones sobre la misma cdula al ser realimentadas; las operaciones aisladas, debern de investigarse con regularidad. Se deber establecer un sistema bien definido para corregir los errores y realimentar las correcciones como entrada; y se deber de asignar y fijar responsabilidades acerca de esta funcin. Debern revisarse en las fechas de corte, las conciliaciones de los totales de control con el fin de asegurar que la totalidad de la informacin de entrada se haya recibido para su procesamiento. Debern describirse especficamente por medio de manuales, procedimientos respecto a la preparacin de los documentos de origen. los
Se deber de proporcionar, entrenamiento y supervisin en la forma adecuada, a todas las personas relacionadas con la preparacin de los datos que sern procesados en el computador. En ausencia de otros controles, los cdigos-clave de identificacin debern de emplear la tcnica auto verificable del cdigo de control, para identificar los errores de codificacin. Adems de la existencia de manuales por escrito, deber de contarse con la supervisin adecuada del personal y con el necesario entrenamiento, as como hacer una separacin de funciones. Los datos particularmente importantes de las transmisiones en lnea, debern ser controlados por medio del procesamiento de respuesta programada. Se deber de mantener controles adecuados acerca de la conversin. Se debern de cumplir con los procedimientos de mantenimiento preventivo recomendados por el fabricante respecto al equipo. En ausencia de otros controles efectivos, los campos clave debern ser verificados mediante la utilizacin de cifras de control.
92
En su sistema de procesamiento en lote deber de implantar procedimientos manuales para la utilizacin de los datos de entrada, as como para examinarlos posteriormente en busca de dicha autorizacin. Plan de Contingencias
5.5.6
Objetivos de Control
Revisar que exista un plan de emergencia prctico y totalmente documentado, para asegurarse de que se toman las acciones adecuadas para reducir el riesgo al mnimo en caso de que las instalaciones informticas se destruyan o averen seriamente. Revisar que el plan de contingencias prevea los siguientes riesgos ms frecuentes que pueden afectar la continuidad de las operaciones del departamento de sistemas: Incendios Inundaciones Averas de los equipos auxiliares Acciones malintencionadas Robo de informacin Relaciones laborales
Preguntas Programa de Auditoria

Existe un plan de emergencia por escrito? siguientes puntos: De ser as se incluyen los
Identificacin de la configuracin mnima de equipo necesaria: tipo de mquina y modelo; tamao de memoria; cantidad, tipo y modelo de los perifricos. Especificacin del sistema operativo, JCL y otro software del sistema? Identificacin de las personas responsables de cada rea funcional? Procedimientos detallados de notificacin para la implantacin de los planes especificando quin llama a: la Gerencia, las cuadrillas de emergencia, al departamento usuario, las instalaciones de respaldo, al personal de la empresa vendedora de PED, al personal de servicios, otros segn sea necesario? Criterios para determinar la extensin de la interrupcin? Responsabilidad para retener los documentos fuente y los archivos de datos de cada aplicacin?
93
Identificacin de los individuos responsables de la decisin de utilizar la instalacin de respaldo y de planificar la solucin permanente de la interrupcin? Existe un programa de adiestramiento de emergencia para todo el personal de PED?
Procedimientos de Respaldo
Revisar el hardware de respaldo y su seguridad. Revisar el acuerdo formal y los resultados de las pruebas del sitio alterno de procesamiento. Determinar si el respaldo de Hardware y servicios es suficiente. Asegurar que hay un respaldo suficiente de: datos y archivos, programas y software, documentacin e instrucciones de corrida. Procedimientos de Auditoria
Instalacin de respaldo: hay computadores de respaldo disponibles?, el computador est ubicado (dentro del centro de computador? dentro del mismo edificio? en una ubicacin apartada del edificio del centro de cmputo principal? Si se tiene acceso a otro computador que no es de la Empresa: existe y est vigente un acuerdo contractual, se hacen pruebas peridicas, las medidas de seguridad en la instalacin de respaldo son suficientes, la instalacin de respaldo ha sido aprobada por el personal de seguridad, en las instalacin de respaldo existe capacidad suficiente para procesar las aplicaciones crticas. Se ha desarrollado un plan de implantacin del respaldo? este se revisa y prueba con regularidad? La empresa vendedora de servicios de PED almacena repuestos localmente? Existe un programa regular de mantenimiento preventivo?
Datos, Archivos y Software

Existen polticas y procedimientos para respaldo y retencin de archivos? Se prueban con regularidad? Los datos / archivos crticos de apoyo se guardan en:
94
Las dependencias de la empresa, dentro fuego?
de
una ubicacin a
prueba de
Lejos de las dependencias, en una ubicacin a prueba de fuego? Se ha evaluado que el sitio de almacenamiento apartado ofrezca seguridad suficiente? Todos los datos / archivos y software dentro del centro de cmputo, se guardan en recipientes poco propensos al fuego? Peridicamente se realizan corridas de prueba, utilizando los datos / archivos y el software localizados en el sitio apartado y en las dependencias de la empresa? Los respaldos de datos / archivos y software se generan peridicamente, con intervalos regulares? La documentacin de respaldo est al da con los datos, archivos y software de respaldo?
Seguros
Revisar la cobertura respecto a una proteccin suficiente contra una variedad de desastres: todo riesgo, gastos adicionales, prdidas por interrupcin de actividades. Procedimientos de Auditoria:
Est incluido lo siguiente en su seguro de la propiedad?: incendios, daos causados por el agua, disturbios civiles, vandalismo, desastres naturales, rayos, huracanes, terremotos, colapso de la estructura, aeronaves, falla del sistema de aire acondicionado, explosiones, gas, calderas, daos a la propiedad de la organizacin, entre otros. Hay cobertura especfica para: el equipo de PED, los medios de almacenaje, gastos adicionales, prdidas por interrupcin de actividades, software y documentacin? Hay seguros para formas de computador que representen ttulos valores para cubrir las prdidas por medio del computador de: archivos de cuentas por cobrar, Otros archivos?
Controles
Existe un plan de emergencia por escrito Existe un programa de adiestramiento para todo el personal del PED.
95
Hay Hardware y Software de respaldo Existe acuerdos formales para procesamiento alterno. Existe un plan de implantacin de respaldo. La cobertura de los seguros ofrece una proteccin suficientes. rea de Desarrollo de Sistemas
5.5.7
Asegurar que una aplicacin sea convertida al computador, solamente si se va a producir mayores beneficios que cualquier otra alternativa. Asegurar el desarrollo de sistemas y programas efectivos. Asegurar que los sistemas y programas sean mantenidos con efectividad.
Controles
Se deber de realizar un estudio de factibilidad efectivo. La alta gerencia deber de aprobar las conclusiones de los diferentes grupos de estudio. Se debern de elaborar planes a largo plazo como una gua para los subsecuentes diseos de sistemas. Deber haber una participacin activa de los representantes de los departamentos usuarios, incluyendo el departamento de contabilidad. Se deber de separar las funciones de programacin y operacin. Se deber de establecer, documentar y poner en prctica, procedimientos estndar para la programacin. Cada sistema deber ser revisado y aprobado por la alta gerencia y los departamentos usuarios interesados antes de iniciar el diseo de los sistemas. Deber existir colaboracin entre los departamentos departamento de PED, para probar y ensayar los sistemas. usuarios y el
Las comprobaciones finales debern comprender todas las fases del sistema, incluyendo el procesamiento manual y el computador. Se deber de controlar la conversin de los archivos a fin de prevenir la realizacin de modificaciones sin autorizacin, y para garantizar la obtencin de resultados exactos y completos. Se deber de obtener autorizacin antes de iniciar una modificacin. Deber controlarse la comprobacin y aprobacin final de las modificaciones.
96
5.5.8
rea de Eficiencia
Determinar el grado de satisfaccin de los usuarios del sistema. Determinar si las aplicaciones de sistemas han sido la solucin a los diferentes problemas planteados. Determinar el contenido tcnico de los sistemas y programas que se desarrollen para asegurarse de que la empresa obtiene el mximo beneficio de los esfuerzos y recursos que se ponen en juego. Determinar si los controles existentes en las diferentes reas son suficientes.
Controles
Las aplicaciones deben solucionar problemas planteados. La informacin que suministra el sistema debe ser oportuno, confiable y suficiente para la toma de decisiones. Deben llevarse estadsticas que permitan evaluar el departamento de sistemas. Debe efectuarse reuniones con los Jefes de departamentos usuarios que permitan evaluar en parte Los resultados del departamento de sistemas. Deber ser supervisada con eficiencia las operaciones del computador. Deber planearse un programa acerca de la rotacin del personal de la operacin en aplicaciones delicadas. Deber ser supervisada la eficiencia en el cumplimiento de las funciones. Deber ser evaluado el cumplimiento en el desarrollo de los planes de sistemas. Normalmente es conveniente que el Comit Tcnico elabore evaluaciones en relacin a la idoneidad del personal. Deber acondicionarse el hardware, software y utilitarios del sistema de acuerdo a las necesidades de la Empresa. Se realizan estudios de factibilidad. Asegurar que los programas y sistemas son mantenidas con seguridad suficiente.
97
5.6
AUDITORIA DE CONTROLES PROCESAMIENTO DE DATOS
GENERALES
AL
CENTRO
DE
PRUEBA No.______ 1 OBJETIVOS DE LA PRUEBA
Ref. PT
2 TCNICA (S) A EMPLEAR
3 TIPO DE PRUEBA CUMPLIMIENTO_________SUSTANTIVA___________DOBLE FINALIDAD________ 4 PROCEDIMIENTO A EMPLEAR
5 RECURSOS NECESARIOS PARA APLICARLA (Software, hardware, personal, informacin) ELABORADO POR_____________________________________________________ REVISADO POR______________________________________________________ FECHA_______________________
98
PRUEBA No.______
Ref. PT
1 HALLAZGO ___________________________________________________________________ ___________________________________________________________________ 2 CAUSAS ___________________________________________________________________ ___________________________________________________________________ 3 SITUACIN DE RIESGO QUE GENERA
4 ESTANDAR DE COMPARACIN ___________________________________________________________________ 5 CONCLUSIONES DE AUDITORIA ___________________________________________________________________ 6 RECOMENDACIONES DE AUDITORIA ___________________________________________________________________ ___________________________________________________________________
DISCUTIDO CON_____________________________________________________ FECHA_________________
99
5.7
PROBABILIDAD DE LAS AMENAZAS
RIESGO DESTRUCCIN RECURSOS
FRAUDE / ROBO
ERRORES HUMANOS
DIVULGACIN NO AUTORIZADA
FALLAS DE HARDWARE
EQUIPOS DE PED
INSTALAC. DE PED
ARCHIVOS DE DATOS
SOFTWARE
DOCUMENTA CIN
100
5.8
EJEMPLO MATRIZ DE EVALUACIN DE RIESGOS Y CONTROLES

PROBABILIDAD DE OCURRENCIA CAUSAS O AMENAZAS CONTROLES EXISTENTES RECOMENDACI ON
RIESGOS EXISTENTES
EFECTIVIDAD
1. 2. 3. 4. 5. 6.
A M B
0 1 2 3
0 = INEXISTENTE 1 = BAJO 2 = MEDIO 3 = ALTO Estimar las prdidas y gastos adicionales por la interrupcin de las actividades del Centro de Procesamiento: Determinar el valor de los recursos informticos. Determinar por anticipado cualquier gasto adicional y las prdidas ocasionadas por la interrupcin de las actividades del centro de procesamiento hasta que se restaure la normalidad.
Costo de Reemplazo / Recreacin

Equipos, perifricos, comunicaciones, medios de almacenamiento y suministros Instalaciones del centro de computo y preparacin del lugar Datos y archivos Software Documentacin Gastos adicionales (arriendos, personal, etc.) Perdidas por interrupcin de actividades Das necesarios para reemplazar / recrear los recursos informticos.
101
5.9
AUDITORIA DE LAS APLICACIONES EN FUNCIONAMIENTO
Etapas
Planeacin del trabajo Investigacin preliminar Evaluacin de los controles existentes Diagnostico y recomendaciones de los controles existentes Planear y disear pruebas de auditoria Ejecutar pruebas de auditoria Analizar resultados de las pruebas Emitir informes
reas de Revisin
Origen y Preparacin de Datos. Captura y Validacin de Datos. Procesamiento y Actualizacin de Datos. Salidas de la Actualizacin Integridad del Sistema y de los datos. Acceso a y seguridad de los programas. Acceso a y seguridad de los archivos de datos. Cambios a los programas de la aplicacin. Backup y recuperacin. Terminales y Comunicacin de Datos. Documentacin tcnica y del usuario. Auditabilidad de la aplicacin. Utilizacin y Control de Resultados.
102
PLANEACIN DE LA AUDITORIA APLICACIN________________________________________ OBJETIVO GENERAL DEL TRABAJO A REALIZAR_________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ ALCANCE DEL TRABAJO A REALIZAR (reas de Revisin) 1. ( 2. ( 3. ( 4. ( 5. ( 6. ( 7. ( 8. ( 9. ( 10. ( 11. ( 12. ( 13.( ) ) ) ) ) ) ) ) ) ) ) ) ) Origen y Preparacin de Datos Captura y Validacin de Datos Procesamiento y Actualizacin de Datos Salidas de la Actualizacin Integridad del Sistema y de los datos Acceso a y seguridad de los programas Acceso a y seguridad de los archivos de datos Cambios a los programas de la aplicacin Backup y recuperacin Terminales y Comunicacin de Datos Documentacin tcnica y del usuario Auditabilidad de la aplicacin Utilizacin y Control de Resultados
Puntos de inters para este trabajo _________________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ AUDITORES ASIGNADOS Supervisor_______________________________Senior _____________________ Jnior______________________________________________________________ DURACIN ESTIMADA______Horas____ Das____ Semanas_____________ FECHA INICIACIN_________ FECHA TERMINACIN__________
103
5.10 GUA PARA APLICACIN
ELABORAR
EL
ARCHIVO
PERMANENTE
DE
LA
EMPRESA _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ NOMBRE DE LA APLICACIN _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ Diligenciado por _ _ _ _ _ _ _ _ _ _ _ _ _ _ Fecha _ _ _ _ _ _ _ _ _ _ _ _ 5.10.1 Objetivos, Alcance y Tamao de la Aplicacin Objetivos que satisface para la organizacin ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ _____________________________ Procesos automatizados (Funciones) que realiza. Periodicidad __________________ __________________ __________________ __________________ __________________ __________________ __________________
Procesos ___________________________________ ___________________________________ ___________________________________ ___________________________________ ___________________________________ ___________________________________ ___________________________________
Criticidad por tiempo muerto y divulgacin de la informacin
104
Por tiempo muerto Menos de 1 da Una semana Un mes Ms de 30 das Total Criticidad
ALTA 5 5 5 5
MEDIA 4 4 4 4
BAJA 3 3 3 3
IMPACTO ________ ________ ________ ________ _________
Departamentos que generan informacin (Transacciones) para alimentar el sistema (Fuentes de la informacin). Departamento (Dependencia) Transacciones
___________________________________ ___________________________________ _____________________________ _____________________________ ___________________________________ ___________________________________ _____________________________ _____________________________ ___________________________________ ___________________________________ _____________________________ _____________________________ Elabore una lista de los documentos fuente que se utilizan para registrar los datos en las fuentes de la informacin y anexe una muestra de ellos. REF A P/T ________________
Dependencias Externas involucradas en el manejo (proceso) de la informacin
105
Dependencia _____________________________ _____________________________
Procesos que realiza
_____________________________ _____________________________ _____________________________ _____________________________ _____________________________ _____________________________ _____________________________ _____________________________ _____________________________ _____________________________ Dependencias que reciben/utilizan informacin producida por el sistema (Usuarios que satisface): Departamento (dependencia) _______________________________ _______________________________ _____________________________ _____________________________ _______________________________ _______________________________ _____________________________ _____________________________ Elabore una lista de los informes que produce la aplicacin indicando los objetivos de cada uno, la frecuencia de su produccin y los usuarios que lo reciben. REF. A P/T _________________
Informacin que recibe
106
Elabore una matriz de REF
Dependencias Involucradas en el Manejo de la
Aplicacin Vs. Escenarios de Riesgo. P/T ___________________
Interfases con otros sistemas.
Informacin que recibe de otras aplicaciones: Aplicacin ___________________________________ _____________________________ _____________________________ _______________________________ _______________________________ __________________________________ __________________________________ Informacin que genera para otras aplicaciones: Aplicacin ____________________________ ____________________________ ____________________________ ____________________________ ____________________________ ____________________________ Requerimientos legales que satisface. Informacin que genera Informacin que recibe
____________________________ ____________________________
________________________________________________________________
107
_______________________________________________________________ _______________________________________________________________ Programas que componen la aplicacin: ( ) ( ) ( ) Menos de 15. Entre 16 y 30. Ms de 30.
Obtenga una lista de los programas que componen la aplicacin, indicando su identificacin y funciones que realiza. REF A P/T __________________
Archivos de computador importantes que maneja la aplicacin: Identificacin Contenido _____________________________ _____________________________ _____________________________ _____________________________ _____________________________
___________________________ ____ ___________________________ _____ ___________________________ _____ ________________________________ ________________________________
Obtenga una lista de los Archivos de Entrada / Salida que maneja la aplicacin; adjunte la descripcin de los registros. REF A P/T _____________
Elabore una lista de los campos codificables de los archivos e indique su significado. REF A P/T ______________
Elabore un esquema que grficamente represente el ambiente operativo y tecnolgico de la aplicacin. REF A P/T _______________
108
Elabore una lista de los campos de los archivos que son calculados por el sistema e investigue las frmulas y algoritmos utilizados por la aplicacin para obtenerlos. REF A P/T _____________________
Obtenga los nombres de los cargos claves para el manejo de la aplicacin en cada una de las dependencias involucradas y de las personas que los desempean. REF A P/T ________________________
Obtenga una lista de los manuales de documentacin tcnica del usuario de la aplicacin e indique su localizacin. Solicite una copia de ellos. REF A P/T _______________________
Estructura y Tecnologa
Estructura de los archivos de Computador: ( ) ( ) ( ) No orientados a Bases de Datos Orientados a Bases de Datos Combinacin de las dos anteriores
Modo de procesamiento en el Computador: ( ) ( ) ( ) Batch Entrada on line y actualizacin en batch Entrada y actualizacin en tiempo real
Periodicidad de las corridas de Actualizacin. ( ) ( ) ( ) Diaria Semanal / Quincenal / Mensual. Otras (indquelas) ____________________
Sitios de procesamiento:
109
( ) ( ) ( ) ( ) ( ) ( )
Uno solo (centralizado) __________________________________________ Varios dentro de la misma ciudad __________________________________ Distribuido en varias ciudades (localizaciones). Indquelas _____________ Lo desarroll el personal de la empresa Lo desarrollaron entre consultores y el personal de la empresa. Lo desarrollaron los consultores.
Si el software se desarroll a la medida de la organizacin:
Nombre o Razn Social de los Consultores ________________________________ Fecha de instalacin ___________________________ Si el software se desarroll a la medida de la organizacin, en este proceso participaron: ( ) ( ) ( ) ( ) ( ) Usuarios, auditores, consultores y el personal de Sistemas. Usuarios, auditores y consultores. Los usuarios, auditores y el personal de sistemas. Usuarios y Consultores Usuarios y el personal de sistemas
Si el software se desarroll por el personal de la organizacin, la metodologa de desarrollo: Se aplic consistentemente Se aplic parcialmente Ninguno de los anteriores Se instal sin modificaciones significativas Se instal con modificaciones significativas
( ) ( ) ( ) ( ) ( )
Si el software se compr-
Fecha de Instalacin _______________________________ Nombre del Proveedor ________________________________________________ Direccin _________________________________ Pas _____________________ Ciudad __________________ Telfonos ________________________________
110
Si el software se compr, el soporte del vendedor es: Bueno Regular Malo El vendedor Personal de la Empresa Los dos anteriores Alto Nivel Combinacin de alto y Bajo nivel. Bajo nivel.
( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( )
Si el software se compr, el mantenimiento lo realiza:
Lenguaje de programacin utilizado.
Nombre de los lenguajes de programacin Documentacin de la Aplicacin. Del sistema Disponible, adecuada y actualizada Disponible pero inadecuada y obsoleta No existe Disponible, adecuada y actualizada Disponible pero inadecuada y obsoleta No existe Disponible, adecuada y actualizada Disponible pero inadecuada y obsoleta No existe Disponible, adecuada y actualizada
( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( )
De Programas
De Operaciones
Del Usuario
111
( ) ( )
Disponible pero inadecuada y obsoleta No existe
Descripcin del Equipo de Computador utilizado para la aplicacin: Modelo _________ Cantidad______
CPU: Marca ___________ Memoria RAM __________
Unidades de Disco: _____________________________________________ Unidades de Cinta: ______________________________________________ Otras Unidades de E/S ___________________________________________ Otros dispositivos de Hardware Terminales locales Terminales remotas Modems Encripores Lneas de Comunicacin de datos: Pblicas Privadas Software del Sistema utilizado por la Aplicacin Descripcin Sistema Operacional Software de Comunicaciones Software de Seguridad Software de Librerias Software de Baes de Datos Otro (s) Nombre ________________ ________________ ________________ ________________ ________________ _______________ Versin __________________ __________________ __________________ __________________ __________________ ________________ __ Cantidad. __________________ __________________ __________________ __________________ __________________ __________________
Procedimientos de respaldo de la aplicacin Obtenga informacin sobre los procedimientos de backup de datos, software, instalaciones y documentacin de la aplicacin. Tambin obtenga informacin sobre los procedimientos del plan de contingencias. REF A P/T ______________
112
Satisfaccin de los Usuarios

Credibilidad y oportunidad de los resultados del sistema: Confiables y se producen a tiempo Confiables pero no se producen a tiempo Presentan errores significativos.
( ) ( ) ( )
Percepcin general de los controles y del funcionamiento del sistema: Buena Pasable Deficiente
( ) ( ) ( )
Participacin del usuario en el mantenimiento de la aplicacin: Ninguna nicamente solicita cambios Solicita y Aprueba los cambios
( ) ( ) ( )
Esfuerzo de Auditoria Requerido

Importancia de la informacin que produce: Calcula cifras para afectar los estados financieros Produce informacin importante de tipo administrativo Las dos anteriores
( ) ( ) ( )
Edad del sistema: Ms de dos aos Entre dos y cuatro aos Ms de cuatro aos
( ) ( ) ( )
Expectativas de vida de la Aplicacin: En proceso de reemplazo. No se reemplazar antes de dos aos No se tiene previsto reemplazarla
( ) ( ) ( )
113
Susceptibilidad al fraude relacionado con el computador: Alta Media Baja
( ) ( ) ( )
Privacidad y Confidencialidad de la informacin que procesa: Significativa Moderada No significativa
( ) ( ) ( )
Auditorias realizadas a la aplicacin en los ltimos tres aos: Ninguna Una o ms por Auditores Financieros Una o ms por Auditores Financieros y de Sistemas
( ) ( ) ( )
Frecuencia de los cambios (mantenimiento) a los programas de la aplicacin: Al menos una vez por mes Mximo dos veces por semestre Ms de tres veces por ao
( ) ( ) ( )
Participacin de la auditoria en el desarrollo / adquisicin de la aplicacin: Ninguna En todo el proceso de desarrollo / adquisicin En la instalacin
( ) ( ) ( )
Participacin de la Auditoria en el Mantenimiento de la Aplicacin: Ninguna En todo el proceso de mantenimiento En las pruebas de aceptacin
( ) ( ) ( )
Si el software se compr la Empresa: Dispone de todos los programas fuente Dispone de algunos programas fuente No dispone de programas fuente
( ) ( ) ( )
114
Auditabilidad de la Aplicacin: Las pistas son adecuadas Las pistas son deficientes
( ) ( )
EMPRESA ______________________________________________________ APLICACIN ____________________________________________________ Elaborado por _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ Fecha _ _ _ _ _ _ _ _ _
Objetivos, Alcances y Tamao

Importancia de los objetivos de la aplicacin en los negocios de la Organizacin: Valor de Peso del Puntaje Riesgo Criterio ( ) Significativa 5 X ( ) Moderada 4 X ( ) No significativa 3 X _________ Criticidad (Impacto) financiera del negocio. de los errores de procesamiento en la estabilidad Valor de Riesgo 5 4 3 Peso del Criterio X X X Puntaje
( ) Significativa ( ) Moderada ( ) No significativa
_________
Cantidad de dependencias involucradas en el manejo de la aplicacin Valor de Riesgo 3 4 5 Peso del Criterio X X X Puntaje
( ) Entre 1 y 3 ( ) Entre 4 y 10 ( ) Ms de diez
_________
115
Cantidad de interfases con otros sistemas Valor de Riesgo ( ) Ninguna 0 ( ) Entre 1 y 3 3 ( ) Ms de 3 4 Requerimientos legales que satisface Valor de Riesgo ( ) Ninguna 0 ( ) Entre 1 y 3 3 ( ) Ms de 3 4
Peso del Criterio X X X
Puntaje
_________ Puntaje
_________
Cantidad de programas que componen la aplicacin Valor de Riesgo 0 3 4 Peso del Criterio X X X Puntaje
( ) Ninguna ( ) Entre 1 y 3 ( ) Ms de 3
_________ Archivos de computador importantes que maneja la aplicacin Valor de Riesgo 3 4 5 Peso del Criterio X X X Puntaje
( ) Menos de 3 ( ) Entre 3 y 5 ( ) Ms de 5
_________ _________
Puntaje total de objetivos, alcance y tamao
116
Estructura y Tecnologa
Estructura de los Archivos de computador Valor de Peso del Riesgo Criterio 3 X 4 X 5 X Puntaje
( ) No orientados a bases de datos ( ) Orientados a bases de datos ( ) Combinacin de las dos anteriores Modo de procesamiento en el computador
_________
Valor de Riesgo ( ) Batch 3 ( ) Entrada on line y actualizacin en batch 4 ( ) Entrada y actualizacin en tiempo real 5 Periodicidad de las corridas de actualizacin
Puntaje
________
( ) Diaria ( ) Semanal / Quincenal / Mensual ( ) Otra Sitios de Procesamiento
Valor de Riesgo 5 4 3
Peso del Puntaje Criterio X X X _________ Peso del Puntaje Criterio X X X _________
( ) Uno solo (centralizado) ( ) Distribuido en una localizacin (ciudad) ( ) Distribuido en mltiples localizaciones
Si el software se desarroll a la medida de la organizacin Valor de Peso del Riesgo Criterio 5 X 4 3 X X _________
Puntaje
( ) Lo desarroll el personal de la empresa ( ) Lo desarrollaron entre consultores y el Personal de la empresa ( ) Lo desarrollaron consultores
117
Si el software se desarroll a la medida de la organizacin, en este proceso Participaron Valor de Peso del Puntaje Riesgo Criterio ( ) Usuarios, auditores y el grupo de QA 3 X ( ) nicamente los usuarios 4 X ( ) Ninguno de los anteriores 5 X _________ Si el software se desarroll por el personal de la organizacin, la metodologa de desarrollo Valor de Peso del Puntaje Riesgo Criterio ( ) Se aplic consistentemente 3 X ( ) Se aplic parcialmente 4 X ( ) Ninguno de los anteriores 5 X _________ Si el software se compr Valor de Riesgo 3 4 5 Peso del Puntaje Criterio X X X _________
( ) Se compr desarrollado a la medida ( ) Se instal sin modificaciones significativas ( ) Se instal con modificaciones significativas
Si el software se compr, el soporte del vendedor es: Valor de Riesgo 3 4 5 Peso del Criterio X X X Puntaje
( ) Bueno ( ) Regular ( ) Malo
_________ Si el software se compr, el mantenimiento lo realiza: Valor de Riesgo 3 5 4 Peso del Puntaje Criterio X X X _________
( ) El vendedor ( ) Personal de la Empresa ( ) Los dos anteriores
118
Lenguaje de programacin utilizado
( ) Alto nivel ( ) Combinacin de alto y bajo nivel ( ) Bajo nivel
Puntaje
_________
Documentacin de la Aplicacin
Del Sistema: Valor de Riesgo 3 4 5 Peso del Criterio X X X Puntaje
( ) Disponible, adecuada y actualizada ( ) Disponible pero inadecuada y obsoleta ( ) No existe De programas:
_________ Valor de Riesgo 3 4 5 Peso del Criterio X X X Puntaje
( ) Disponible, adecuada y actualizada ( ) Disponible pero inadecuada y obsoleta ( ) No existe De operaciones:
_________ Valor de Riesgo 3 4 5 Peso del Criterio X X X Puntaje
( ) Disponible, adecuada y actualizada ( ) Disponible pero inadecuada y obsoleta ( ) No existe Del usuario:
________ Valor de Riesgo 3 4 5 Peso del Criterio X X X Puntaje
( ) Disponible, adecuada y actualizada ( ) Disponible pero inadecuada y obsoleta ( ) No existe Puntaje Total de Estructura y Tecnologa
________ ________
119
Satisfaccin de los Usuarios

Credibilidad y oportunidad de los resultados del sistema Peso del Criterio X X X Puntaje
Valor de Riesgo ( ) Confiables y se producen a tiempo 3 ( ) Confiables pero no se producen a tiempo 4 ( ) Presenta errores significativos 5
_________
Percepcin general de los controles y del funcionamiento del sistema Valor de Riesgo 3 4 5 Peso del Puntaje Criterio X X X _________
( ) Buena ( ) Pasable ( ) Deficiente
Participacin del usuario en el mantenimiento de la aplicacin Valor de Riesgo 3 4 5 Peso del Puntaje Criterio X X X _____________ _ _____________
( ) Ninguna ( ) nicamente solicita cambios ( ) Solicita y aprueba los cambios Puntaje para Satisfaccin del Usuario
Esfuerzo de Auditoria Requerido

Importancia de la informacin que produce Valor de Riesgo 3 4 5 Peso del Criterio X X X Puntaje
( ) Calcula cifras para afectar los estados Financieros ( ) Produce informacin importante de tipo Administrativo ( ) Las dos anteriores
_________
120
Edad del Sistema
( ) Ms de dos aos ( ) Entre dos y cuatro aos ( ) Ms de cuatro aos Expectativas de vida de la aplicacin
Peso del Puntaje Criterio X X X _________ Peso del Criterio X X X Puntaje
( ) En proceso de reemplazo ( ) No se reemplazar antes de dos aos ( ) No se tiene previsto reemplazarla
Susceptibilidad al fraude relacionado con el computador Valor de Peso del Puntaje Riesgo Criterio ( ) Alta 5 X ( ) Media 4 X ( ) Baja 3 X _________ Privacidad y Confidencialidad de la informacin que procesa Valor de Riesgo 5 4 3 Peso del Puntaje Criterio X X X _____________
( ) Significativa ( ) Moderada ( ) No significativa
Auditorias realizadas a la aplicacin en los ltimos tres aos Valor de Peso del Riesgo Criterio 5 X 4 X 3 X Puntaje
( ) Ninguna ( ) Una o ms por auditores financieros ( ) Una o ms por auditores financieros y de Sistemas
_____________
121
Frecuencia de los cambios (mantenimiento) a los programas de la aplicacin Valor de Riesgo 5 4 3 Peso del Puntaje Criterio X X X _____________
( ) Al menos una vez por mes ( ) Mximo dos veces por semestre ( ) Ms de tres veces por ao
Participacin de la Auditoria en el desarrollo / adquisicin de la Aplicacin
Valor de Peso del Puntaje Riesgo Criterio ( ) Ninguna 5 X ( ) En todo el proceso de desarrollo /adquisicin 4 X ( ) En la instalacin 3 X _________ Participacin de la Auditoria en el Mantenimiento de la aplicacin Valor de Riesgo 5 3 4 Peso del Criterio X X X Puntaje
( ) Ninguna ( ) En todo el proceso de mantenimiento ( ) En las pruebas de aceptacin Si el software se compr en la Empresa
__________ Valor de Riesgo 3 4 5 Peso del Criterio X X X Puntaje
( ) Dispone de todos los programas fuente ( ) Dispone de algunos programas fuente ( ) No dispone de programas fuente Puntaje para el Esfuerzo de Auditoria Requerido Puntaje Total de la Aplicacin (A + B + C + D)
________ _________ ___________
122
IDENTIFICACIN DE ACTIVIDADES SUJETAS A CONTROL (ASC) APLICACIN____________________________________________ TRANSACCIN__________________________________________ ACTIVIDADES SUJETAS A CONTROL 1. 2. 3. 4. 5. IDENTIFICACIN DE CONTROLES EXISTENTES APLICACIN _____________________________________________ TRANSACCIN ___________________________________________ CONTROLES EXISTENTES 1. 2. 3. 4. 5.
123
IDENTIFICACIN DE DEBILIDADES DE CONTROL

APLICACIN ____________________________________________ TRANSACCION __________________________________________ DEBILIDADES EXISTENTES. 1. 2. 3. 4. 5.
IDENTIFICACION DE SITUACIONES DE RIESGO

APLICACIN ____________________________________________ TRANSACCION __________________________________________ SITUACIONES DE RIESGO. 1. 2. 3. 4. 5.
124
Ejemplo Matriz de Evaluacin de Riesgos y Controles

PROBABILIDAD DE OCURRENCIA CAUSAS O AMENAZAS
RIESGOS EXISTENTES
CONTROLES EFECTIVIDAD RECOMENDACIN EXISTENTES
1. 2. 3. 4. 5. 6.
A M B
0 1 2 3
0 = INEXISTENTE 1 = BAJO 2 = MEDIO 3 = ALTO
FORMATO PARA DISEAR PRUEBAS DE AUDITORIA EN INFORMTICA

APLICACIN_________________________________________ PRUEBA No. _______ 1. OBJETIVOS DE LA PRUEBA____________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________ 2. TECNICA (S) A EMPLEAR _____________________________________ ___________________________________________________________________ _______________________________________________________ REF.
125
3. TIPO DE PRUEBA DE CUMPLIMIENTO ____SUSTANTIVA____DE DOBLE FINALIDAD____ 4. RECURSOS NECESARIOS PARA APLICARLA 4.1 INFORMACIN ___________________________________________________ ___________________________________________________________________ 4.2 SOFTWARE ______________________________________________________ ___________________________________________________________________ 4.3 HADWARE_______________________________________________________ ___________________________________________________________________ 4.4. PERSONAL______________________________________________________ ___________________________________________________________________ 5. PROCEDIMIENTO A EMPLEAR_________________________________ ___________________________________________________________________ ___________________________________________________________________ __________________________________________________ 8. ELABORADO POR ____________________________________FECHA________ 10. REVISADA POR _____________________________________FECHA________ 11. REFERENCIA A P/T __________________________________
AUDITORIA DE CONTROLES GENERALES A LAS APLICACIONES COMERCIALES

PRUEBA No.
Ref. PT
1. HALLAZGO ___________________________________________________________________ ___________________________________________________________________ 2. CAUSAS ___________________________________________________________________ ___________________________________________________________________
126
3. SITUACIN DE RIESGO QUE GENERA ___________________________________________________________________
4. ESTNDAR DE COMPARACIN ___________________________________________________________________ ___________________________________________________________________ 5. CONCLUSIONES DE AUDITORIA ___________________________________________________________________ ___________________________________________________________________ 6. RECOMENDACIONES DE AUDITORIA ___________________________________________________________________ ___________________________________________________________________ DISCUTIDO CON _____________ FECHA__________
NECESIDADES DE INFORMACIN
Unidad orgnica _____________________________________________________ Localidad ___________________________________________________________ Entrevistado ________________________________________________________ Entrevistador _______________________________________________________ Descripcin de la Informacin ___________________________________________________________________ Propsito (gerencial, operacin, externa) ___________________________________________________________________
127
Funcin soportada ___________________________________________________________________ Frecuencias A solicitud.................... Diaria......................... Semanal........................ Mensual........................ Trimestral..................... Semestral...................... Anual.......................... Otros.......................... Beneficio potencial de tener esta informacin:
Como puede ser usada esta informacin (soporte de decisiones, administracin de recursos, control operacional). Ahorro de costos potenciales (operacionales, financieros, incremento en produccin, incremento en rentabilidad. Incluir valor aprox.) Cuales de estos aspectos pueden ser apoyados o asistidos por esta informacin. Factores crticos de xito ___________________________________________________________________ Funcin ___________________________________________________________________ Problemas / limitaciones ___________________________________________________________________
128

Que entiende por naturaleza de los papeles de trabajo? Enunciar y explicar brevemente los archivos que se deben manejar dentro de los papeles de trabajo. Que es la plantacin de la auditoria? Que es investigacin preliminar? Que es la evaluacin de la seguridad de sistemas? Que es el diseo de las pruebas de la auditoria? Que es un informe final de la auditoria? Que debe contener la gua para elaborar archivos permanentes? Que considera usted que sea un tiempo ocioso?
Con los papeles de trabajo que encuentran en esta unidad preparar un informe de auditoria diligencindolos en su totalidad e interpretndolos, segn sus conocimientos adquiridos en este mdulo y en los anteriores referentes a esta rea de formacin.

Planeacion de la Auditoria
La planeacin de la auditoria de sistemas tiene una serie de parmetros; investigativos, evaluativos, de diseo, de ejecucion, analisis, determinacion y elaboracion de un informe; con estos dichos parmetros se desarrollan una serie de reas tales como: rea de planeacin: este determina que existe un plan de desarrollo estrategico y soporte correspondiente, la planeacion propia para el desarrollo de sistemas. rea de organizacin: este determina que existe una estructura organizacional del departamento de sistemas, el organismo o persona ejecuta un control orgaizacional al departamento.
129
rea de Backup y Recuperacion: asegura que existan procedimientos adecuados para proteger el contenido de las libreras contra daos accidentales, prdidas o mal manejo. Asegura que todos los archivos y medios magnticos sean inventariados y adecuadamente controlados. rea de seguridad: en el rea de seguridad existen una serie de parametros que se deben de tener en cuenta para no sufrir ningun retraso con los equipos tales como: exposicin al fuego, exposicin al dao por causa de agua, sistema de aire acondicionado, temperatura, filtracion, humedad, electricidad, exposicion a desastres naturales , controles acceso, asuntos generales. rea de produccin: en esta area se trabajan dos parametros que son indispensables para una buena produccion estos parametros son: Operacin y procesamiento. rea de desarrollo del sistema: asegura una aplicacin sea convertida al comportamiento solamente si se va a producir mayores beneficios que cualquier otra alternativa. El desarrollo de sistema y porgrama efectivos. rea de eficiencia: determina el grado de satisfacin de los usuarios del sistema. Si los controles existentes en las diferentes reas son suficientes. Con base en la informacin presentada anteriormente, extraer una conclusin general.
Autoevaluacin
Clasificar los diferentes tipos de papeles de trabajo existente. Indicar la aplicabilidad de los papeles de trabajo. Legalmente y segn las normas de auditoria generalmente aceptadas, para que sirven los papeles de trabajo? Cuanto tiempo se deben conservar los papeles de trabajo? De quien son propiedad los papeles de trabajo?
Elaborar un flujograma que identifique claramente los diferentes procesos en la elaboracin de una auditoria de sistemas.
130
Identificar por medio de un mapa conceptual los principales papeles de trabajo utilizados en una auditoria de sistemas. Analizar e interpretar informes de auditorias de sistemas, y considerar que valor agregado le puede aportar en su proceso de aprendizaje como profesional y en el caso de desempearse como auditor apoyado por computador.
SERRANO, C. L. Fabra y E. Lobera. Planificacin de Sistemas de Informacin en la Empresa: el Intercambio Electrnico de Datos (EDI) "SCIRE: Representacin y Organizacin del Conocimiento, Vol. 2. 1997. TEODORO, J. "Intercambio Electrnico de Datos Pblicas, Transportes y Medio Ambiente, 1994. (EDI)", Ministerio de Obras
The Institute of Internal Auditors Research Foundation's. SAC Systems Auditability and Control, EE.UU. 1994. THORIN, M. La Auditoria Informtica, Mtodos, Normas y Reglas. Masn, Pars. 1989.
Auditora de Sistemas
131
BIBLIOGRAFIA GENERAL
AICPA. The American Institute of Certified Public Accountants. SAS 78 Consideration of the Internal Control Structure in a Financial Statement Audit., EE.UU. 1995. Audisis Ltda.. Metodologa de Auditoria de los centros de cmputo, Vol. 1, Santa Fe de Bogot. 1992. COLBERT, J.; Bowen, P. A compararison of internal control: (COBIT, SAC, COSO and SAS 78), 1998. Pgina WEB (www.isaca.org). COOPERS & LYBRAND. Control Interno, Auditoria y Seguridad Informtica. Vol. 5, Expansin, Madrid. 1996. CORNELLA, A. Informacin digital para la empresa. Marcombo, Barcelona. 1996. COSO. The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework, EE.UU. 1992. DAVIS, J.; Cushing, B. Accounting Information System. EE.UU. 1980. E.D.P. Auditors Foundation. Estndares de auditoria de sistemas, L.A., EE.UU. 1990. El consejo superior de informtica del ministerio de administraciones pblicas de Espaa. MARGERIT, Metodologa de anlisis y gestin de riesgos de los sistemas de informacin, MAP, Espaa. 1997. FERNNDEZ, F. Procedimientos de auditoria en los sistemas de EDI, Revista Tcnica. Instituto de Auditores Censores Jurados de Cuentas de Espaa. 1998. FITZGERALD, J. Framework system imformation, Limusa, Mxico. 1990. FORTUNA, J.M.; Busto, B. y SASTRE, J.M. Los Sistemas Expertos: fundamentos y aplicaciones a la Contabilidad, Partida Doble n17. 1991.
132
Galn, L. 1996.
Informtica y Auditoria para las Ciencias Empresariales, Colombia.
IFAC. Federacin Internacional de Contables, Gua Internacional de Formacin No. 11. (Tecnologa de la informacin en el curriculum de Contabilidad). 1995 IFAC. International Federation of Accountants Handbook. Normas internacionales de auditoria. 1997. www.ifac.org. IFAC. La Federacin Internacional de Contables, Gua Internacional de Formacin No 9 de julio de 1991, revisada en octubre de 1996 (Valoracin de la competencia profesional y requerimientos de experiencia de contables). ISACA. The Information Systems Audit and Control Foundation: COBIT Control Objectives for Information and related Technology., EE.UU. 1998. ISACA. The Information Systems Audit and Control Foundation: General standars for information systems Auditing. EE.UU. 1987. LANEZ, J. A.; Callao, S. Espaa. 1998. LEITCH, R.A.; Davis, K.R. EE.UU. 1995. Anlisis Internacional de la Informacin Contable, Accounting and Information Systems, Prantice Hall.
LPEZ, A. El cuadro de mando y los sistemas de informacin para la gestin empresarial, aeca. Madrid. 1998. MOELLER, R. Computer Audit, Control and Security, Wyley & Sons Inc. New York. 1989. PAGE, J.; HOOPER, P. Accounting and Information Systems, Prantice Hall. EE.UU. 1996. PIATTINI, M.; del Peso, E. Espaa. 1998. SNCHEZ TOMS, A. 514. 1991. Auditoria Informtica un enfoque practico, RA-MA,
Sistemas Expertos en Contabilidad, Tcnica Contable, n
SERRANO, C. L. FABRA y E. LOBERA. Planificacin de Sistemas de Informacin en la Empresa: el Intercambio Electrnico de Datos (EDI) "SCIRE:
133
Representacin y Organizacin del Conocimiento, 1997, Vol. 2. 1997. TEODORO, J. "Intercambio electrnico de datos Pblicas, Transportes y Medio Ambiente, 1994. (EDI)", Ministerio de Obras
The Institute of Internal Auditors Research Foundation's. SAC Systems Auditability and Control, EE.UU. 1994. THORIN, M. La Auditoria Informtica mtodos, normas y reglas. Masson, Pars. 1989.

Auditoria de Sistemas

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Auditoria de Sistemas

Hochgeladen von

Copyright:

Verfügbare Formate

Pamplona

Programas de Educacin a Distancia

Formando Colombianos de Bien

Mara Eugenia Velasco Espitia

Decana Facultad de Estudios a Distancia

Luis Armando Portilla Granados

Director Centro de Educacin a Distancia

UNIVERSIDAD DE PAMPLONA Centro de Educacin a Distancia

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

UNIDAD 1: Auditoria de Sistemas y el Auditor de Sistemas de Informacin Contable

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Ncleos Temticos y Problemticos