You are on page 1of 149

Auditoria de Sistemas

_________________________________________________________________________

Pamplona
Universidad de

Facultad de Estudios a Distancia

Programas de Educacin a Distancia

Auditoria de
Sistemas

Para una Sociedad Inteligente e


Interconectada
Alvaro Gonzlez Joves
Rector
Mara Eugenia Velasco Espitia
Decana Facultad de Estudios a Distancia

_________________________________________________________________________
UNIVERSIDAD DE PAMPLONA-Facultad de Estudios a Distancia

Auditoria de Sistemas
_________________________________________________________________________

Tabla de Contenido
Presentacin
Introduccin
Horizontes
UNIDAD 1: Auditoria de Sistemas y el Auditor de Sistemas de
Informacin Contable
Descripcin Temtica
Horizontes
Ncleos Temticos y Problemticos
Proceso de Informacin.
1.1 SITUACIN ACTUAL DE LA AUDITORIA DE SISTEMAS PARA LA
INFORMACIN CONTABLE
1.1.1 Definiciones
1.2 EL IMPACTO DE LA TECNOLOGA DE INFORMACION EN LA
AUDITORIA FINANCIERA
1.2.1 Tendencias Actuales de la Tecnologa de la Informacin
y sus Implicaciones en la Auditoria Financiera
1.2.2 Efecto de la Globalizacin de los Mercados
1.2.3 Respuesta a las Presiones Competitivas
1.2.4 Cambio en el Funcionamiento de las Empresas
1.2.5 Reduccin de Costos
1.2.6 Disponibilidad de Acceso a la Informacin
1.2.7 Medio Ambiente Regulador
1.2.8 Integracin de los Sistemas de Informacin Contables
1.2.9 Avances Tecnolgicos
1.3 CAMPO DE ACCIN DE LA AUDITORIA DE SISTEMAS DE
INFORMACIN
1.4 UBICACIN TIPICA DE LA AUDITORIA DE SISTEMAS
1.5 TECNICAS DE AUDITORIA DE SISTEMAS DE INFORMACIN
1.5.1 Tcnicas Manuales
1.5.2 Tcnicas Automatizadas
1.5.3 Tcnicas para Verificar Transacciones
1.5.4 Tcnicas para Analizar Programas
1.5.5 Auditoria Alrededor del Computador vs. a Travs del
Computador.
1.6 OBJETIVOS DEL CONTROL EN LA AUDITORIA DE SISTEMAS DE
INFORMACION CONTABLE
1.6.1 Entorno de Auditoria y Control
1.6.2 Objetivos de Autorizacin
_________________________________________________________________________
UNIVERSIDAD DE PAMPLONA-Facultad de Estudios a Distancia

Auditoria de Sistemas
_________________________________________________________________________

1.6.3 Objetivos del Procesamiento y Clasificacin de


Transacciones Financieras
1.6.4 Objetivos de Salvaguarda Fsica
1.6.5 Objetivos de Verificacin y Evaluacin
1.7 BASES PARA LA AUDITORIA DE SISTEMAS DE INFORMACION.
1.8 REPERCUCIN DEL ENTORNO INTERNACIONAL EN LAS
AUDITORIAS DE SISTEMAS DE INFORMACION CONTABLES
1.9 COMPETENCIAS PRINCIPALES DEL AUDITOR DE SISTEMAS DE
INFORMACIN
1.9.1 Intervencin en el Diseo de Sistemas
1.9.2 Auditoria de Aplicaciones
1.9.3 Revisin de la Integridad de la Informacin
1.9.4 Revisin del Mantenimiento a Sistemas y Programas
1.9.5 Revisin de Procedimientos Generales de Operacin
1.9.6 Revisin del Sistema Operacional
1.9.7 Revisin Administrativa
1.9.8 Administracin
de
Sistemas
de
Informacin
Especializados para Auditores de Sistemas
1.10 FORMACIN DEL AUDITOR DE SISTEMAS DE INFORMACIN
CONTABLE
1.11 RESPONSABILIDADES DEL AUDITOR
Proceso de Comprensin y Anlisis
Solucin de Problemas
Sntesis Creativa y Argumentativa
Autoevaluacin
Repaso Significativo
Bibliografa Sugerida
UNIDAD 2: Control y Riesgo del Sistema de Informacin Contable
Descripcin Temtica
Horizontes
Ncleos Temticos y Problemticos
Proceso de Informacin
2.1. DEFINICIN
2.2. MARCO DE REFERENCIA PARA EL CONTROL
2.2.1 Estructura de Control Organizacional
2.2.2 Gerencia versus Control
2.3 CONTROLES
SOBRE
DESARROLLO,
ADQUISICIN
Y
MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN
CONTABLES
2.3.1 Investigacin Preliminar y Anlisis de Informacin
2.3.2 Diseo de Sistemas de Informacin
2.3.3 Diseo de Controles y Seguridades
2.3.4 Diseo de Pistas de Auditoria
_________________________________________________________________________
UNIVERSIDAD DE PAMPLONA-Facultad de Estudios a Distancia

Auditoria de Sistemas
_________________________________________________________________________

2.3.5 Desarrollo e Implantacin del Sistema


2.3.6 Operacin y Mantenimiento del Sistema
2.3.7 Post-implantacin de un Nuevo Sistema
Informacin
2.4 REVISIN DE TCNICAS DE FRAUDE INFORMTICO
2.4.1 Manipulacin de Transacciones
2.4.2 Tcnica de Salami
2.4.3 Tcnica del Caballo de Troya
2.4.4 Bomba Lgica
2.4.5 Juego de la Pizza
2.4.6 Ingeniera Social
2.4.7 Trampas- Puerta
2.4.8 Superzaping
2.4.9 Evasiva astuta
2.4.10 Recoleccin de Basura
2.4.11 Ir a Cuestas para Obtener Acceso no Autorizado
2.4.12 Puertas Elevadizas
2.4.13 Tcnica de Taladro
2.4.14 Intercepcin de Lneas de Comunicacin
2.4.15 Los Virus
Proceso de Comprensin y Anlisis
Solucin de Problemas
Sntesis Creativa y Argumentativa
Autoevaluacin
Repaso Significativo
Bibliografa Sugerida

de

UNIDAD 3:
Identificacin y Evaluacin de Riesgos Potenciales y
Definicin del Alcance de la Auditoria
Descripcin Temtica
Horizontes
Ncleos Temticos y Problemticos
Proceso de Informacin
3.1 RIESGOS
3.1.1 Fraude / Robo
3.1.2 Prdida de Negocios y Credibilidad Pblica
3.1.3 Sanciones Legales
3.1.4 Decisiones Errneas
3.1.5 Dao y Destruccin de Activos
3.1.6 Desventaja Competitiva
3.2 CAUSAS DE RIESGOS
3.3 MATRIZ DE RIESGOS VS. PROCESOS CON LA UBICACIN DE
LAS CAUSAS DE RIESGOS
3.4 MATRIZ DE RIESGOS VS. DEPENDENCIAS (REAS) CON LA
_________________________________________________________________________
UNIVERSIDAD DE PAMPLONA-Facultad de Estudios a Distancia

Auditoria de Sistemas
_________________________________________________________________________

UBICACIN DE LAS CAUSAS DE RIESGOS


MATRIZ DE PROCESOS VS.
DEPENDENCIAS
UBICACIN DE LAS CAUSAS DE RIESGOS
Proceso de Comprensin y Anlisis
Solucin de Problemas
Sntesis Creativa y Argumentativa
Autoevaluacin
Repaso Significativo
Bibliografa Sugerida
3.5

CON

LA

UNIDAD 4: Evaluacin del Sistema de Control Interno Informtico


Descripcin Temtica
Horizontes
Ncleos Temticos y Problemticos
Proceso de Informacin
4.1 REAS DE CONTROL (PROCESOS)
4.1.1 Origen y Preparacion de Datos
4.1.2 Entrada de Datos
4.1.3 Procesamiento y Actualizacion de Informacin
4.1.4 Salida de Datos
4.1.5 Control de Acceso
4.1.6 Cambio al Software
4.1.7 Respaldos y Planes de Contingencia
4.1.8 Terminales y Comunicacin de Datos
4.1.9 Documentacin
4.1.10 Utilizacion y Control de Resultados y Satisfaccion del
Usuario
4.1.11 Seguridad Fisica y Controles en las Instalaciones.
4.2 EJEMPLOS DE CONTROLES
Proceso de Comprensin y Anlisis
Solucin de Problemas
Sntesis Creativa y Argumentativa
Autoevaluacin
Repaso Significativo
Bibliografa Sugerida
UNIDAD 5: Papeles de Trabajo del Centro de Computo Aplicacin
(Prctica)
Descripcin Temtica
Horizontes
Ncleos Temticos y Problemticos
Proceso de Informacin
5.1 PLANEACIN DE LA AUDITORIA
5.2 GUIA PARA ELABORAR EL ARCHIVO PERMANENTE
_________________________________________________________________________
UNIVERSIDAD DE PAMPLONA-Facultad de Estudios a Distancia

Auditoria de Sistemas
_________________________________________________________________________

5.2.1 Organizacin del Departamento de Sistemas.


5.2.2 Hardware y Software de Computador
5.2.3 Costos Anuales del Departamento de Sistemas
5.2.4 Otros Datos e Inters
5.3 FORMATO PARA DETERMINAR LA IMPORTANCIA DE LAS
APLICACIONES DE COMPUTADOR
5.4 FORMATO PARA DETERMINAR LA IMPORTANCIA DEL CENTRO
DE PROCESAMIENTO DE DATOS
5.5 CUESTIONARIOS DE CONTROL
5.5.1 rea de Planeacin
5.5.2 rea de Organizacin
5.5.3 rea de Backup y Recuperacin
5.5.4 rea de Seguridad
5.5.5 rea de Produccin
5.5.6 Plan de Contingencias
5.5.7 rea de Desarrollo de Sistemas
5.5.8 rea de Eficiencia
5.6 AUDITORIA DE CONTROLES GENERALES AL CENTRO DE
PROCESAMIENTO DE DATOS
5.7 PROBABILIDAD DE LAS AMENAZAS
5.8 EJEMPLO MATRIZ DE EVALUACIN DE RIESGOS Y CONTROLES
5.9 AUDITORIA DE LAS APLICACIONES EN FUNCIONAMIENTO
5.10 GUA PARA ELABORAR EL ARCHIVO PERMANENTE DE LA
APLICACIN
5.10.1 Objetivos, Alcance y Tamao de la Aplicacin
Proceso de Comprensin y Anlisis
Solucin de Problemas
Sntesis Creativa y Argumentativa
Autoevaluacin
Repaso Significativo
Bibliografa Sugerida
BIBLIOGRAFA GENERAL

_________________________________________________________________________
UNIVERSIDAD DE PAMPLONA-Facultad de Estudios a Distancia

Auditoria de Sistemas

Presentacin
La educacin superior se ha convertido hoy da en prioridad para el
gobierno Nacional y para las universidades pblicas, brindando
oportunidades de superacin y desarrollo personal y social, sin que la
poblacin tenga que abandonar su regin para merecer de este servicio
educativo; prueba de ello es el espritu de las actuales polticas
educativas que se refleja en el proyecto de decreto Estndares de
Calidad en Programas Acadmicos de Educacin Superior a Distancia de
la Presidencia de la Repblica, el cual define: Que la Educacin
Superior a Distancia es aquella que se caracteriza por disear ambientes
de aprendizaje en los cuales se hace uso de mediaciones pedaggicas
que permiten crear una ruptura espacio temporal en las relaciones
inmediatas entre la institucin de Educacin Superior y el estudiante, el
profesor y el estudiante, y los estudiantes entre s.
La Educacin Superior a Distancia ofrece esta cobertura y oportunidad
educativa ya que su modelo est pensado para satisfacer las
necesidades de toda nuestra poblacin, en especial de los sectores
menos favorecidos y para quienes las oportunidades se ven disminuidas
por su situacin econmica y social, con actividades flexibles acordes a
las posibilidades de los estudiantes.
La Universidad de Pamplona gestora de la educacin y promotora de
llevar servicios con calidad a las diferentes regiones, y el Centro de
Educacin Virtual y a Distancia de la Universidad de Pamplona,
presentan los siguientes materiales de apoyo con los contenidos
esperados para cada programa y les saluda como parte integral de
nuestra comunidad universitaria e invita a su participacin activa para
trabajar en equipo en pro del aseguramiento de la calidad de la
educacin superior y el fortalecimiento permanente de nuestra
Universidad, para contribuir colectivamente a la construccin del pas
que queremos; apuntando siempre hacia el cumplimiento de nuestra
visin y misin como reza en el nuevo Estatuto Orgnico:
Misin: Formar profesionales integrales que sean agentes generadores
de cambios, promotores de la paz, la dignidad humana y el desarrollo
nacional.

UNIVERSIDAD DE PAMPLONA Facultad de Estudios a Distancia

Auditoria de Sistemas

Visin: La Universidad de Pamplona al finalizar la primera dcada del


siglo XXI, deber ser el primer centro de Educacin Superior del Oriente
Colombiano.

UNIVERSIDAD DE PAMPLONA Facultad de Estudios a Distancia

Auditoria de Sistemas

Introduccin
Aunque la nueva generacin de sistemas de informacin contables,
proporciona bastantes beneficios a las organizaciones, la complejidad y
sofisticacin de estos sistemas proporciona nuevos retos a los auditores.
Quizs, el mayor reto para este colectivo est en mantenerse
actualizado y comprender los ltimos avances tecnolgicos en que se
apoyan las aplicaciones (sistemas de administracin de bases de datos,
redes, provisiones de seguridad, hardware y sistemas operativos).
Para auditar eficientemente los sistemas de informacin contables de las
empresas, sin importar el tamao ya que en la PYME es el sector donde
ms esta creciendo el uso de tecnologa informtica, los auditores tienen
que entender los riesgos inherentes de su aplicacin.
Como el avance en la tecnologa informtica y los sistemas de
informacin de los negocios es imparable, los auditores tienen que
mantener siempre un nivel creciente en el conocimiento de estos
sistemas. Para ayudar a las organizaciones a garantizar el control y la
auditabilidad de los sistemas de aplicacin, los auditores deben estar
involucrados en su diseo, desarrollo e implementacin. Los sistemas
que se desarrollen de una manera estructurada y organizada con
controles construidos en su diseo, son los sistemas que ms eficaz y
eficientemente apoyan los objetivos de la organizacin.
El objetivo es analizar el impacto tecnolgico en la auditoria de sistemas
de informacin contable, la formacin, y habilidades que debe poseer el
profesional de la contabilidad y la auditoria para desempear su papel
en la empresa actual, una propuesta metodolgica ordenada eficaz y
fcil de aplicar para auditar la seguridad de los sistemas de informacin
contables y su entorno en una PYME, analizar y comparar algunos de los
principales estndares y regulaciones en materia de auditoria y control
de sistemas de informacin de aceptacin a nivel internacional.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

Horizontes

Mantener actualizado y comprender los ltimos avances tecnolgicos


en que se apoyan las aplicaciones; sistemas de administracin de
bases de datos, redes, provisiones de seguridad, hardware y sistemas
operativos.

Auditar eficientemente los sistemas de informacin contables de las


empresas, sin importar el tamao, ya que en la PYME es el sector
donde ms esta creciendo el uso de tecnologa informtica.

Ayudar a las organizaciones a garantizar el control y la auditabilidad


de los sistemas de aplicacin.

Estructurar y organizar los controles construidos en su diseo, siendo


los sistemas ms eficaces y eficientes los que apoyan los objetivos de
la organizacin.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Costos Bsicos

UNIDAD 1: Auditoria de Sistemas y


el Auditor de Sistemas de
Informacin Contable
Descripcin Temtica
En un principio, el inters del auditor en la aplicacin comercial de los
sistemas fue mnimo, ya que el origen del computador como
herramienta fue cientfica y el nfasis del contador era comercial; sin
embargo, se aplicaba en los terrenos contable y financiero donde era
indispensable para preparar cuadros y tablas.
A partir de 1960, la sistematizacin electrnica permeabiliz las
funciones gerenciales y administrativas especialmente la contable lo que
hizo que el auditor se interesara por este mtodo de proceso.

Horizontes

Conocer el principio de inters en la aplicacin comercial del auditor.

Permeabilizar las funciones gerenciales y administrativas.

Identificar el papel desempeado por los contadores y auditores en


todas las sociedades.

Responder a las tendencias de globalizacin e internacionalizacin


con mayores contribuciones y mejores estndares.

Competencias Principales del Auditor de Sistemas de Informacin.

Formacin del Auditor de Sistemas de Informacin Contable.

Responsabilidades del Auditor.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

Ncleos Temticos y Problemticos

Situacin Actual de la Auditoria de Sistemas para la Informacin


Contable.

El impacto de la tecnologa de informacin en la auditoria financiera.

Campo de accin de la auditoria de sistemas de informacin.

Ubicacin tpica de la auditoria de sistemas.

Tcnicas de auditoria de sistemas de informacin.

Objetivos del control en la auditoria sistemas de informacin


contable.

Bases para la auditoria de sistemas de informacin

Repercusin del entorno internacional en las auditorias de sistemas


de informacin contables.

Competencias principales del auditor de sistemas de informacin.

Formacin del auditor de sistemas de informacin contable.

Responsabilidades del auditor.

Proceso de Informacin
1.1

SITUACIN ACTUAL DE LA AUDITORIA DE SISTEMAS PARA


LA INFORMACIN CONTABLE

1.1.1 Definiciones
Auditoria de Sistemas de Informacin
Es la revisin y evaluacin de los controles, sistemas y procedimientos
de informtica; de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, de la organizacin que participa en el procesamiento de la
informacin, a fin de que por medio del sealamiento de cursos
alternativos se logre una utilizacin ms eficiente y segura de la
informacin, de los equipos, del recurso humano, se mejoren los
procesos y se logre de manera integrada una organizacin gil,
dinmica, controlada y segura.
Este tipo de auditoria comprende la evaluacin de todos los aspectos de
los sistemas automatizados de procesamiento de informacin,
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

incluyendo los procesos no automatizados relacionados y las interfaces


entre ellos
Auditoria de Sistemas
Es la evaluacin del ambiente de procesamiento electrnico de datos
para presentar alternativas de soluciones a la empresa moderna y
promueve la automatizacin en las diferentes modalidades de las
auditorias
Auditoria Informtica
La auditoria es la actividad encaminada a realizar el examen metdico
de una situacin empresarial relativa a un producto, proceso u
organizacin, en materia de calidad, realizado en cooperacin con los
usuarios y encaminado a verificar la concordancia de la realidad con lo
preestablecido y la adecuacin al objeto buscado. Teniendo como el
proceso de recoger, agrupar y evaluar evidencias para determinar si un
sistema informatizado salvaguarda los activos, mantiene la integridad de
los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza
eficazmente los recursos.
Auditoria de Calidad
Es realizar todas las auditorias descritas hasta el momento con un
convencimiento total de que las actividades profesionales del auditor
son de calidad siempre.
Auditoria de Sistemas con Enfoque Operacional
Es la evaluacin del control interno informtico para optimizar el recurso
organizacional.
Auditoria de Procesos
Revisa y evala la eficacia y eficiencia del sistema de control de un
proceso y asesora a la gerencia de manera independiente en el
establecimiento y mejoramiento del sistema de control para que el
proceso alcance los resultados esperados.
La gerencia recibe
informacin sobre dnde hay debilidades de control, sus causas y el
efecto en los costos del proceso o en el producto.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

La tendencia actual es el control, entonces empezaremos a hablar de


control informtico o de sistemas, control financiero, control operacional,
control interno, control externo, control ambiental, control de gestin,
control fiscal, control global, control internacional y control de calidad.
Nuestra profesin debe dar un vuelco total para prestar asesoras
dinmicas que faciliten a la administracin la implementacin del control
y no la bsqueda del culpable del fraude, de la ineficiencia o el listado
de errores y fallas.
1.2 EL IMPACTO DE LA TECNOLOGA DE INFORMACIN EN LA
AUDITORIA FINANCIERA
Los avances y el uso de modernas tecnologas para el procesamiento de
la informacin y las telecomunicaciones se ven reflejados en las mejoras
que realizan la mayora de las organizaciones como la automatizacin de
procesos, la eliminacin de espacios fsicos, operaciones virtuales e
integracin de los diferentes sistemas de informacin de las empresas.
Este impacto ha trado como consecuencia el aumento de los riesgos por
la dependencia de las empresas de sus sistemas, incremento drsticos
en procesamiento electrnico de datos, migracin de controles al
ambiente p.e.d., menos visibilidad de las pistas de auditoria,
segregacin de funciones hombre maquina y nuevas funciones y
recursos a auditar.
Tal como lo indica F, Fernndez (1998, Pg. 87-88), en entornos como el
EDI, las implicaciones de las tecnologas de estos sistemas que
disminuyen costos, agilizan las operaciones y permiten redefinir los
procesos de negocio, hacen necesario que los auditores deban
comprender los nuevos controles involucrados y los riesgos que
representa este entorno para la organizacin y as no ver limitado el
alcance de su trabajo.
Estas tecnologas que nos llevan a hablar de la auditoria de sistemas de
informacin han aportado beneficios a las empresas: mejora de la
cultura de control en la organizacin, previene la ocurrencia de
situaciones perjudiciales para la organizacin, genera actitud positiva
hacia los controles en los responsables de las operaciones de la
empresa, promueve la eficiencia operacional en el procesamiento
electrnico de datos, complementa el control que ejerce la gerencia de
sistemas y complementa los controles ejercidos por los usuarios internos
y externos del sistema de informacin contable.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

1.2.1 Tendencias Actuales de la Tecnologa de la Informacin y


sus Implicaciones en la Auditoria Financiera
El ambiente de los negocios se ha visto influenciado por varias
tendencias significativas. Por ejemplo la tendencia hacia la globalizacin
de la empresa, el aumento de la competencia en todos los segmentos de
mercado, y el grado de regulacin impuestos emitidas por las agencias
gubernamentales. Como respuesta de las organizaciones a estas y otras
presiones, la demanda de sistemas de informacin apoy el cambio en
las empresas. Esta demanda se reafirma con la influencia de los
avances tecnolgicos sobre las expectativas y necesidades de los
usuarios del sistema, como por ejemplo, la disponibilidad de unidades de
almacenamiento como CD-ROM, D.V.D., etc., la migracin de los
sistemas basados inteligentes de los laboratorios hacia las funciones
normales de los negocios y los avances en la tecnologa de redes.
1.2.2 Efecto de la Globalizacin de los Mercados
Hoy en da y en un futuro, sern solicitados sistemas de tareas
especficas para satisfacer los requerimientos de usuarios a nivel
mundial, tambin como proveer a las empresas de una capacidad de
procesamiento continuo e indefinido. La necesidad de interfaces para
usuarios de diferentes idiomas, traslado de fondos en tiempo real y el
cumplimiento con una variedad de requisitos de regulacin de cada pas
sern el resultado de la demanda generada por la globalizacin.
Esta clase de requerimientos en los sistemas se traducir en una mayor
complejidad de los sistemas y, por ende en un mayor impacto sobre la
auditoria de los mismos. La globalizacin de las empresas generar un
incremento en el uso de la tecnologa de redes, junto con los riesgos
inherentes. Adems del incremento de la complejidad de los sistemas y
plataformas de procesamiento, el auditor llegar a familiarizarse con las
diferentes tendencias resultantes de los aspectos multinacionales de la
organizacin.
1.2.3 Respuesta a las Presiones Competitivas
Debido al aumento de las presiones competitivas, la organizacin deber
ser ms flexible y de esta forma responder a los cambios del mercado.
Igualmente existir una demanda de los sistemas de informacin. Para
cumplir con estas necesidades, el diseo de los sistemas deber abarcar
una amplia variedad de escenarios de los negocios, dando como
resultado un sistema estable que funcionar en diferentes ambientes
comerciales. Alternativamente el uso de las metodologas de desarrollo
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

10

de los sistemas que facilitan una implementacin rpida de los cambios,


sern necesarios para habilitar funciones en los sistemas de informacin
que permitan dar respuesta a los continuos cambios en el ambiente
comercial.
En cualquier caso, la frecuencia de los cambios en los sistemas
necesitar una mayor atencin por parte de los auditores con el fin de
asegurar un desempeo satisfactorio.
1.2.4 Cambio en el Funcionamiento de las Empresas
La descentralizacin de las empresas sigue ejerciendo un impacto sobre
la arquitectura de los sistemas de informacin contable de las empresas.
Las redes de rea local, la conexin de los microcomputadores, y la
funcionalidad de los microcomputadores continuarn jugando un papel
importante, particularmente en las organizaciones o estructuras
descentralizadas como respuesta a las presiones del mercado.
Igualmente las organizaciones estn reevaluando la forma de manejar
sus empresas con el propsito de readecuar las funciones, reducir los
niveles de soporte y automatizar las labores de mayor demanda.
El auditor debera asumir un papel mas activo en este proceso para
crear nuevos controles y comprender las implicaciones de la auditoria
sobre los nuevos procesos. Por ejemplo, muchas organizaciones han
cambiado sus procesos de pagos desde que se remite el pago hasta
cuando se ha recibido la mercanca. El uso de la tecnologa de los
computadores ha facilitado el cambio en los procesos y como resultado
se ha visto una reduccin en el personal que maneja el proceso de pago.
Al mismo tiempo las labores de ms intensidad, como las rdenes de
compras, el recibo de informes o la facturacin han sido reemplazadas
por rutinas de muestreo o informe de objeciones que suministran la
seguridad de un funcionamiento eficiente en los procesos de
desembolso.
1.2.5 Reduccin de Costos
Como resultado directo del aumento de la competencia, las
organizaciones estn enfrentando una presin adicional en el control de
los costos por medio de diferentes mtodos como la reestructuracin
organizacional y el Downsizing. Estas presiones han conducido a dos
demandas en el sistema de informacin de la empresa: incremento en la
necesidad de que los sistemas ejecuten funciones que anteriormente se
han manejado en forma manual y la participacin de los sistemas de
informacin en el esfuerzo por reducir costos. Como resultado, el
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

11

vendedor de software es utilizado con ms frecuencia para el suministro


de soluciones rpidas.
La tendencia hacia las soluciones de software influye tanto en el tiempo
como en la naturaleza de la auditoria sobre los procesos de desarrollo.
La revisin de los controles en la pos-implementacin de los sistemas
comprados a distribuidores, pueden ser menos factibles que en los
sistemas desarrollados en la misma empresa.
En el caso de los
paquetes comprados a los distribuidores el cdigo fuente no estar
disponible para la revisin del auditor. Adems, el incremento en el uso
de los paquetes comprados ocasiona un cambio en las actividades de
instalacin y mantenimiento, la cual es llevada a cabo fuera de la
organizacin.
Muchos de los paquetes comprados a distribuidores presentan
condiciones, normalmente accesibles por medio de programas de
configuracin con mens, que permiten adecuar el sistema para
satisfacer las necesidades del cliente. La facilidad con la cual estas
actividades se pueden ejecutar, ha hecho que los usuarios asuman ms
responsabilidad.
Otra tendencia tecnolgica que tiene incidencia en la reduccin de los
costos es la reingeniera de software.
Esta tcnica utiliza las
herramientas de ingeniera de software asistida por computador (CASE),
y partiendo de un sistema ya existente desarrollan un modelo de
proceso. El modelo puede ser modificado para reflejar las condiciones
actuales del negocio y puede ser procesado a travs de la herramienta
de desarrollo de aplicaciones para producir un sistema actualizado.
La madurez de la tecnologa de reingeniera de software tiene diferentes
implicaciones significativas para la auditoria. Adems de proveer un
medio para actualizar los sistemas existentes en forma rpida, la
reingeniera de software puede cambiar tambin los factores
econmicos involucrados en la actualizacin y correccin de los
controles deficientes en los actuales sistemas. Igualmente esta tcnica
puede proveer un mtodo de costo-efectivo para que los auditores
formulen un modelo de proceso para los sistemas antiguos, donde la
documentacin del sistema existente puede estar desactualizado o
incompleto.
1.2.6 Disponibilidad de Acceso a la Informacin
Como el costo del medio de almacenamiento ha disminuido, la cantidad
de datos almacenados electrnicamente por la empresa, ha aumentado
significativamente.
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

12

La relativa facilidad del acceso en medios magnticos frente a los datos


en papel ha permitido manejar el acceso a base de datos histricos
mucho ms comprensibles, lo que ayuda a la toma de decisiones.
Debido a la globalizacin de las organizaciones y sus mercados, se
continuar incrementada la cantidad de datos requeridos para el manejo
efectivo de los negocios. Estos factores vuelven a colocar a un nivel alto
el nfasis sobre los programas de manejo efectivo de los datos.
Desde la perspectiva del auditor, no slo sern requeridos los controles
para asegurar que los datos necesarios para el manejo, estn
disponibles cuando sean pedidos y sean precisos, pero habr tambin la
necesidad de garantizar que los datos sean destruidos cuando no sean
de utilidad. La destruccin oportuna de los datos elimina el exceso de
costo por la retencin de datos y limita el riesgo que tiene la
organizacin desde un punto de vista de litigios.
Otro aspecto en el incremento de la disponibilidad de informacin
resulta de los cambios filosficos en la relacin que puede haber entre el
trabajo y la administracin en muchas organizaciones. Una vez se ha
caracterizado como adversa la relacin, esta es reemplazada por un
ambiente de cooperacin y compaerismo. Este movimiento tiene
resultado en un medio ambiente abierto, estamos hablando de
compartir datos del negocio entre los participantes.
Desde la
perspectiva del auditor, esto puede afectar, debido a diseminacin
indiscriminada de los datos del negocio, como consecuencia la
valoracin del riesgo y los controles de acceso se enfocarn ms sobre
la sensibilidad de la informacin y la importancia de la confidencialidad.
1.2.7 Medio Ambiente Regulador
Los requerimientos de las diferentes agencias gubernamentales colocan
exigencias adicionales sobre los sistemas de informacin. Debido a que
las regulaciones gubernamentales cambian y las organizaciones
comienzan a depender ms de los datos almacenados en medios
magnticos como soporte de conformidad con las regulaciones, las
aplicaciones debern ser modificadas o perfeccionadas para satisfacer la
demanda.
Adicionalmente las implicaciones de las debilidades del control en
cuanto hace referencia a la retencin de los datos de la organizacin y
las polticas de seguridad sern ms significativas. Por ejemplo, si los
medios magnticos son utilizados para almacenar datos exigidos por la
administracin de impuestos, se podra incurrir en sanciones financieras
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

13

significativas, si los datos son borrados en forma prematura o no pueden


ser ledos en el momento.
1.2.8 Integracin de los Sistemas de Informacin Contables
Los sistemas integrados continan reemplazando las aplicaciones
individuales del pasado. Los sistemas integrados se caracterizan por
base de datos pblicos, rutinas de edicin y validacin comunes,
mtodos de acceso y navegacin, e informe y formatos de pantalla
consistentes. Los objetivos de la integracin estn orientados a reducir
las redundancias en los datos y funciones, ampliando el desarrollo de
sistemas y actividades de mantenimiento, y mejorar el acceso a la
informacin de vital importancia para la organizacin. Ya que aumenta
la integracin de la informacin, aumenta la complejidad de los sistemas
y el riesgo asociado a stos.
Otra forma de integrar la informacin es el nter organizacin de los
sistemas; estos sistemas se caracterizan por el esfuerzo de dos
organizaciones en el desarrollo cooperativo de los sistemas, es decir el
comprador y el vendedor utilizando en lo posible estndares. Estos
sistemas requieren por lo menos de dos partes, a menudo con diferentes
objetivos comerciales, para colaborar en el desarrollo de la unin de un
sistema basado en computadores. Cada parte normalmente desarrolla y
opera sus componentes, pero cada uno de ellos no trabajar sin el otro
componente.
1.2.9 Avances Tecnolgicos
El promedio de cambios tecnolgicos en los computadores, contina
incrementndose. Los avances en cuanto al poder de procesamiento
tanto en los minicomputadores como en los microcomputadores, la
introduccin de la tecnologa de almacenamiento como el CD-ROM,
D.V.D. etc., ejerce una influencia sobre los sistemas de negocios. Uno
de los mayores cambios que enfrentar el auditor interno ser el
mantenimiento de un nivel de conocimientos suficientes para juzgar las
implicaciones del control de la tecnologa que sirve como fundamento en
los sistemas crticos en las organizaciones. Ser necesario incrementar
la especializacin dentro de la funcin del auditor o alternativamente
incrementar el uso de asesores como un tercer participante u otros
recursos externos especializados para la funcin de auditoria.
Una de las tendencias potencialmente ms importantes es el
procesamiento cooperativo con su fundamento en las arquitecturas
Cliente-Servidor. Esta tecnologa facilita la integracin de computadores
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

14

personales, estaciones de trabajo (Workstation), minicomputadores,


supercomputadores
(mainframes), redes institucionales orientadas
hacia las necesidades del usuario final. Aunque el procesamiento
cooperativo tiene un mayor impacto en todos los aspectos del
computador y el software, este es ms grande en los programas
aplicativos. Casi todas las categoras de aplicaciones se vern afectadas
por los requerimientos estructurales y oportunidades funcionales de los
procesamientos cooperativos.
1.3

CAMPO DE ACCIN DE LA AUDITORIA DE SISTEMAS DE


INFORMACIN

La auditoria debe comprender una revisin de todas las polticas y


procedimientos de seguridad, adems de las pruebas de estos
procedimientos, para determinar si se estn cumpliendo y si satisfacen
las normas del gobierno, de la industria y de la organizacin en las reas
de evaluacin de los centros de cmputo y tecnologas relacionadas,
evaluacin de los procedimientos especficos, evaluacin de los sistemas
de informacin, entradas, procedimientos, controles, archivos, seguridad
y obtencin de informacin, y soporte a otras reas funcionales de
auditoria.
La auditoria de sistemas de informacin consiste en ejecutar un examen
independiente y objetivo de la Seguridad del entorno, para determinar si
las medidas de seguridad establecidas son razonables y suficientes para
proteger los recursos informticos de la Empresa contra daos
intencionales y no intencionales.
Es indispensable que la auditoria sea realizada por personas que no
estn relacionadas con el Departamento de Sistemas, para permitir que
los resultados sean imparciales. Por esta razn, los auditores son
responsables de evaluar y no de establecer la seguridad.
1.4 UBICACIN TIPICA DE LA AUDITORIA DE SISTEMAS
La mejor ubicacin de la funcin de auditoria de sistemas en una
empresa es la divisin de Auditoria Interna, porque se trabaja de manera
ms independiente.
Algunos opinan que si depende de la Gerencia de Sistemas el flujo de
informacin y las comunicaciones van a ser mejores, pero se pierde en
cierto grado, esa independencia de criterio que es fundamental para el
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

15

auditor. Se comenta adems que es mejor depender directamente de la


gerencia general porque permite adoptar acciones correctivas ms
rpidas y evitar distorsiones en el contenido de las recomendaciones.
De todas maneras el auditor de sistemas debe trabajar con el gerente de
sistemas, con el gerente administrativo y con el auditor interno general,
para conocer las reas sobre las cuales va a desarrollar sus funciones y
hacer que sus sugerencias lleguen a feliz trmino en un perodo de
tiempo ms corto.
Adems es bastante til y adecuado que la gerencia de sistemas forme
parte de todo el proceso administrativo donde se coordinan las
actividades, los esfuerzos, se distribuyen las responsabilidades, para que
se vean los resultados de manera integral en todo el contexto
organizacional empresarial de acuerdo con los objetivos y polticas
planeadas por la gerencia general. Finalmente la funcin de auditoria de
sistemas tambin puede ser desarrollada en las empresas a nivel de un
trabajo de consultora.
1.5 TCNICAS DE AUDITORIA DE SISTEMAS DE INFORMACIN
Las normas internacionales de auditoria emitidas por IFAC en la NIA 15 y
16 contemplan que en el ejercicio de la auditoria financiera en empresas
de cualquier tamao, cuando estas llevan sus registros contables en
ambientes computacionales, la aplicacin de procedimientos de
auditoria requerir de tcnicas adicionales a las tradicionales. Los
profesionales de la contabilidad y la auditoria debern valerse de estas
tcnicas, para que su trabajo siga siendo eficiente y no caiga en la
obsolescencia.
Cada vez, los volmenes de informacin para revisar o evaluar sern
ms grandes, pretender realizar la labor solo con tcnicas manuales nos
demandar mucho tiempo y los resultados se vern muy tarde. En los
momentos actuales el Contableauditor que no utilice el computador
para aplicar estas tcnicas quedar fuera del mercado.
1.5.1 Tcnicas Manuales

Inspeccin: consiste en examinar los documentos, procedimientos y


activos tangibles.
La inspeccin de registros y documentos
proporciona evidencia de diversos grados de confiabilidad
dependiendo de su naturaleza y fuente, as como de la eficacia de los
controles internos a lo largo del procesamiento. La inspeccin de

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

16

activos tangibles da lugar a una evidencia fidedigna en relacin con


su existencia pero no necesariamente con su propiedad o valor.

Observacin: consiste en examinar el proceso o procedimientos que


otros realizan. Ejemplo: Observar el conteo de los inventarios o la
ejecucin de los procedimientos que no dejan rastros de auditoria.

Investigacin: consiste en buscar una informacin recurriendo a


personas claves ya sea dentro o fuera de la entidad a travs de
simples preguntas orales a los empleados. Las respuestas de estas
investigaciones permiten al auditor contar con una informacin o
evidencia para corroborar.

Confirmacin: la respuesta que se da a una investigacin que


pretende ratificar los datos contenidos en los registros contables.

Calculo: verificacin de la precisin aritmtica de los documentos


fuente y de los registros contables o en la realizacin de clculos
independientes.

Revisin analtica:
estudiar razones y tendencias financieras
significativas as como investigar fluctuaciones y partidas poco
usuales.

1.5.2 Tcnicas Automatizadas

Datos de prueba: es ejecutar la aplicacin con datos preparados por


el auditor que genera resultados ya establecidos o conocidos por l.
Sirve para saber que hace el programa y que controles tiene.

Caso bsico: es una ligera variacin de datos de prueba. Consiste


en ejecutar la aplicacin con el paquete de datos de prueba
desarrollados por el personal de sistemas.
I.T.F.
(Integraded test facility) prueba integrada de facilidades:
consiste en mezclar informacin ficticia con la real en un proceso
normal

Simulacin paralela: utiliza programas desarrollados por auditoria


para procesar informacin viva y simular el proceso normal.

Operacin paralela:
consiste en procesar los datos reales con
duplicados de los programas que estn bajo el control total del

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

17

auditor. Debe utilizar otro programa para que le compare los archivos
porque los volmenes de informacin son altos.

Anlisis de listado de compilacin: el auditor estudia y analiza las


instrucciones de los diferentes programas de la aplicacin.

1.5.3 Tcnicas para Verificar Transacciones

Paquetes de auditoria:
conjunto de programas que tienen la
capacidad de procesar archivos, controlados por parmetros de
entrada definidos por el auditor.

Las funciones de estos paquetes son:


control de secuencia,
bsqueda de registros en archivos, seleccin y presentacin de
informacin de los archivos, realizacin de operaciones lgicas con la
informacin, estratificacin, muestreo estadstico, elaboracin de
cartas de confirmacin, preparacin de reportes, clculos para
comparar contendidos en otros archivos, comparar dos archivos y
encontrar diferencias.

Software diseado: son programas elaborados especialmente para


auditoria que se convierten en herramientas necesarias para aplicar
otras tcnicas descritas anteriormente. Estos programas pueden ser
diseados exclusivamente para satisfacer requerimientos de
informacin de auditoria.

Rutinas incluidas en el programa de la aplicacin: uno o ms


mdulos de recoleccin de informacin involucrados en la aplicacin
para seleccionar y registrar informacin para anlisis posterior.

Registros extendidos: consiste en reunir por medio de programas


especiales en un solo registro toda la informacin significativa sobre
una determinada transaccin.

1.5.4 Tcnicas para Analizar Programas

Snapshot: permiten obtener una fotografa interna de el sistema, es


decir de la memoria, por ejemplo de resultados intermedios de un
proceso. Utiliza modelos involucrados dentro de los programas que
activa bajo ciertas condiciones preestablecidas.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

18

Traceo: indica por donde pas el programa. Cada vez que se ejecuta
una instruccin me imprime o muestra en pantalla el valor de las
variables. Puede activarse para todo el programa o para parte del
programa y para las variables.

Mapeo: indica caractersticas de los programas tales como el tamao


del programa en bytes, localizacin en la memoria y la fecha de la
ltima modificacin.

Diagramas de flujo:
consisten en una secuencia lgica de un
proceso, que permiten visualizar las etapas de un procedimiento
dentro de un programa.

Comparacin de cdigo: comparacin de cdigo de los programas en


poder de auditoria con el cdigo fuente de los programas en
produccin y con el cdigo objeto de produccin.

Revisin manual de la lgica del programa: se sigue paso a paso


cada una de las instrucciones del programa, verificando los diferentes
valores que toman las variables del programa. El auditor debe
conocer el lenguaje de programacin y dominar la manera de
entender la lgica de un programa.

Job accounting software: el informe de la contabilidad del sistema es


un utilitario del software del sistema que provee los medios para
acumular y registrar la informacin necesaria para facturar a los
usuarios y para evaluar la economa del uso de los sistemas de
computador.

1.5.5 Auditoria Alrededor del Computador vs.


Computador

a Travs del

Un sistema basado en computador puede ser auditado alrededor o a


travs del computador. La auditoria alrededor del computador involucra
examinar la entrada y la salida del computador pero no examina el
procesamiento del computador.
Esta alternativa es ms til en sistemas nicos no sofisticados. Por
ejemplo, supongamos que un sistema de nmina toma los datos y las
horas de la tarjeta de tiempo como entrada y entonces genera totales
de nmina y deducciones y no tiene conexin con otros sistemas. Este
sistema de nmina puede ser auditado alrededor del computador
examinando slo la entrada y la salida. Sin embargo, en sistemas ms
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

19

complicados, esta alternativa no es posible. La entrada del subsistema


examinado es frecuentemente la salida de otros subsistemas, y esta
salida es la entrada a otros subsistemas. De esta forma, no es posible
tratar cualquier subsistema aisladamente, y la auditoria debe ser a
travs del computador.
Auditoria a travs del computador significa que el computador se audita
a s mismo. Debido a que los datos y la pista de auditoria son en forma
electrnica, no pueden ser ledos examinados directamente por el
auditor, y debe hacerlo el computador por si mismo. El examen
consistir en pruebas de cumplimiento de los controles internos
adecuados y pruebas sustantivas de los balances contables finales.
Despus de una revisin preliminar del sistema, el auditor debe adquirir
evidencia relacionada con la efectividad del control interno.
Esta evidencia es usualmente adquirida mediante la observacin,
revisin de los documentos, pistas de transacciones y cuestionarios de
control interno. Usando esta evidencia, el auditor debe decidir si puede
o no contar con los controles internos para detectar errores. Si el auditor
puede contar con ellos, entonces hay una revisin detallada de los
controles generales y controles de aplicacin. Los controles generales
se aplican a todo el sistema, mientras que los controles de aplicacin
slo se aplican a una aplicacin particular, como cuentas por cobrar.
Los controles de aplicacin son luego agrupados en controles de
entrada, controles de procesamiento y controles de salida. Las pruebas
de cumplimiento incluyen el uso de una prueba de escritorio, una prueba
integrada de facilidades, pista del programa, una revisin de la lgica
del programa, comparacin del programa, simulacin paralela,
implantacin de mdulos de auditoria y datos contables de trabajo.
Las pruebas sustantivas examinarn los balances contables
directamente, usualmente con software independiente bajo el control del
auditor llamado software de auditoria generalizado.
Hay una relacin entre pruebas de cumplimiento y pruebas sustantivas.
La mayor es la confianza que se pueda tomar sobre el control interno del
sistema para detectar errores, la menor es la necesidad para analizar los
balances directamente.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

1.6

20

OBJETIVOS DEL CONTROL EN LA AUDITORIA DE SISTEMAS


DE INFORMACIN CONTABLE

1.6.1 Entorno de Auditoria y Control


Asegurar que un adecuado entorno de auditoria y control sea empleado
dentro de la organizacin, es responsabilidad de la administracin, quien
determina los parmetros para toda la organizacin, incluyendo los del
sistema de control interno que manejen los riesgos asociados con el uso
de tecnologa de informacin. El sistema de control interno incluye los
procesos, funciones, actividades, subsistemas, procedimientos y la
organizacin de recursos humanos que proporcionen seguridad
razonable para lograr las metas y objetivos de la organizacin y
garanticen que los riesgos sean reducidos a un nivel aceptable.
Los elementos clave en el sistema de control interno incluyen el entorno
de control, los sistemas manuales y automatizados y los procedimientos
de control. Estos elementos se pueden describir de la siguiente manera:

Un buen entorno de control proporciona las bases para la operacin


de los sistemas y controles, as mismo, contribuye a su confiabilidad.

Los sistemas manuales y automatizados afectan a la forma como la


informacin es procesada, almacenada, informada o transferida.

Los procedimientos de control referentes a sistemas de informacin,


incluyen controles generales y de aplicacin especfica.

Las
consideraciones
de
costo/beneficio
son
extremadamente
importantes en la implementacin de controles que reducen el riesgo.
Todos
los
controles,
independientemente de la clasificacin
(preventivos, detectivos, correctivos, etc.) estn diseados para mitigar
los riesgos y para permitir el logro de tres objetivos principales:

Integridad en la informacin, encaminada a apoyar el proceso de


toma de decisiones.

Seguridad y proteccin del hardware, software e informacin del


sistema de informacin de la organizacin.

Cumplimiento con los procedimientos y disposiciones internas y


externas.

Los adelantos en la tecnologa de informacin y la dependencia de las


organizaciones
en
sus
sistemas
de
informacin,
continan
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

21

proporcionando retos significativos tanto a la administracin como a los


auditores. Para trabajar efectivamente, todos los auditores requieren
aumentar sus habilidades en sistemas de informacin y tecnologa.
Actualmente, los departamentos de auditoria interna estn asumiendo
estos retos a travs de lo siguiente:

La integracin de la auditoria interna con las habilidades de los


sistemas de informacin.

Enfocar al personal, esto incluye pedir prestados especialistas desde


organizaciones funcionales y turnos de servicio en la seccin de
auditoria.

Ajustar y afirmar el entrenamiento.

Los objetivos generales del control interno en sistemas son la


autorizacin,
procesamiento
y
clasificacin
de
transacciones,
salvaguarda fsica, verificacin y evaluacin
1.6.2 Objetivos de Autorizacin
Todas las operaciones deben realizarse de acuerdo con autorizaciones
generales o especficas de la administracin. Las autorizaciones deben
estar de acuerdo con criterios establecidos por el nivel apropiado de la
administracin.
Las transacciones autorizadas deben quedar en
archivos adecuados y procesarse oportunamente.
1.6.3 Objetivos
del
Procesamiento
Transacciones Financieras

Clasificacin

de

Todas las operaciones deben registrarse para permitir la preparacin de


los estados financieros en conformidad con los principios de contabilidad
generalmente aceptados. Adems deben mantenerse archivos con los
datos correspondientes a los activos sujetos a custodia.
Las transacciones deben clasificarse en forma tal que permitan la
preparacin de los estados financieros, de acuerdo con los principios de
contabilidad generalmente aceptados, las transacciones deben quedar
registradas en el perodo a que corresponden y si afectan varios ciclos
deben quedar especificadas a que ciclos corresponden.
1.6.4 Objetivos de Salvaguarda Fsica

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

22

El acceso a los activos: equipos e informacin que slo debe


permitirse de acuerdo con autorizaciones de la administracin.

1.6.5 Objetivos de Verificacin y Evaluacin


Los datos registrados relativos a los activos sujetos a custodia deben
compararse con los activos existentes a intervalos razonables y tomar
las medidas apropiadas respecto a las diferencias que existan.
Igualmente debe suceder con los saldos de los estados financieros.
1.7

BASES PARA LA AUDITORIA DE SISTEMAS DE INFORMACIN

Al estudiar un ambiente computarizado el auditor debe tener en cuenta


dos aspectos:

Examinar el marco de control:

El marco de control organizacional y estratgico.


Practicas de control y gerencia de la actividad P.E.D.

Identificacin de las aplicaciones clave desde el punto de vista de


auditoria y asignacin de controles:

Controles sobre entradas y salidas (E/S).


Controles de proceso.
Funcionalidad del ciclo de proceso de auditoria.
Manejo de los errores detectados en el proceso.
Se debe recordar que aunque al auditor se le exige considerar el entorno
E.D.P. desde dos puntos de vista: el del marco de control general y el de
las aplicaciones financieras. El alcance del estudio en cualquier rea
depende de los controles en que confe el auditor.
Sea que el auditor mire los controles generales o los de las aplicaciones,
este tiene que considerar tres niveles de estudio:

Recoger informacin sobre la manera de operar el sistema de E.D.P.

Acumular evidencia para demostrar como opera el sistema E.D.P.

Acumular evidencia en cuanto a razonabilidad y correccin de los


registros sea el sistema computarizado o no.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

23

Es decir, al auditor se le exige hacer una evaluacin preliminar del


entorno E.D.P. como parte del proceso de auditoria desde el punto de
vista del control general y de las aplicaciones.
A partir del estudio preliminar el auditor determina al alcance del
anlisis en detalle y las pruebas de cumplimiento procedimental
necesarias, con base en la extensin de la auditoria y el grado de
confianza dados al control.
1.8

REPERCUCIN DEL ENTORNO INTERNACIONAL EN LAS


AUDITORIAS DE SISTEMAS DE INFORMACION CONTABLES

En las auditorias de sistemas de informacin que se realizan en


diferentes pases, el auditor debe considerar unos riesgos que plantea el
entorno por sus caractersticas, que puede llevar a que las diferencias no
sean solo normas y regulaciones de los sistemas de informacin
contable y de los estndares de control de sistemas. No obstante la
auditoria de sistemas de informacin, a nivel internacional por parte los
auditores es una practica que se viene dando cada vez mas a menudo,
debido a que las empresas importan y exportan tecnologa informtica
para la operacin de sus negocios en diferentes partes del mundo. Ya
que esto les permite estar en conocimiento de la informacin en tiempo
real, funcionar operacionalmente y tomar decisiones. Sin embargo esto
conlleva que el auditor de sistemas de informacin incremente los
controles sobre los sistemas locales y remotos, para obtener seguridad
de la integridad de estos.
La diversidad de entornos en los diferentes pases, en cuanto a los
sistemas contables se ven afectadas por diferentes factores como el
sistema legal y fiscal, factores polticos, factores econmicos y factores
socioculturales. Vindose reflejados estos en riesgos como la seguridad
de orden pblico en diferentes pases, los diferentes cambios de
moneda, sindicatos laborales, la calidad y tecnologa de los servicios
pblicos de las comunicaciones y el transporte, el desarrollo tecnolgico
de un pas y otros riesgos que puedan llevar a considerar una ventaja o
desventaja para el negocio y por ende para la auditoria.
1.9

COMPETENCIAS PRINCIPALES DEL AUDITOR DE SISTEMAS


DE INFORMACIN

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

24

1.9.1 Intervencin en el Diseo de Sistemas


La participacin del auditor en los diseos de sistemas se refiere a
asesorar sobre la implementacin de controles para prevenir la
ocurrencia de riesgos. Cuando se disean los nuevos sistemas de
informacin es el mejor momento para establecer los controles de
dichos sistemas. El papel del auditor debe ser de asesor y no de crtico,
de colaborador y no de ordenador, adems se deben crear las pistas de
auditoria para facilitar el ejercicio o la prctica de la misma
posteriormente.
1.9.2 Auditoria de Aplicaciones
La participacin en las auditorias de las aplicaciones se refiere a evaluar
los controles de las aplicaciones en funcionamiento. Cuando la Auditoria
Interna de Sistemas no est establecida en la empresa contratan a una
persona natural o jurdica para que a travs de un proceso metodolgico
realice su trabajo, determine los puntos crticos, las reas reales de
riesgo, lleve a cabo las pruebas de cumplimiento y sustantivas del caso
y d sus sugerencias y recomendaciones.
1.9.3 Revisin de la Integridad de la Informacin
Evaluar que la informacin sea completa, exacta, autorizada,
consistente, y relevante. Es importante verificar si los procedimientos
de control interno y las pistas administrativas, de proceso y de auditoria
aseguran el control administrativo y la evidencia de auditoria de que la
informacin cumple con los requisitos anotados.
1.9.4 Revisin del Mantenimiento a Sistemas y Programas
Los sistemas necesitan mantenerse, la informacin almacenada en
discos duros durante el proceso necesita bajarse a cintas, cartuchos u
otros perifricos de almacenamiento, las copias de seguridad deben
efectuarse oportunamente, no debe permitirse subir informacin de
terminales al disco duro del servidor; en general estos son algunos de
los aspectos del mantenimiento al sistema.
Particularmente cuando se realiza un cambio a un programa, se
constituye en un momento bastante vulnerable para cometer fraude, el
conocimiento del lenguaje de programacin es bastante til, adems
que el conteo de las instrucciones y la verificacin del listado de
compilacin anterior y el nuevo, el procedimiento de controlar la

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

25

ejecucin de un cambio a un programa debe incluir autorizacin,


documentacin, fechas, justificacin, copias y pruebas.
1.9.5 Revisin de Procedimientos Generales de Operacin
Es muy tpico del auditor de sistemas externo, verificar todos los
procedimientos de produccin de todas las aplicaciones, evaluando los
puntos de control de cada procedimiento.
1.9.6 Revisin del Sistema Operacional
Para lograrlo hay que tener un conocimiento del funcionamiento del
sistema operacional desde su configuracin inicial, sus usos, sus
procesos, sus seguridades y los usuarios. Este campo forma parte de la
auditoria de sistemas especializada.
1.9.7 Revisin Administrativa
Su objetivo es evaluar la gestin del administrador no el administrador,
es bastante difcil lograrlo, pero es importante involucrar los conceptos
de eficiencia, eficacia y costos vs. beneficios.
1.9.8 Administracin
de
Sistemas
de
Especializados para Auditores de Sistemas

Informacin

Son muy tiles porque permiten en poco tiempo generar muestras,


hacer comparaciones y en general obtener listados que servirn de base
para los anlisis por parte de los auditores de sistemas de los casos
excepcionales o anormales.
1.10 FORMACIN DEL AUDITOR DE SISTEMAS DE INFORMACIN
CONTABLE
La Federacin Internacional de Contables
(IFAC)
en su Gua
Internacional de Formacin No 9 de julio de 1991 revisada en octubre de
1996 (Valoracin de la competencia profesional y requerimientos de
experiencia de contables) y la gua No. 11 de 1995 (Tecnologa de la
Informacin en el Curriculum de Contabilidad), reconoce que no todos
los pases estn en el mismo nivel de utilizacin de tecnologa para la
informacin.
Los organismos miembros, por lo tanto necesitarn;
interpretar las recomendaciones de esta gua a la luz de la tecnologa
actualmente disponible en sus pases, y deben reconocer la necesidad
de que los auditores estn constantemente al tanto de los desarrollos y
cambios que se producen, tanto en sus respectivos pases como en el
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

26

extranjero: se les anima para que intercambien informacin con otros


organismos u rganos miembros e instituciones y para asegurarse de
que los desarrollos o innovaciones, generalmente, sean conocidos y con
ello se evite la duplicidad de esfuerzos en el campo de la formacin.
La utilizacin de computadores y avances en tecnologa de informacin
estn cambiando continuamente las tcnicas de acumular, manipular y
divulgar
datos
contables;
estos
avances
han
modificado
fundamentalmente los mtodos tradicionales del tratamiento de datos
contables en Auditoria; los avances en los sistemas de proceso de datos
que se han distribuido han conducido a la descentralizacin de la funcin
de automatizacin de los usuarios finales y el bajo coste del
microordenador ha permitido que organizaciones pequeas puedan
mejorar sus sistemas de informacin.
El uso intensivo de TI exige que los auditores se familiaricen con sus
aplicaciones; por tanto, es vital que se entrenen para reconocer,
comprender y evaluar el impacto de la TI en un entorno contable y de
auditoria en los que operan.
El uso de computadores y la disponibilidad de diversos paquetes de
programas ofrece nuevas oportunidades para los auditores financieros;
les capacita para suministrar servicios diversificados a clientes y
empresarios, y para explorar y usar las bases de datos a efectos de
resolver toda clase de problemas: los computadores representan una
herramienta valorable para solucionar problemas en el mbito de la
contabilidad financiera, la Auditoria y la planificacin fiscal.
Los estudiantes de Auditoria pueden adquirir parte de sus conocimientos
y habilidades en la tecnologa de la informacin antes de comenzar su
formacin profesional; por ejemplo, a travs del estudio en su propia
casa, de una formacin pre - profesional, o experiencia de trabajo. El
uso de computadores en programas de formacin le ayudar a
desarrollar an ms sus actuales conocimientos y experiencia.
La Federacin recomienda que los auditores obtengan el conocimiento
necesario de la TI a travs de un sistema de dos componentes: el
primer componente incluye cursos bsicos dirigidos, bien como un
requisito previo al programa de formacin contable y formal, o como los
primeros cursos del programa; el segundo componente trata de la TI
como un elemento esencial integrado dentro del curriculum normal del
programa de formacin contable; por ejemplo, un curso en proceso de
datos sobre Auditoria que es ofrecido como parte de los cursos normales
de Auditoria.
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

27

Las aplicaciones de sistemas informticos de ordenadores pueden


integrarse dentro de muchas materias, por ejemplo, los sistemas
contables computarizados pueden ser parte del programa de
contabilidad normal, y a los estudiantes se les puede pedir una
preparacin en el diseo de sistemas contables para cubrir distintas
necesidades de la direccin y contabilidad, y para preparar los estados
financieros y consolidados, mediante el uso de programas informticos o
software.
La previsin y anlisis de sensibilidad, basados en programas, pueden
incorporarse como parte de un curso sobre estados financieros,
presupuestos o control presupuestario.
El informe COBIT (1998), recomienda una estructura de conocimientos
bsicos y habilidades en anlisis, diseo, construccin y mantenimiento
de S.I., teora general de riesgos y controles aplicados a los S.I., control
interno en las organizaciones, auditoria operacional, financiera y de
sistemas, tcnicas y herramientas de verificacin de controles manuales
y automatizados en las aplicaciones en computador, elaboracin y
organizacin de papeles de trabajo, conocimientos sobre elaboracin y
presentacin de informes, metodologas, enfoques y tecnologas de
punta, tcnicas de control en etapas del ciclo de vida de sistemas,
planificacin de sistemas, administracin de medios magnticos,
conocimientos de contratacin de servicios de computador, seleccin y
adquisicin de software y hardware, estndares de sistemas, controles
de seguridad fsica en centro de procesamiento de datos y lgica del
software y de los datos, conocimientos y experiencia para planear,
organizar, dirigir y controlar la funcin de Auditoria de Sistemas,
familiaridad con los planes, polticas, normas, estrategias y negocios de
la organizacin, tecnologas de informtica utilizada por la competencia
y conocimientos de los riesgos inherentes a los negocios controlados por
las aplicaciones de la empresa, adems de los conocimientos generales
del Contador - Auditor en administracin, auditoria y contabilidad
financiera, legislacin, estadstica, conocimiento de la empresa y su
entorno.
El auditor de sistemas de informacin deber tener habilidades para el
desarrollo de sus actividades como una visin de negocios, capacidad
para hacer anlisis de situaciones, riesgos y controles, mantener buenas
relaciones interpersonales a todo nivel, fcil comunicacin para
transmitir sus ideas, adaptable fcilmente al trabajo en grupo,
evaluacin de las cosas en su justa dimensin y con objetividad, asesor,
solucionador de problemas, ejecutar su trabajo de acuerdo con los
principios morales adecuados y el cdigo de tica profesional.
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

1.11

28

RESPONSABILIDADES DEL AUDITOR

El estndar de auditoria (SAS) No.3 Revisin Preliminar de los


Controles Contables en el Sistema Electrnico por parte del Auditor,
establece que es responsabilidad del auditor determinar si su cliente
utiliza el PED., para el proceso de su informacin contable; si es as,
deber considerar los efectos de este en el control interno y estudiar las
aplicaciones del sistema para establecer la funcin individual de los
mismos. Lo anterior se tiene que lograr dentro del contexto general del
anlisis y evaluacin del control interno.
El inters del auditor en el control interno permanece igual ya sea en un
ambiente manual o computarizado.
Sin embargo en sistemas
computarizados se requieren controles adicionales debido a la
exposicin de estos a riesgos o debilidades, lo que hace necesario que el
auditor entienda completamente la estructura del sistema de control a
establecerse cuando PED. Es clave en el sistema de informacin del
cliente.
El inters del auditor en conocer los tipos de control en el entorno PED, y
en el sistema general de control interno, consiste en determinar los
controles en que puede confiar y el alcance de estos a fin de establecer
o poner un lmite a la auditoria y con especial referencia al monto de las
pruebas necesarias. Como resultado de lo que el pronunciamiento No.3
se refiere a la fase preliminar de la revisin del auditor, este deber
obtener:

Un conocimiento de flujo de transacciones tanto de la parte manual


como de la parte automtica del sistema contable.

Conocimiento
automticas.

Conocimiento de la estructura fundamental del control contable.

del

alcance

del

uso

de

aplicaciones

contables

A partir de ello el auditor podr determinar los controles automticos y


no automticos en que puede confiar en el proceso de auditoria para
poder evaluarlos y probarlos.
Adems de las responsabilidades bsicas descritas en el SAS el auditor
tiene un gran inters en el entorno PED. Del cliente, ya que las
empresas hacen cada vez mas uso de los computadores hacindose
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

29

dicho recurso ms importante tanto a nivel financiero como operacional.


En este aspecto, el auditor deber interesarse en el impacto de estos en
los estados financieros desde el punto de vista inversin y de las
consecuencias que trae la interrupcin del servicio en las operaciones
corrientes de la empresa.
Este aspecto es adicional a las
responsabilidades de evaluacin del control interno, pero se deben tener
en cuenta al disear programas de trabajo y as poder cumplir con los
requerimientos de cada cliente, ya que existen reas que exigen una
mayor atencin y conocimiento.
El auditor de sistemas de informacin debe tener en cuenta que la
mayor responsabilidad por el control no es de l, sino de la
administracin:

Que los controles previenen, detectan y corrigen el riesgo.

El computador cambia la naturaleza del control.

Los problemas y/o prdidas crean la conciencia del control.

En procesamiento se requieren controles mejorados.

La auditoria es un control administrativo esencial.

Los auditores deben participar en el desarrollo de sistemas.

Los auditores deben verificar los controles antes y despus de la


instalacin de un sistema.

Proceso de Comprensin y Anlisis


Con base a lo estudiado hasta el momento responder los siguientes
interrogantes:

Qu es auditoria de sistemas?

Cul es el principio de auditoria de sistemas?

Qu impacto producen las tecnologas de informacin en la auditoria


financiera?

Identificar las diferentes tcnicas de auditoria de sistemas de


informacin.

Describir los diferentes objetivos de la auditoria de sistemas de


informacin contable.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

30

Que papel desempea el auditor de sistemas en la gestin


empresarial?

Como demostrara usted que la utilizacin del computador es un


medio para la minimizacin de costos en la realizacin de una
auditoria financiera?

Solucin de Problemas

Identificar Contadores Pblicos que hayan desarrollado dentro de su


ejercicio profesional, auditorias apoyadas por computador y realizar
una entrevista acerca de los temas principales tratados en esta
unidad y relacionados con el concepto, fases, importancia y
legislacin de la auditoria de sistemas.

Con base en la informacin presentada en esta unidad, en dilogos


con Contadores Pblicos en ejercicio y en la legislacin vigente,
realizar un breve ensayo acerca de la situacin actual de la auditoria
de sistemas y su desarrollo en el medio.

Sntesis Creativa y Argumentativa


Los procesos especficos de auditoria, que se pueden facilitar a travs de
la aplicacin de tecnologa son la direccin, planificacin, administracin
e informes de las auditorias.
Para sustentar sus opiniones y
recomendaciones los contables tienen que planear cuidadosamente su
trabajo, organizar y documentar la evidencia de sus hallazgos, en un
entorno que esta cambiando continuamente.
Los sistemas de informacin de las empresas se pueden resumir en
sistemas de aplicacin central, comunes en la mayora de
organizaciones como contabilidad, nmina, dems sistemas financieros
y sistemas especficos para la industria como son: transferencia
electrnica de fondos, procesamiento de reclamaciones de seguros,
integracin de la computacin al sector industrial, sistemas de servicio
al cliente en empresas de servicio pblico y planificacin de mercadeo
para comerciantes.
Aunque, cada sistema est sujeto a su propio y nico conjunto de
riesgos hay riesgos que son comunes a todos los sistemas de negocios
como el acceso no autorizado a funciones de procesamiento o a

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

31

informacin, prdida de integridad y/o exactitud de la informacin e


interrupciones en el procesamiento. Las consecuencias de estos riesgos
pueden llevar a errores en la administracin o en los informes
financieros, costos excesivos, prdida de ventaja competitiva, prdida o
destruccin de valores, sanciones legales y la oportunidad para la
ejecucin de actividades incorrectas.
Los controles para mitigar estos riesgos comprenden el control de
acceso al software
(por ejemplo, software de control de acceso,
caractersticas distintivas del sistema de administracin de la base de
datos, etc.), controles de seguridad fsicos para restringir el acceso a
personas no autorizadas, controles sobre la exactitud e integridad de la
informacin,
transacciones rechazadas y adems
pendientes,
procesamiento completo y exacto dentro del perodo de contabilidad
propiamente dicho.

Con base en este contenido, realizar un cuadro sinptico.

Autoevaluacin

Que es auditoria de sistemas?


Enunciar y explicar los diferentes ambientes en que se desenvuelven
las auditorias apoyadas por computador.

Cual es el propsito de la Auditoria de sistemas?

Enunciar y explicar las etapas principales en la realizacin de una


auditoria de sistemas.
Cual es su opinin acerca de la situacin actual en el desarrollo de
las Auditorias apoyadas por computador?

Repaso Significativo

Disear un mapa conceptual que contenga la definicin, funcin y el


alcance de la auditoria de sistemas.

Disear un diagrama que refleje la estructura de la realizacin de una


auditoria de sistemas y su funcionalidad en la gestin empresarial.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

32

Elaborar un glosario de trminos que considere ms relevantes en el


ambiente del rea de auditoria de sistemas.

Bibliografa Sugerida
Page, J.; Hooper, P. Accounting and Information Systems, Prantice Hall.
E.E.U.U. (1996).
Piattini, M.; del Peso, E. Auditoria Informtica un enfoque practico, RAMA, Espaa. (1998).
Snchez Toms, A. Sistemas Expertos en Contabilidad, Tcnica Contable,
n 514. (1991).
Serrano, C. L. Fabra y E. Lobera. Planificacin de Sistemas de
Informacin en la Empresa: El Intercambio Electrnico de Datos (EDI)
SCIRE: Representacin y Organizacin del Conocimiento, 1997, Vol. 2.
(1997).
Teodoro, J. "Intercambio electrnico de datos (EDI)", Ministerio de Obras
Pblicas, Transportes y Medio Ambiente, 1994.
The Institute of Internal Auditors Research Foundation's.
Auditability and Control, E.E.U.U. (1994).

SAC Systems

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Costos Bsicos

33

UNIDAD 2: Control y Riesgo del


Sistema de Informacin Contable
Descripcin Temtica
Una adecuada estructura de control es necesaria para asegurar los
recursos de los sistemas de informacin contables y los datos que son
usados o producidos por el sistema. Las grandes organizaciones, con
millones de clientes y transacciones, no pueden continuar sus
operaciones sin sistemas que funcionen propiamente.
Las
organizaciones pequeas como las PYMES podran al menos sufrir
prdidas de productividad significativas.

Horizontes

Controlar el riesgo del sistema de informacin contable.

Asegurar los recursos de los sistemas de informacin contables.

Describir que diferencia existe entre riesgo y control

Identificar que tipos de riesgos que se pueden presentar en un


departamento de sistemas

Enunciar e identificar los tipos de controles para minimizar los riesgos


ms comunes en un departamento de sistemas.

Ncleos Temticos y Problemticos

Definicin
Marco De Referencia Para El Control
Controles Sobre Desarrollo, Adquisicin Y Mantenimiento De Los
Sistemas De Informacin Contables
Revisin De Tcnicas De Fraude Informtico

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

34

Proceso de Informacin
2.1

DEFINICIN

El informe COSO (1996), define el control como un proceso ejecutado


por el consejo de directores, la administracin y otro personal de una
empresa, diseado para proporcionar seguridad razonable con miras a la
ejecucin de los objetivos de efectividad y eficiencia de las operaciones,
confiabilidad de la informacin financiera y el cumplimiento de
regulaciones. El control interno esta compuesto por cinco componentes
interrelacionados que son el ambiente de control, valoracin de riesgos,
actividades de control, monitoreo, informacin y comunicacin.
2.2

MARCO DE REFERENCIA PARA EL CONTROL

Los elementos generales del control interno, plan organizacional,


sistemas de autorizaciones, estructura contable, prcticas de
desempeo del trabajo, calidad y moral del personal se aplican al
entorno de sistemas de informacin contables con uso del computador.
El control quiz es el ms crtico ya que este opera en ambientes
cerrados, con funciones muy desarrolladas con poco personal, mientras
que en otros entornos, estas, estn muy dispersas.
Existe una jerarqua de controles dentro del sistema P.E.D. El nivel
externo lo suministra la organizacin y la gerencia de la empresa.
Dentro de este marco opera el manejo y organizacin de la actividad
proceso de datos. Un elemento parte de esta actividad es la funcin de
control que supervisa la calidad del proceso. La operacin del proceso
de datos esta sujeta a una estructura organizacional.
2.2.1 Estructura de Control Organizacional
Un sistema computacional es de gran importancia en toda organizacin,
no solo desde el punto de vista de su inversin en equipo y personal sino
tambin por el servicio de registro, manipulacin y almacenamiento de
datos cuyo objetivo es suministrar informacin. Si esta funcin no se
maneja bien, puede convertirse en un gran problema para la empresa,
de donde se observa que la gerencia debe establecer un sistema de
polticas y autorizaciones definido sobre las actividades de esta para
poder evaluar su desempeo.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

35

2.2.2 Gerencia versus Control


Las responsabilidades de la gerencia en cuanto al procesamiento de
datos consiste en:

Autorizacin de cambios y adiciones.

Revisin de costos de post-instalacin y efectividad de los proyectos


de sistemas.

Revisin de la organizacin, controles y practicas de a funcin


proceso de datos.

Evaluacin del desempeo.

Con responsabilidad de la gerencia se quiere decir, que los grandes


cambios dentro de la divisin, departamento o centro de computo y
sistemas de informacin se deben aprobar por esta con base en la
presentacin de una propuesta que debe ser evaluada en trminos de
costos y beneficios que se deriven de el. La compra de un sistema
nuevo o mejorado es comparable a la ampliacin de una planta o
fabrica, la cual tiene que ser estudiada en detalle antes de comprometer
grandes desembolsos. Y tambin como el sistema afecta el proceso de
datos de toda la organizacin, la gerencia debe entender toda la
actividad de cambio para poder autorizarlo y establecer los controles
adecuados.
El hecho de exigir la aprobacin gerencial fuerza al departamento o
gerencia de sistemas de informacin a planear y preparar propuestas de
cambio.
La gerencia tiene la responsabilidad de emplear personal competente,
con el entrenamiento adecuado en sistemas e informacin.
La
supervisin y el control diario, es responsabilidad de la direccin del
centro de cmputo de manera que una organizacin con controles y
procedimientos pobres indican debilidad en el manejo de este.
En este sentido A. Lpez (1997, Pg. 129), pone de manifiesto que el
director de informacin realiza funciones en lo relativo a la informacin y
su entorno, planificando y controlando todos aquellos aspectos que
tienen que ver, primordialmente con la obtencin, proceso y distribucin
de la informacin, tanto interna como externa. El control del desempeo
a este nivel exige un plan de actividades contra el cual se puedan
comparar las operaciones reales y reportar las desviaciones:

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

36

Costo de las actividades de proceso comparado contra el plan.

Frecuencia y duracin de las demoras en cumplimiento de los


programas.

Tasas de deteccin de errores en los distintos puntos de control.

La funcin de procesamiento de datos debiera ser organizada y


manejada usando mtodos de probada eficiencia en otras reas de la
entidad. Debe existir un plan de organizacin y una clara asignacin de
responsabilidades.
2.3

CONTROLES
SOBRE
DESARROLLO,
MANTENIMIENTO DE LOS SISTEMAS
CONTABLES

ADQUISICIN
Y
DE INFORMACIN

2.3.1 Investigacin Preliminar y Anlisis de Informacin


La participacin del auditor de sistemas en el desarrollo de proyectos de
sistemas es la manera ms efectiva y preventiva de asesorar con
esquemas de control.
La gran mayora de personas hemos sentido la necesidad de resolver
nuestros problemas de informacin a travs de sistemas de informacin
que se adapten a las condiciones y caractersticas especficas de nuestra
empresa y no al contrario que mis procedimientos se amolden al
sistema, sin descartar los cambios en los procedimientos, que busquen
agilizar las operaciones; surge entonces la necesidad de elaborar y
desarrollar nuestro propio proyecto de sistemas. En primer lugar se
parte de varios tipos de necesidades:

Requerimientos de informacin para los usuarios que constituyen un


nuevo sistema de informacin.

Necesidad de resolver un problema a travs de una solucin


sistematizada si es factible.

Necesidad de un cambio en el sistema de informacin actual.

Implementacin de un cambio de programas o de equipo por efectos


de introduccin de nuevas tecnologas.

Una vez concebida la anterior situacin, hay que definirla claramente y


concretarla para poder canalizar ms fcilmente las posibles soluciones.
Se pasa posteriormente a realizar los estudios de factibilidad tcnica,
econmica y operacional.
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

37

Factibilidad Tcnica
Se cuenta con la tecnologa para hacer lo que se propone, el equipo
propuesto tiene la capacidad tcnica para manejar el nuevo sistema o el
cambio, hay garanta tcnica para lograr exactitud, facilidad de acceso,
controles, seguridades, el sistema propuesto provee respuesta adecuada
para consulta sin importar nmero de sitios o de usuarios.
Factibilidad Econmica
Costos del desarrollo, costos de equipos y programas, costos de no
cambiar nada, beneficios en reduccin de costos.
Factibilidad Operacional
Hay suficiente soporte de la gerencia y de los usuarios, los
procedimientos actuales son aceptables para el buen usuario, los
usuarios han sido involucrados en la planificacin y desarrollo del
proyecto, el sistema propuesto puede causar prdida de controles,
dificultad en el acceso a la informacin, disminucin en el rendimiento
de los empleados, va a afectar al cliente de una forma no deseada, va el
sistema a trabajar cuando se desarrolle e instale, va a cumplir con los
procedimientos operacionales de la organizacin. Finalmente, si el
proyecto cumple con estos tres requisitos, es factible realizarlo.
En cuanto a la planificacin, en el departamento de sistemas deben
elaborarse planes a corto, mediano y largo plazo, que sean compatibles
con los planes maestros de la organizacin. Deben adems conformarse
los comits de sistemas donde participen el cuerpo directivo de la
empresa, el personal de sistemas y los usuarios.
El auditor de sistemas dialogar con los integrantes de dicho comit
para identificar y discutir estrategias de acuerdo con los objetivos del
departamento de sistemas y de la organizacin en general. Entrevistar
a los usuarios para concretar si las estrategias se cumplen, en fin,
determinar cuan eficiente y efectivo es dicho plan.
En cuanto a la metodologa para desarrollar proyectos de sistemas debe
estar escrita y contar con parmetros establecidos para estructurar y
controlar el proceso de desarrollo de los sistemas de informacin en la
empresa.
El auditor de sistemas estar en capacidad de evaluar si cada fase de la
metodologa establecida tiene un producto final cuantificable antes de
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

38

seguir a la fase siguiente. Analizar si la metodologa incluye un


mecanismo de control de cambios en los requerimientos, si es familiar
para todos, si es flexible, si incluye estndares de documentacin, si
valora la adecuacin de la metodologa a los cambios de la tecnologa,
las razones o justificaciones del proyecto, el control interno y la
seguridad que deber satisfacer, el ambiente del proyecto, alcance,
restricciones, beneficios, patrocinadores, necesidades de informacin,
ventajas y desventajas de cada alternativa de solucin.
En la factibilidad tcnica el auditor evaluara las necesidades de equipos,
programas,
equipos
y
programas
para
comunicaciones,
su
disponibilidad, aprovechamiento y los requisitos legales relacionados con
la transferencia nacional e internacional de tecnologa de datos.
En la factibilidad operacional, los ajustes del nuevo proyecto al ambiente
de programas, equipos y comunicaciones de la organizacin. En la
factibilidad econmica, el anlisis de costos y beneficios de cada
alternativa de acuerdo con los requerimientos de informacin que tiene
que satisfacer el proyecto y el impacto en la seguridad, confidencialidad
y requerimientos de control interno de todo el proyecto. Verificar
adems que en el anlisis de alguna manera se incluyan los beneficios
no cuantificables.
Finalmente deber participar junto con los administradores, los
funcionarios responsables de la seguridad, los ingenieros de sistemas,
los usuarios de sistemas y los programadores en el anlisis de riesgos.
Deber contar con una lista de las necesidades de control interno,
vulnerabilidad de la seguridad y protecciones factibles para reducirlas o
eliminarlas.
2.3.2 Diseo de Sistemas de Informacin
En general, la metodologa para desarrollar los proyectos de sistemas
debe garantizar que durante la etapa de diseo se incorporen
adecuadamente todas las especificaciones necesarias y se tenga
presente que ocurrira cuando algo se modifique o cambie. Bsicamente
debe tener en cuenta el desarrollo de la estructura de los siguientes
elementos y procedimientos:

Entradas
Salidas
Archivos

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

39

Requerimientos fsicos y lgicos de los procesos

Deber por consiguiente especificar:

Documentos fuente
Mecanismos de control
Seguridades importantes
Pistas de auditoria

Siguiendo un orden didctico que permita la mejor comprensin del


tema, partiendo de lo general y global hasta llegar a lo particular y
especfico, es recomendable la elaboracin de la Tabla Visual del
Contenido del proyecto, que permite localizar y empezar a aterrizar las
especificaciones de la etapa de diseo.
Es importante no descuidar el hecho de que los productos finales
cumplan con las especificaciones requeridas.

Estructuracin de entradas:

Edicin y validacin de requerimientos.


Seguridad y medidas de proteccin a los datos.
Definicin de tipos de transacciones y reglas de autorizacin.
Procedimiento de establecimiento de totales de control.
Definiciones y contenidos de los documentos de entrada aprobados
por el usuario.

Estructuracin de salidas:

Contenido y formato del informe


Autorizacin de usuarios para recepcionar informes
Perodos de retencin para archivos
Garanta de que los informes son completos, exactos y con datos
reales

Estructura de los archivos: la definicin de los archivos cubre la parte


fsica, lgica, la relacin de las estructuras de datos, las dependencias

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

40

de los datos, los requerimientos de almacenamiento de los datos y la


proteccin para garantizar la privacidad.
Participacin del administrador de la base de datos en el
establecimiento escrito de formatos de archivo, definicin de
contenidos y perodos de retencin de los archivos, participacin de
los departamentos usuarios en la aprobacin de la informacin
anterior.

Requerimientos fsicos y lgicos de los procesos:

Definicin de requerimientos de los procesos para garantizar


exactitud, validacin, duracin y flexibilidad en cada paso.
Determinar si los usuarios finales han aprobado los pasos de los
procesos.

Especificaciones de los programas:

Deben ser claras, consistentes y completas.


Revisar la razonabilidad de la lgica del programa a travs de la
navegacin por el flujo de datos para valorar lo relevante y el anlisis
de las tablas de decisin.
Preparacin de los datos.
Los diseos han sido aprobados por la administracin de los
departamentos usuarios.
Los documentos constan de
prenumeracin, autorizacin de
diligenciamiento del documento y
mensajes de error en la pantalla
errores y bloqueo.

espacios exactos de anotacin,


la transaccin independiente del
de la captura. Al digitarlos emiten
para promover exactitud y reducir

2.3.3 Diseo de Controles y Seguridades


Mecanismos que garanticen la integridad de los datos copiados y
procesados, y protecciones a los recursos de los sistemas:

Diseo de controles adecuados en los puntos crticos al interior del


sistema.

Anlisis del costo - beneficio de los controles.


UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

41

Diferencia entre control preventivo y detectivo.

Si el control correctivo se llevo a cabo, cundo y dnde fue apropiado.

Controles que reduzcan o eliminen riesgos asociados con la operacin


del sistema.

Especificaciones de los controles ntegros y acceso con el suficiente


detalle para facilitar la prueba.

2.3.4 Diseo de Pistas de Auditoria


Pista de auditoria es el camino de los datos, programas, procesos o
utilitarios desde su origen hasta los resultados finales. El auditor de
sistemas conocer las polticas administrativas de control de la empresa
y con base en ellas revisar todo tipo de archivo de log. Igualmente
fijar pautas para establecer suficiente grado de confidencialidad sobre
estos archivos para asegurar la integridad y lo adecuado de las pistas
incluidas en las especificaciones del diseo manteniendo un logs que
contenga:

Diagnstico de cada problema y un mtodo de aislar la persona del


componente del software, y del recurso fsico que causa el mal
funcionamiento.

Desarrollar reportes estadsticos de esos logs e iniciar acciones


apropiadas correctivas.

Determinar si cada cargue inicial del sistema queda registrado en el


archivo de logs.

Mantener logs de las terminales.

Determinar si una violacin a la proteccin de la seguridad causa


instantneamente un aborto del trabajo o transaccin y qu mensaje
aparece en la consola.

Registro en el log de la falla elctrica.

Revisin del log del sistema para analizar los tiempos de reproceso
causados por mal funcionamiento y los accesos ilegales u otras
violaciones.

Existen unos archivos denominados log donde de manera particular


quedan registrados todos los accesos que los diferentes usuarios de los
sistemas de informacin hacen a los equipos de computacin y por

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

42

supuesto a los programas de todo tipo, operacional, de comunicaciones,


de bases de datos, aplicativos.
En estos logs se registran las actividades de las operaciones desde el
momento de entrada inicial, correccin de inconsistencias hasta las
operaciones de consola, donde quedan registradas todas las actividades
que se realizan en el centro de cmputo. En las comunicaciones, las
entradas desde las terminales, la transmisin y recepcin de los
mensajes; y en las bases de datos, las entradas iniciales de registros, las
ejecuciones de las aplicaciones, las modificaciones a los datos, los
procesos de reinicio y recuperacin y el uso de utilitarios.
Los archivos de Log constituyen una evidencia magntica respecto a las
actividades computacionales realizadas por los usuarios del centro de
cmputo.
Cuando nos asignen un password o una clave secreta utilicmoslo con
responsabilidad, evitemos que personas amigas o compaeros de
trabajo conozcan nuestra clave.

Log del sistema: todas las transacciones y mensajes que ingresen al


sistema aplicativo se conservan en archivos independientes. Estos
archivos identifican de cada transaccin, la fecha, la hora,
identificacin del terminal de origen, el cdigo de seguridad del
departamento usuario, el password individual, el archivo utilizado, la
actividad desarrollada.

Log de secuencia:
normalmente el usuario identifica las
transacciones mediante un nmero de secuencia y tambin mantiene
un Log interno de los nmeros de secuencia que sirve para
asegurarse de que los datos estn completos y sirven como pista de
auditoria.

Log de errores: son un elemento valioso como pista de auditoria y


como instrumento para monitorear los errores en el proceso de
correccin y de realimentacin al sistema

Log de operaciones no programadas: todas las intervenciones del


operador que no estn programadas debern quedar registradas y
contener el tipo de transaccin, la fecha, la hora y la accin tomada.

Log de la consola del operador: es oportuno examinar la copia del


log de la consola para determinar el nmero de interrupciones del

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

43

operador del computador durante la ejecucin de los procesos y


programas.

Log de los registros de problemas de software: debe existir un log


donde se registren los problemas del software que contenga el
diagnstico de cada problema y que de alguna forma se pueda aislar
el componente del software o el dispositivo que lo gener de la
persona. Deben desarrollarse reportes estadsticos de los logs para
poder analizar las tendencias especiales e iniciar las acciones
correctivas.

Log de control del sistema de comunicacin: permite revisar


peridicamente los comandos de la terminal del supervisor de la red.
Entre los comandos examinados deben incluirse los utilizados para
habilitar o inhabilitar lneas y/o terminales.

Log de espera para los mensajes: todos los mensajes que esperan
transmisin se colocan en un log de espera antes de ser incluidos en
la cola de transmisin, a medida que se transmiten y se reciben los
mensajes, el terminal receptor responde que el mensaje se ha
recibido correctamente.

Log de mensajes de entrada y salida: en un dispositivo de registro


magntico se lleva un log de todos los mensajes de entrada y de
salida para facilitar la recuperacin o reinicio del sistema y el rastreo
de los mensajes.

Log de la terminal: para efecto del registro debern asignarse cdigos


para la identificacin de terminales, de manera que sean transmitidos
desde las terminales al computador central para ser verificadas y que
las terminales puedan funcionar en el sistema de red.
Log de la base de datos: el administrador de la base de datos debe
ser el responsable del desarrollo y supervisin de las estadsticas y
otros reportes tales como los logs del sistema y otros dispositivos o
medios de salida con respecto al acceso inicial a los registros
permanentes, modificacin a la base de datos, ejecucin de los
programas de la base de datos, modificacin de los registros del
sistema, de los procedimientos de reinicio y reconstruccin, tablas de
seguridad, y otras estadsticas provistas por el sistema administrativo
de la base de datos, as como los utilitarios.

2.3.5 Desarrollo e Implantacin del Sistema

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

44

La documentacin de los proyectos se maneja a travs de los manuales


del usuario, de programas, de sistemas, de operaciones y
administrativos.

Manuales del usuario: para explicarle claramente y en palabras


comunes como manejar la aplicacin y los datos.

Manuales del programa: contenido de documentos fuente, diseo de


archivos, informes, diagramas de lgica, datos de prueba, listados de
compilacin.

Manuales de operacin: procedimientos de ejecucin definidos para


realizar las operaciones de produccin por parte de los operadores.

Manuales tcnicos:
para determinar porque fallas tcnicas no
funcionan los programas.

Manuales administrativos:
para identificar la secuencia de los
procedimientos administrativos y el personal responsable.

Existencia de estndares para probar los programas.

Ejecucin en paralelo.

2.3.6 Operacin y Mantenimiento del Sistema


Debe existir la documentacin suficiente y actualizada sobre el manejo
de las operaciones del sistema para agilizar la produccin de la
informacin, controlar y evitar que se aprovechen las circunstancias de
falta de procedimientos de control para cometer fraudes.
Debe hacerse un anlisis de los costos de produccin para determinar si
su monto estaba dentro de los lmites previstos.
En cuanto al mantenimiento, es decir, al cambio de un programa por
necesidades de informacin del usuario o cualquier otra causa,
reglamentacin legal, contable, innovadora, es importante fijar
procedimientos de control claro y con anterioridad al cambio pues dicho
momento es susceptible de incluir rutinas no autorizadas en los
programas con intenciones de cometer fraude.
2.3.7 Post-implantacin de un nuevo sistema de informacin
Despus de la implantacin de un nuevo sistema, debe verificarse si
est satisfaciendo las necesidades del usuario fijadas en los
requerimientos de informacin aprobados inicialmente. Igualmente una

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

45

revisin del cumplimiento de los objetivos fijados para dicho sistema de


informacin y de la calidad de la informacin.
Finalmente es til efectuar una confrontacin entre los costos y los
beneficios estimados y los costos y beneficios reales para determinar si
los desfases son razonables y estn dentro de los lmites de tolerancia
establecidos.
2.4 REVISIN DE TCNICAS DE FRAUDE INFORMTICO
Las tcnicas de fraude o delitos informticos se pueden explicar como
las acciones u omisiones que las personas realizan para afectar a las
personas y organizaciones o producen beneficios no justificados. Estos
delitos son contra la intimidad, el patrimonio, la informacin y la
falsedad de documentos.
2.4.1 Manipulacin de Transacciones
La manipulacin de transacciones ha sido el mtodo ms utilizado para
cometer fraudes, en ambientes computarizados. El mecanismo para
concretar este tipo de fraude sistmico o informtico, consiste en
cambiar los datos antes o durante la entrada al computador. Puede ser
ejecutado por cualquier persona que tenga acceso a crear, registrar,
transponer, codificar, examinar, comprobar o convertir los datos que
entran al computador. Por ejemplo, alterar los documentos fuente y
modificar el contenido en alto relieve de las tarjetas de crdito entre
otros.
2.4.2 Tcnica de Salami
La tcnica de Salami consiste en sustraer pequeas cantidades
(tajadas) de un gran nmero de registros contables, mediante la
activacin de rutinas incluidas en los programas aplicativos corrientes.
La empresa es duea del salami (archivo de datos) de donde el intruso
toma pequeas sumas para llevarlos a cuentas especiales conocidas
solamente por el perpetrador del fraude. Aqu, normalmente, los totales
de control no se alteran y en consecuencia, se dificulta descubrir el
fraude y a quin lo comete.
La tcnica de Salami es muy comn en los programas que calculan
intereses, porque es all en donde se facilita la sustraccin de residuos
que generalmente nadie detecta, configurndose cmodamente el
fraude.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

46

2.4.3 Tcnica del Caballo de Troya


La tcnica del Caballo de Troya consiste en insertar instrucciones, con
objetivos de fraude, en los programas aplicativos de contabilidad,
tesorera, etc. de manera que, adems de las funciones propias del
programa, tambin ejecute funciones no autorizadas.
Las instrucciones fraudulentas se esconden dentro de las dems
obteniendo acceso libre a los archivos de datos, normalmente usados
por el programa. Esta tcnica de fraude es muy comn debido a la
facilidad que se presenta para ocultar instrucciones fraudulentas dentro
de cientos de instrucciones que generalmente componen los programas
aplicativos. Sin embargo, no siempre la tcnica del caballo de Troya se
configura en programas de aplicacin, tambin, se acostumbra en
sistemas operacionales y en programas utilitarios.
Para efectos de incluir la instruccin en un programa legtimo, el
programador aprovecha la autorizacin para hacer cambios corrientes a
los programas y en ese momento incluye las instrucciones fraudulentas,
evidentemente no autorizadas. A esto se debe que la tcnica haya
adoptado el nombre de caballo de Troya.
2.4.4 Bomba Lgica
Las bombas lgicas son una tcnica de fraude, en ambientes
computarizados, que consiste en disear e instalar instrucciones
fraudulentas en el software autorizado, para ser activadas cuando se
cumpla una condicin o estado especfico. Esta tcnica de fraude
informtico es difcil de descubrir, porque mientras no sea satisfecho la
condicin o estado especfico, el programa funciona normalmente
procesando los datos autorizados sin arrojar sospecha de ninguna clase.
Cuando la condicin de fraude se cumple, entonces automticamente,
se ejecuta la rutina no autorizada producindose de esta manera el
fraude. Entre las condiciones ms frecuentes, para la prctica de este
tipo de fraudes tenemos, abonar un crdito o dbito no autorizado a una
cuenta cuando el reloj del computador alcance determinado da y hora,
hacer un traslado de fondos cuando el computador encuentre una
determinada condicin como por ejemplo una fecha.
Esta tcnica de fraude se diferencia de la del caballo de Troya,
bsicamente en que la instruccin o instrucciones fraudulentas se
incluyen en el programa, cuando se est generando originalmente el
sistema. En cambio, en el caballo de Troya, se incluyen las instrucciones
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

47

fraudulentas cuando es autorizada una modificacin al programa. Esto


es, que se ejecutan las modificaciones autorizadas se aprovecha la
oportunidad para agregar instrucciones fraudulentas.
2.4.5 Juego de la Pizza
El juego de la pizza es un mtodo relativamente fcil para lograr el
acceso no autorizado a los Centros de PED, as estn adecuadamente
controlados. Consiste en que un individuo se hace pasar por la persona
que entrega la pizza y en esa forma se garantiza la entrada a las
instalaciones de PED durante y despus de las horas de trabajo.
2.4.6 Ingeniera Social
Esta tcnica consiste en planear la forma, de abordar a quienes pueden
proporcionar informacin valiosa o facilitar de alguna manera la
comisin de hechos ilcitos.
Se recurre luego, a argumentos
conmovedores y/o sobornar a las personas para alcanzar los objetivos
deseados.
Esta tcnica combina artsticamente las caractersticas del petulante y
del jactancioso para conseguir el hecho fraudulento.
Adems,
normalmente, usan un estilo de actuacin importante, vestido elegante,
amenazas sutiles y porciones aisladas de informacin clave de la
organizacin para influir en otra persona.
2.4.7 Trampas- Puerta
Las trampas puerta son deficiencia del sistema operacional, desde las
etapas de diseo original (agujeros del sistema operacional). Los
expertos programadores del sistema pueden aprovechar las debilidades
del sistema operacional para insertar instrucciones no autorizadas, en
dicho sistema, con el objeto de configurar fraudes informticos. Las
salidas del sistema operacional permiten el control a programas escritos,
por el usuario, lo cual facilita la operacionalizacin de fraudes, en
numerosas opciones.
2.4.8 Superzaping
El superzaping deriva su nombre de superzap, un programa utilitario de
IBM de un alto riesgo por sus capacidades. Permite entrar al sistema,
adicionar, modificar y/o eliminar registros de archivos, datos de registros
o agregar caracteres dentro de un archivo maestro y salir sin dejar rastro

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

48

y sin modificar ni corregir los programas normalmente usados para


controlar los archivos.
Este programa permite consultar los datos para efectos de conocimiento
o para alterarlos omitiendo todos los controles y seguridades en
actividad establecidas.
Hay otro programa similar al superzap, en el sistemas 34 de IBM,
denominado DFU. Todos los sistemas de computacin tienen programas
de alto riesgo como el superzap, los cuales funcionan como especies de
llaves maestras o programas de acceso universal.
2.4.9 Evasiva Astuta
Esta tcnica consiste en un mtodo inventado como consecuencia de la
aparicin de los compiladores. Se trata de que los programadores de
sistemas se inventaron la forma de comunicarse con la computadora a
travs de lenguaje de mquina.
Esta tcnica tambin se conoce con el nombre de parches. Es un
mtodo limpio para entrar en la computadora, cambiar las cosas, hacer
que algo suceda y hasta cambiarlas para que vuelvan a su forma
original, sin dejar rastro para auditoria.
En la media en que se fue sofisticando la tecnologa de sta metodologa
de fraude, se le llam DEBE: Does Everything But Eat (una rutina que
hace todas las cosas menos comer). Es usada por los fanticos de los
bits, quienes literalmente desean hablar con las computadoras.
2.4.10 Recoleccin de Basura
La recoleccin de basura es una tcnica para obtener informacin
abandonada o alrededor del sistema de computacin, despus de la
ejecucin de un trabajo.
Consiste en buscar copias de listados producidos por el computador y/ o
papel carbn para de all extraer informacin, en trminos de
programas, datos password y reportes especiales bsicamente.
2.4.11 Ir a Cuestas para Obtener Acceso no Autorizado
Se trata de una tcnica de fraude informtico para lograr el acceso no
autorizado a los recursos del sistema entrando detrs o a cuestas de
alguien influyente (piggyback) o por imitacin.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

49

El piggybacking fsico consiste en seguir a un usuario autorizado, dentro


de un rea de acceso controlada, protegida por puertas cerradas
electrnicamente. El piggybacking electrnico consiste en usar una
terminal que esta ya activada o usar una terminal secreta conectada a
una lnea activada para accesar la informacin del sistema,
comprometiendo el rgimen de seguridad. La imitacin, sea fsica o
electrnica implica la obtencin de password, cdigos secretos y la
suplantacin de personas autorizadas para entrar al rea de
computacin.
2.4.12 Puertas Elevadizas
Esta tcnica consiste en la autorizacin de datos, sin la debida
autorizacin, mediante rutinas involucradas en el programa o en los
dispositivos de hardware.
Mtodos sofisticados de escape de datos pueden ser ejercidos en
ambientes de alta seguridad y alto riesgo. Por ejemplo, la informacin
robada es decodificada de modo que personal del centro de PED, no
puede descubrir que esta pasando.
Dicha informacin puede ser reportada por medio de radios transmisores
en miniatura (BUGS) colocados secretamente en la CPU de muchos
computadores como sucedi en la guerra de Vietnam. Estos BUGS
fueron capaces de transmitir el contenido de los computadores a
receptores remotos, concretndose de esta manera el escape de datos a
travs del concepto de puertas elevadizas.
El personal del PED puede construir puertas elevadizas en los programas
o en los dispositivos de hardware para facilitar la salida de datos y la
entrada de los mismos sin ser detectados. Los realizadores del fraude
no necesariamente deben estar presentes en el momento de la
ejecucin del mismo.
2.4.13 Tcnica de Taladro
Esta tcnica consiste en utilizar una computadora para llamar o buscar
la manera de entrar al sistema con diferentes cdigos hasta cuando uno
de ellos resulte aceptado y permita el acceso a los archivos deseados.
Mediante el sistema de ensayo permanente se descubren las
contraseas del sistema para entrar a los archivos y extraer informacin
en forma fraudulenta.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

50

2.4.14 Intercepcin de Lneas de Comunicacin


Esta tcnica de fraude informtico consiste en establecer una
comunicacin secreta telefnica o telegrfica para interceptar mensajes.
Normalmente, las conexiones activas o pasivas se instalan en los
circuitos de comunicacin de datos, entre terminales y concentradores,
terminales y computadores.
De otra parte, la intercepcin de
comunicaciones por micro - ondas y va satlite es tambin
tcnicamente posible.
El computador afectar todos los negocios poderosamente y por lo
tanto, todos los contables deben familiarizarse con l. Los contables de
pequeos negocios deben conocer ms acerca del computador que los
contables de grandes negocios, dado que ellos no tienen un staff de
procesamiento de datos separados. El impacto del computador sobre la
contabilidad y la auditoria comenz duramente y su uso ser un
porcentaje muy significativo a finales de la dcada de los noventa.
El computador tiene el potencial para liberarlos de la tarea pesada y
aburrida, expandir horizontes, liberar el espritu creativo y expandir
nuestra capacidad productiva. Debemos aprovechar esta oportunidad.
2.4.15 Los Virus
Los virus son programas ilcitos de computador o cdigos dainos que
atacan o "infectan" a otros programas y sistemas. Una vez que un
programa ha sido infectado, este podra ser instruido para realizar
funciones no autorizadas antes de extenderse a otros sistemas. La
interaccin entre usuarios, fsicamente o sobre una red, podra extender
el cdigo malicioso. Los sntomas de un ataque de virus incluyen los
siguientes:

Reduccin significante de la funcin del sistema

Prdidas o cambios inexplicables de los datos

Conteo de datos fuera de balance

Aparicin de grficas o mensajes no familiares

Cambio de los tamaos y fechas de archivos

Activacin de dispositivos que no son requeridos por el programa

Los virus podran ser introducidos de las siguientes maneras:


UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

51

Cargue de software del dominio pblico y juegos de tableros


electrnicos o por va de grupos compartidos es una actividad
popular entre usuarios de PC. Los usuarios podran copiar o cargar
software de tableros electrnicos, porque es ms fcil que obtener
aprobacin para comprar una copia. Hay riesgo de que estas copias
puedan estar contaminadas con un virus u otros programas
destructivos ocultos.

Un programa en un medio sin proteccin podra ser infectado cuando


el medio es usado en un sistema infectado.

Los usuarios podran sin saberlo contaminar numerosos sistemas


compartiendo o transmitiendo un programa o archivo infectado a
travs de las facilidades de red que podran extenderse a fronteras
internacionales.

Si hay inadecuados planes de copias, recuperacin y contingencia,


los usuarios podran no ser capaces de recuperar los datos y
programas si es descubierto un virus que ha daado sus datos y
programas.
El rango de amenazas presentadas por los virus de computadores
estn limitadas solamente por la imaginacin del autor del virus.
Algunos de los ms serios riesgos para la organizacin son los
siguientes:

La destruccin o modificacin de datos: la restauracin de los datos


y programas perdidos o destruidos es una tarea formidable sin
adecuados planes de copia y recuperacin.

Interrupcin de operaciones: un ataque de virus de cualquier tipo


podra interrumpir las operaciones del negocio. El administrador
podra tener que restablecer confidencias de clientes o accionistas en
la organizacin. El personal tcnico podra tener que ser apartado de
la rutina de trabajo para diagnosticar y remover el virus, restaurar los
datos y programas destruidos o corruptos, e implementar medidas
preventivas contra futuros ataques.

Violacin de la confiabilidad o fraude: un virus podra copiar datos


valiosos tales como archivos de clientes, a una localizacin remota o
fondos dispersos sistemticamente en vez de destruir los archivos de
datos.

Impacto en informes financieros: la confianza del administrador en


datos corruptos para la toma de decisiones comerciales, podra tener
serias consecuencias.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

52

Desconcierto: la organizacin podra ser renuente en reportar un


ataque de virus por miedo de publicidad adversa. Las noticias del
ataque podran afectar la confidencia de accionistas o clientes en el
manejo de la organizacin.

Proceso de Comprensin y Anlisis

Cual es la metodologa para el diseo de un sistema de informacin?

Que es una pista de auditoria?

Cuales son los pasos para la implantacin de un sistema de


auditora?

Que es un fraude informtico?

Que es la teora de salami?

De que trata la teora del caballo de Troya?

De que trata la teora de la bomba lgica?

De que trata la teora del juego de la pizza?

En que consiste la ingeniera social?

Que es un Virus?

Solucin de Problemas

En equipos de trabajo simular e identificar los fraudes y controles a


aplicar
en
el
departamento
de
sistemas,
y
cuantificar
monetariamente el costo de los controles aplicados en la evaluacin
jerrquica de los mismos.

Sntesis Creativa y Argumentativa

Elaborar una sntesis que contenga los posibles fraudes que se


presenten y controles a aplicar en un departamento de sistemas e
identifique su consecuencia y su valoracin de acuerdo a su grado
complejidad y gravedad.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

53

Autoevaluacin

Enunciar y explicar brevemente los tipos de fraudes que se pueden


presentar en un departamento de sistemas.

Enunciar y explicar brevemente los diferentes tipos de controles


informticos.

Cmo identificara usted un riesgo en un departamento de sistemas?

Cmo valorara usted un control?

Repaso Significativo

Disear un mapa conceptual que contenga definicin, objetivos,


alcance y etapas de la planificacin de la auditoria de sistemas,
incluyendo el concepto de evidencia y los medios utilizados para su
determinacin.

Elaborar un glosario que contenga los trminos que considere ms


importantes dentro de esta unidad.

Bibliografa Sugerida
Leitch, R.A.; Davis, K.R.
Hall. EE.UU. 1995.

Accounting and Information Systems, Prantice

Lpez, A. El cuadro de mando y los sistemas de informacin para la


gestin empresarial, aeca. Madrid. 1998.
Moeller, R. Computer Audit, Control and Security, Wyley & Sons Inc. New
York. 1989.
Page, J.; Hooper, P. Accounting and Information Systems, Prantice Hall.
EE.UU. 1996.
Piattini, M.; del Peso, E. Auditoria Informtica un enfoque practico, RAMA, Espaa. 1998.
Snchez Toms, A. Sistemas Expertos en Contabilidad, Tcnica Contable,
n 514. 1991.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

54

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Costos Bsicos

55

UNIDAD 3: Identificacin y
Evaluacin de Riesgos Potenciales
Crticos y Definicin del Alcance de
la Auditoria
Descripcin Temtica
Para aplicar un enfoque de auditoria orientada al riesgo es necesario
determinar cules son los riesgos crticos a los que estn expuestos los
servicios o negocios que se soportan en el Sistema de Informacin o
Proyecto que se est auditando.
Se debe valorar o estimar los riesgos inherentes a las operaciones de
negocios y servicios de la empresa, significa medir la exposicin de esta
a los riesgos potenciales que podran presentarse de acuerdo con las
caractersticas del entorno en el que se desarrolla.
El nivel de criticidad (impacto) de los riesgos puede ser: A Alto, M
Medio, B Bajo. En la actualidad se utilizan metodologas como el
Mtodo Delphy y el Mtodo de Cuestionarios.

Horizontes

Valorar o estimar los riesgos inherentes informaticos


operaciones de negocios y servicios de la empresa.

las

Identifiacar y evaluar los riesgos potenciales


operaciones de negocios y servicios de la empresa.

las

Aplicar un enfoque de auditoria orientada al riesgo informatico.

Determinar los niveles de responsabilidad y definir que auditores de


sistemas se desempearan en cada nivel.

Estimar el tiempo requerido para la auditoria de sistemas y el tiempo


que cada auditor asignado estara trabajando en ella.

criticos

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

56

Ncleos Temticos y Problemticos

Riesgos.

Causas de Riesgos

Matriz de Riesgos vs.


Riesgos.

Matriz de Riesgos vs. Dependencias (reas) con la Ubicacin de las


Causas de Riesgos.

Matriz de Procesos vs. Dependencias con la Ubicacin de las Causas


de Riesgos.

Procesos con la Ubicacin de las Causas de

Proceso de Informacin
3.1

RIESGOS

3.1.1 Fraude / Robo


Apropiacin indebida por parte de un funcionario o de terceros de los
activos de la empresa o de dineros. Estas se generan por la alteracin
de la informacin (documentos fuentes, antes de ingresar los datos al
sistema, cambios no autorizados a archivos o programas, etc.) que
representan operaciones de los negocios o servicios de la Organizacin.
Este riesgo se produce como consecuencia de Causas Malintencionadas.
3.1.2 Prdida de Negocios y Credibilidad Pblica
Se producen prdidas de dinero cuando los empleados en forma
intencional provocan fallas, interrupcin de los servicios, para vengarse
de la Organizacin o presionar el otorgamiento de beneficios laborales
(Sabotaje), o cuando la Entidad no cumple con los compromisos
pactados con El Cliente.
Se produce en forma accidental o
malintencionada.
3.1.3 Sanciones Legales
Se genera por no cumplir disposiciones gubernamentales (Circulares
Reglamentarias, por ejemplo) o por no entregar informacin exacta y
oportuna exigida por normas legales. Se produce en forma Accidental o
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

57

Malintencionada.

3.1.4 Decisiones Errneas


Se toman a causa de la no disponibilidad del sistema o de inexactitudes
en la informacin que este genera. Se produce en forma accidental.
3.1.5 Dao y Destruccin de Activos
Prdidas de dinero ocasionadas por desastres naturales (terremotos,
inundaciones, etc.) o provocadas por el hombre sin premeditacin
(errores y omisiones) o con premeditacin (actos terroristas, disturbios
civiles, etc.), los cuales producen daos o la destruccin de los recursos.
Este riesgo se produce como consecuencia de causas accidentales o
alintencionadas.
3.1.5 Desventaja Competitiva
Se genera por ofrecer servicios de inferior calidad que los competidores.
Puede ser causado por demoras en el Procesamiento Electrnico de
Datos. Puede ocurrir por Causas Accidentales o Mal Intencionadas.
3.2. CAUSAS DE RIESGOS

Alteracin del estado de la solicitud de rechazada (REC) a aprobada


(APR).

Creacin de crditos o cuentas cuyo estado de solicitud sea diferente


a aprobado.

Creacin de crditos o cuentas excediendo atribuciones.

Ingreso de cupos al sistema por personal no autorizado.

Creacin de plan de pago diferente al autorizado.

Error en digitacin de datos.

Creacin de crditos o cupos por mayor valor al monto autorizado.

Crear crditos o cuentas sin constituir Garanta Admisible.

Reversin de un pago con la finalidad de aplicar cuota a otra


obligacin.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

58

3.3. MATRIZ DE RIESGOS VS. PROCESOS CON LA UBICACIN DE


LAS CAUSAS DE RIESGOS
PROCESOS
Aprobacin de Crditos Administracin
Crdito
CR001
CR001
CR006

del

Fraude / Robo
Perdida de Dinero
Sanciones Legales
Decisiones errneas
Dao y destruccin de
G
activos
O Desventaja Competitiva
S Perdida del Negocio
CAUSA RIESGO:
CR001. Alteracin de Estado de la Solicitud de Rechazada (REC) a
Aprobada (APR).
CR002. Creacin de Crditos o Cuentas cuyo estado de solicitud sea
diferente a Aprobado.
CR006. Error en digitacin de datos
R
I
E
S

3.4. MATRIZ DE RIESGOS VS. DEPENDENCIAS (REAS) CON LA


UBICACIN DE LAS CAUSAS DE RIESGOS.
Oficinas
CR001
CR006

DEPENDENCIAS
Divisin de Crdito
CR001

Fraude / Robo
Perdida de Dinero
Sanciones Legales
Decisiones errneas
Dao y destruccin de
G
activos
O Desventaja Competitiva
S Perdida del Negocio
CAUSA RIESGO:
CR001. Alteracin de Estado de la Solicitud de Rechazada
Aprobada (APR).
R
I
E
S

(REC) a

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

59

CR002. Creacin de Crditos o Cuentas cuyo estado de solicitud sea


diferente a Aprobado.
CR006. Error en digitacin de datos

3.5. MATRIZ DE PROCESOS VS.


DEPENDENCIAS
UBICACIN DE LAS CAUSAS DE RIESGOS.

CON

LA

DEPENDENCIAS
Divisin de Crdito
CR001

Oficinas
CR001
P Registro de Solicitudes
R Registro de Datos Bsicos
Creacin
del CR002
O
Crdito/Cuenta
C Desembolsos
CR006
E Liquidaciones
S Generacin de Informes
O Cobranza
S Actualizacin Parmetros
CAUSA RIESGO:
CR001. Alteracin de Estado de la Solicitud de Rechazada (REC) a
Aprobada (APR).
CR002. Creacin de Crditos o Cuentas cuyo estado de solicitud sea
diferente a Aprobado.
CR006. Error en digitacin de datos

Proceso de Comprensin y Anlisis

Definir que es identificacin y evaluacin de riesgos potenciales


crticos?

Describir cuales son los riesgos potenciales crticos?

Que significa alcance en la auditoria de sistemas

Como se evala un riesgo inherente?

Son propios de la auditoria de sistemas los riesgos inherentes,


justificar

Solucin de Problemas

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

60

Acudir a algunas entidades a su alcance en las cuales se haya


realizado auditorias de sistemas, evaluar y analizar los dictmenes
obtenidos.

Teniendo en cuenta los informes finales de auditorias de sistemas


obtenidos en el proceso anterior, identificar cada uno de los
elementos tratados en esta unidad y realizar una sntesis de lo
interpretado en los informes.

Sntesis Creativa y Argumentativa


Identificacin y Evaluacin de Riesgos Potenciales Crticos
La identificacion y evaluacin de riesgos potenciales criticos existen una
clase de argumentos que se deben tener en cuenta para no cometer
ningun riesgo en el momento de realizar una auditoria de sistemas,
dichos argumentos establecen los errores que al momento de realizar la
auditoria se llegan a cometer perjudicando a la empresa que se esta
auditando estos argumentos son:

Fraude / Robo
Prdida de Negocios y Credibilidad Pblica
Sanciones Legales
Decisiones errneas
Dao y dest Desventaja
Competitiva ruccin de activos

Estos argumentos tambien poseen unas causas:


Alteracin de Estado de la Solicitud de Rechazada (REC) a Aprobada
(APR).
Creacin de Crditos o Cuentas cuyo estado de solicitud sea diferente
a Aprobado.
Creacin de Crditos o Cuentas excediendo atribuciones.
Ingreso de Cupos al sistema por personal no autorizado.
Creacin de Plan de Pago diferente al autorizado.
Error en digitacin de datos.
Creacin de Crditos o Cupos por mayor valor al Monto Autorizado.
Crear Crditos o Cuentas sin Constituir Garanta Admisible.
Reversin de un pago con la finalidad de aplicar cuota a otra
obligacin.
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

61

Con base en lo explicado anteriormente dar su opinin al respecto.

Autoevaluacin

Enunciar los elementos bsicos que debe contener un informe de


auditoria de sistemas.

Explicar los objetivos, caractersticas y afirmaciones que contiene el


informe de auditoria de sistemas.

Explicar los diferentes tipos de opinin.

Explicar las circunstancias con efecto en la opinin del auditor,


apoyados por computador.

Repaso Significativo

Disear un diagrama que contenga la estructura bsica del informe


de auditoria de sistemas para cada tipo de opinin que puede ser
emitida por el auditor que realiza su trabajo apoyado por computador.

Bibliografa Sugerida
El consejo superior de informtica del ministerio de administraciones
pblicas de Espaa. MARGERIT, Metodologa de anlisis y gestin de
riesgos de los sistemas de informacin, MAP, Espaa.
Fernndez, F. Procedimientos de auditoria en los sistemas de EDI,
Revista Tcnica. Instituto de Auditores Censores Jurados de Cuentas de
Espaa. 1998.
Fitzgerald, J. Framework system imformation, Limusa, Mxico. 1990.
FORTUNA, J.M.; BUSTO, B. y SASTRE, J.M. Los Sistemas Expertos:
fundamentos y aplicaciones a la Contabilidad, Partida Doble n17. 1991.
GALN, L. Informtica y Auditoria para las Ciencias Empresariales,
Colombia. 1996.
IFAC.

Federacin Internacional de Contables, Gua Internacional de


UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

62

Formacin No. 11. (Tecnologa de la informacin en el curriculum de


Contabilidad). 1995.
IFAC. International Federation of Accountants Handbook. 1997.
Normas internacionales de auditoria. www.ifac.org.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

63

UNIDAD 4: Evaluacin del Sistema


de Control Interno Informtico
Descripcin Temtica
En esta etapa se identifican los controles establecidos por la
organizacin para cada proceso del Sistema de Informacin objeto de la
auditoria y se evala si son apropiados para mitigar los riesgos crticos
objeto de la auditoria.
Es importante que el auditor tenga en cuenta que la implantacin de un
control puede ser costosa y consume tiempo, por eso debe hacerse una
evaluacin realista con respecto a la probabilidad de que un riesgo
especifico afecte un activo.
Es importante evaluar la proteccin que ofrecen los controles existentes
para cada causa de riesgo y objetivo de control, utilizando como criterio.

Horizontes

Identificar los controles establecidos para el proceso del Sistema de


informacin de la auditoria.

Evaluar la proteccin que ofrecen los controles para las causas de


riesgo y objetivos de control.

Aplicar la auditoria de sistemas como instrumento de evalaucin del


departamento de sistemas

Evaluar el control interno dentro de parmetros eficiencia, eficacia y


efectividad

Ncleos Temticos y Problemticos

reas de Control.
Ejemplos de Controles.
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

64

Proceso de Informacin
4.1

REAS DE CONTROL (PROCESOS)

Al evaluar el Control Interno deben tenerse en cuenta las Areas de


Control de la aplicacin, estas son:
4.1.1 Origen y Preparacion de Datos
En este proceso se evalan los controles manuales y automatizados
establecidos en las fuentes de la informacin para garantizar la
veracidad y consistencia de los datos que se generan para ser
procesados por los programas de aplicacin.
Comprende las actividades que se realizan desde la generacin de
documentos fuente de operaciones / eventos hasta su recepcin en el
rea o cargo responsable de transcribir o registrar los datos en medio
legible para su proceso
(cintas, discos, diskettes, caracteres
magnticos, reconocimiento de caracteres pticos, imgenes, etc.).
Los responsables son las empresas o clientes que originan, generan,
reciben documentos fuente de operaciones que se constituyen en fuente
de datos (transacciones) para la aplicacin evaluada.
4.1.2 Entrada de Datos
Comprende las actividades manuales y/o automatizadas que se realizan
desde la recepcin de los documentos por el rea / cargo / proceso
responsable de la transcripcin o conversin a medio legible por el
computador, hasta su completa validacin o depuracin antes de iniciar
los procesos de actualizacin sobre los archivos.
Las posibles modalidades son: transcripcin independiente sin validacin
o validacin parcial; con proceso en batch de validacin y correccin
integradas; transcripcin, validacin y correccin integradas; y,
transcripcin, validacin, correccin y actualizacin en lnea.
4.1.3 Procesamiento y Actualizacion de Informacin
Comprende la evaluacin de los controles establecidos para garantizar
su exactitud, integridad y oportunidad del procesamiento de los datos.
Adems se verifica que los datos son creados, modificados o borrados
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

65

nicamente por los programas y procesos autorizados comprende las


actividades manuales y/o automatizadas, desde la finalizacin del
proceso de validacin y depuracin total del movimiento hasta la
produccin de resultados finales de actualizacin u otros procesos
complementarios, que reflejan el efecto de las transacciones sobre
movimientos en los archivos maestros de la aplicacin.
4.1.4 Salida de Datos
Es la evaluacin de los controles relacionados con la preparacin,
control, custodia y distribucin de los resultados que produce la
aplicacin en papel y medios magnticos.
Comprende todas las actividades desde la finalizacin del proceso de
actualizacin, la produccin de resultados de la aplicacin para los
usuarios finales, la identificacin, preparacin, envo / transmisin de
resultados (salidas), hasta su recepcin por las reas de origen u otros
usuarios.
4.1.5 Control de Acceso
En este Area de Control se evalan los procedimientos establecidos en la
aplicacin y el sistema operacional, para controlar el acceso a los
programas fuente y objetos de la aplicacin. Estos incluyen controles de
identificacin, niveles de autorizacin, autenticacin, encripcin de datos
crticos, segregacin de funciones, Confidencialidad de Claves de
Acceso, Pistas de Auditoria y monitoreo.
Los controles de acceso a la informacin constituyen uno de los
parmetros ms importantes a la hora de Administrar Seguridad. Con
ellos determinamos quin puede acceder a qu datos, indicando a cada
persona un tipo de acceso (perfil) especfico.
En el caso de Bases de Datos se evala la utilizacin y grado de
proteccin de los procedimientos de control de acceso lgico y otras
rutinas de seguridad ofrecidas por el Data Base Management System
(DBMS), para proteger la integridad de los datos y mitigar las amenazas
de modificacin, destruccin y divulgacin de la informacin contenida
en la Base de Datos.
En el caso de Redes de Comunicacin de Datos, se considera necesario
la inclusin de control de accesos a Directorios, Archivos, Registros
,control contra robo de datos, e introduccin de Software forneo con el
riesgo de incorporacin de virus a la Red que pueden traer
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

66

complicaciones graves.

4.1.6 Cambio al Software


Comprende la evaluacin de los procedimientos de Solicitud, anlisis,
diseo, ejecucin e instalacin de los cambios a los programas de la
aplicacin (mantenimiento del software).
4.1.7 Respaldos y Planes de Contingencia
Comprende la evaluacin de los procedimientos de respaldo, plizas de
seguro y planes de contingencia previstos para garantizar el
funcionamiento continuo de las operaciones sistematizadas en caso de
interrupcin de los servicios de cmputo ocasionados por errores, fallas
de Hardware y actos humano o de la naturaleza.
En la medida que el uso de los Sistemas de Informacin se expande y
ms personas dependen de su continuidad operativa.
Tanto ms
importante es contar con un adecuado Plan de Contingencia y
Recuperacin que facilite superar situaciones no deseadas.
Al evaluar si el plan de contingencias tiene un eficiente nivel de
cobertura ante situaciones de desastres, es conveniente tener en cuenta
una serie de pautas, como:

Se Identificaron en forma preliminar de factores de riesgos ante


situaciones de desastres?

S Planificacin adecuadamente las acciones a seguir?.

S Designaron los Responsables de la implementacin del Plan?

Est asegurado el correcto funcionamiento del Plan?

4.1.8 Terminales y Comunicacin de Datos


Comprende la evaluacin de los procedimientos de seguridad fsica y
ambiental sobre las estaciones de trabajo y terminales de computador,
as como la comunicacin de datos de entradas y salidas de la
aplicacin.
4.1.9 Documentacin

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

67

Trata del anlisis de la suficiencia, disponibilidad y calidad de la


documentacin tcnica, del usuario y del sistema.

4.1.10 Utilizacion y Control de Resultados y Satisfaccion del


Usuario
Comprende la evaluacin de los controles ejercidos por los propietarios
de los datos (usuarios primarios de la aplicacin) sobre los resultados
de procesamiento; tambin cubre el grado de satisfaccin del usuario
con el sistema de informacin.
4.1.11 Seguridad Fisica y Controles en las Instalaciones
Comprende los controles establecidos por los administradores de las
instalaciones de centro de cmputo para proteger los recursos
informticos (Hardware, Software, Datos, Personas e Instalaciones)
contra los riesgos causados por desastres naturales, accidentes, actos
malintencionados, infidelidad de los empleados, etc.
4.2

EJEMPLOS DE CONTROLES

Control de Acceso (manejo de perfiles de usuario, claves, etc).

Revisin peridica del Gerente de la Relacin de Clientes creados en


el sistema.

El sistema slo puede crear crditos a aquellas Solicitudes que


tengan Estado Aprobado (APR).

El Estado Aprobado slo puede ser registrado por el estamento


autorizado, dependiendo de sus atribuciones.

El Estamento Aprobador debe registrar el monto autorizado, el cual


ser validado por el sistema al momento de la creacin del crdito.

El sistema debe validar el valor mximo del cupo aprobado vs.


utilizaciones.

Rastro de Auditoria que se dispare automticamente para


determinados eventos (Ej: cuando se excedan atribuciones, o se
modifiquen datos crticos).

Validacin del nmero de la cuenta como dato obligatorio.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

68

Durante el transcurso de esta etapa se disea el mapa de controles,


el cual utiliza las siguientes matrices:

Matriz de Causas de Riesgo vs. Controles.


Matriz de Controles vs. Procesos.

Para facilitar el anlisis de dichas matrices es recomendable codificar los


controles teniendo en cuenta las reas de control:

Control de Acceso (CA):


CCA001: Asignacin nica de cdigos de usuarios en el sistema
CCA002:Definir caractersticas de los Passwords

Respaldos y Planes de Contingencia (RC):


CRC001: Obtener Backups Peridicos (Copias de Respaldo)

Matriz de Causas de Riesgo vs. Controles

C
O
N
T
R
O
L
E
S

CCA001
CCA002
CRC003
CVA004
CCS005
CTCC01
CTC007
CSFC02
CSU009

CR001
X
X

CR002

CR003

CAUSAS DE RIESGO
CR004 CR005
CR006

CR007
X

CR008

X
X
X
X
X
X
X

Matriz de Controles vs. Procesos


PROCESOS
Aprobacin de Crditos
C Control de Acceso (CA)
O Validaciones Automticas (VA)
N Revisiones Operativas (RO)

CR001
CR001-CR002-CR006

Administracin del
Crdito
CR001

CR006

CR001-CR002
T Rastros de Auditoria (RA)
Planes de Contingencia y Recuperacin CR003
R
de Desastres (RC)
Validaciones de Integridad de datos y
O
auditabilidad de la BD (IN)

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

69

Controles especiales para Redes de CR001


Datos: Control de Acceso, control contra
L robo de datos y Software & Hardware
especializado para Redes
(firewalls,
encripcin, monitoreos, etc.) (TC)
Controles especiales para Internet: CR001
Autenticacin, autorizacin, integridad
y privacidad de datos, y software &
hardware especializado (firewalls, etc.)
(IT)
CAUSA RIESGO:
CR001. Alteracin de Estado de la Solicitud de Rechazada (REC) a Aprobada (APR).
CR002. Creacin de Crditos o Cuentas cuyo estado de solicitud sea diferente a Aprobado.
CR003: Dao en Equipo.
CR006. Error en digitacin de datos.

Proceso de Comprensin y Anlisis

Que son reas de control?

Como se preparan los datos?

Que son las entradas de datos?

Que son las salidas de datos?

Que es la actualizacin de la informacin?

Que es el control de acceso?

Cuales son los cambios del software?

Que entiende usted por planes de contingencia?

Solucin de Problemas

Acudir a una entidad de carcter privado u oficial a su alcance, y


formular en forma precisa preguntas al contador y director de
sistemas, con el fin de identificar el proceso de la evaluacin del
sistema de control interno informtico.

Sntesis Creativa y Argumentativa

Teniendo en cuenta la informacin obtenida en el proceso anterior,


determinar las caractersticas y procesos de evaluacin que se siguen
en un departamento de sistemas, con el fin de identificar los tipos de
riesgos y de seguridad que emplea la organizacin. Revisar la
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

70

legislacin vigente en nuestro pas en relacin con el tratamiento de


archivos que contengan informacin personal, y realizar un ensayo
comparando el cumplimiento de esta normatividad por parte de la
organizacin.

Autoevaluacin

Explicar el concepto y etapas de la Auditoria Informtica.

Explicar los beneficios obtenidos de la ayuda del computador dentro


de la planificacin y ejecucin de la Auditoria financiera.

Explicar las diferentes clases de ficheros.

Explicar los diferentes tipos de seguridad a tener en consideracin


dentro de la Auditoria de Sistemas.

Explicar las caractersticas de la informacin electrnica.

Repaso Significativo

Disear un mapa conceptual que contenga la definicin, funcin y


alcance de la auditoria informtica en el proceso de evaluacin del
sistema de control interno informtico.

Elaborar un glosario de los trminos ms importantes relacionados


con la auditoria informtica y los riesgos informticos.

Bibliografa Sugerida
AICPA. The American Institute of Certified Public Accountants. SAS 78
Consideration of the Internal Control Structure in a Financial Statement
Audit., EE.UU. 1995.
Audisis ltda Metodologa de Auditoria de los centros de cmputo, Vol. 1,
Santa fe de Bogot. 1992.
COLBERT, J. BOWEN, P. A compararison of internal control:
SAC, COSO and SAS 78), 1998. Pgina WEB (www.isaca.org).
COOPERS

&

LYBRAND.

Control

Interno,

Auditoria

(COBIT,

Seguridad

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

71

Informtica. Vol. 5, Expansin, Madrid. 1996.


Cornella, A. Informacin digital para la empresa. Marcombo, Barcelona.
1996.
COSO. The Committee of Sponsoring Organizations of the Treadway
Commission's Internal Control - Integrated Framework, EE.UU. 1992.
DAVIS, J. CUSHING, B. Accounting Information System. EE.UU. 1980.
E.D.P. Auditors Foundation. Estndares de auditoria de sistemas, L.A.,
EE.UU. 1990.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

72

UNIDAD 5: Papeles de Trabajo del


Centro de Computo Aplicacin
(Prctica)
Horizontes

Conocer las diferentes guas de aplicacin que contienen los trabajos


del centro de cmputo.

Evaluar la importancia de los sistemas de la organizacin.

Identificar la naturaleza de los papeles de trabajo.

Describir y evaluar los documentos de seguimientos en el proceso de


la auditoria de sistemas.

Ncleos Temticos y Problemticos

Planeacin de la Auditoria.

Gua para Elaborar el Archivo Permanente.

Formato para Determinar la Importancia de las Aplicaciones de


Computador.

Formato para Determinar la Importancia del Centro de Procesamiento


de Datos.

Cuestionarios de Control.

Auditoria de Controles Generales al Centro de Procesamiento de


Datos.

Probabilidad de las Amenazas.

Ejemplo Matriz de Evaluacin de Riesgos y Controles.

Auditoria de las Aplicaciones en Funcionamiento.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

73

Gua para Elaborar el Archivo Permanente de la Aplicacin

Proceso de Informacin
5.1

PLANEACIN DE LA AUDITORIA

Investigacin Preliminar:

Determinacin de los Recursos de Cmputo de la Organizacin

Evaluar Seguridades Existentes:

Definir los objetivos de Auditoria


Aplicar cuestionarios de control
Elaborar informe de acciones de emergencia

Disear Pruebas de Auditoria

Ejecutar Pruebas de Auditoria

Analizar efecto de las Debilidades de Seguridad:

Determinar el impacto de las debilidades


Determinar la probabilidad de ocurrencia de las amenazas
Estimar perdidas y gastos por interrupcin de actividades

Determinar y Evaluar medidas de seguridad adicionales

Elaborar Informe Final de la Auditoria

5.2

GUA PARA ELABORAR EL ARCHIVO PERMANENTE

5.2.1 Organizacin del Departamento de Sistemas Ref - Pt

Obtenga el organigrama de la Empresa

Obtenga o elabore el organigrama de la Gerencia


Sistemas de Informacin.

(Dpto)

de

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

74

Obtenga o elabore la descripcin de las funciones asignadas a cada


uno de los cargos existentes en el Dpto. de Sistemas.
Nombre de los Cargos

Cantidad

PLANEACIN DE LA AUDITORIA
CENTRO DE COMPUTO___________________________________
OBJETIVO GENERAL DEL TRABAJO A REALIZAR__________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
ALCANCE DEL TRABAJO A REALIZAR (reas de Revisin)
1.
2.
3.
4.
5.
6.
7.
8.

Planeacin
Organizacin
Backup y Recuperacin
Seguridad
Produccin
Plan de Contingencias
Desarrollo de Sistemas
Eficiencia

()
()
()
()
()
()
()
()

PUNTOS DE INTERES PARA ESTE TRABAJO________________


_________________________________________________________
_________________________________________________________
_________________________________________________________
_________________________________________________________
AUDITORES ASIGNADOS.
Supervisor_______________________ Senior ________________
Jnior_________________________________________________
DURACIN ESTIMADA______ Horas____ Das____ Semanas____
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

75

FECHA INICIACIN_________ FECHA TERMINACIN__________

Obtenga una lista de los nombres de los funcionarios del Dpto de


Sistemas.

Contrato de arrendamiento.

5.2.2 Hardware y Software de Computador

Elabore un esquema de la red de comunicacin y de los equipos de la


Empresa que estn intercomunicados.

Obtenga
(elabore) un inventario de los equipos de computacin
indicando su localizacin.

Obtenga los siguientes datos sobre los equipos de computacin de la


Empresa:
TAMAO
Grandes (mainframes)
Minicomputadores
Microcomputadores

CANTIDAD

MARCA

Describa las caractersticas de los equipos de cada centro de


procesamiento de informacin vital de la Empresa. Obtenga la
siguiente informacin:

Unidad Central de Proceso (CPU)


Fabricante
Nmero de modelo
Fecha de Instalacin
Localizacin fsica

______
______
______
______

Capacidad de memoria instalada.


Capacidad de almacenamiento en disco (cantidad y caractersticas):
unidades de cinta, unidades de disco, unidades de diskette,
terminales on - line locales,
terminales
on-line
remotas,
controladores de comunicacin, UPS's, impresoras, modems,
multiflexores, encriptores, concentradores.
Sistema operacional instalado:
Nombre
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

76

Versin
Otros paquetes de software ambiental instalados:
-

Software
Software
Software
Software

de seguridad (control de acceso)


control de libreras
de administracin del sistema
de comunicaciones

Software administrador de base de datos (DBMS)


Software especializado diseado por la instalacin

Utilizacin del sistema.

Horas utilizacin: Diarias______ Semanales ____


Das de utilizacin: Semanales_____Mensuales____
Horas mensuales por tipo de trabajo
Produccin
______
Pruebas
______
Reprocesos
______
Mantenimiento de programas ______
Desarrollo de programas ______
Otros

______

Indquelos

Tiempo ocioso ______

Software de aplicaciones en produccin:


Nombre de la Aplicacin Periodicidad de actualizacin
___________________ ________________________

Aplicaciones en desarrollo:
Nombre de la aplicacin Fecha de Terminacin
___________________ __________________

5.2.3 Costos Anuales del Departamento de Sistemas

Total Presupuestado

Ao Fiscal corriente
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

77

Ultimo ao Fiscal

Costos de Arrendamiento

CPU'S
Otros equipos

Costo de equipos adquiridos (Depreciacin)

CPU'S
Los dems

Costos de mantenimiento de Hardware y otros equipos (especificar)


Incluido dentro del presupuesto general de gastos
PROVEEDOR
____________________

COSTO
__________________

Costos de suministros (especificar conceptos) Vigencia Fiscal 1995

Costos de Servicios Controlados

Conversin de Datos
Otros servicios (especificar)

Otros Costos del Departamento. Vigencia Fiscal 1995

Espacio fsico
Servicios (especificar)

Costos del personal

De planta
Temporales (a destajo)

Costos de seguros (especificar compaas)

5.2.4 Otros Datos de Inters

UPS'S
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

78

Cantidad
Caractersticas

Sitios de almacenamiento de medios magnticos.

Adyacentes o cercanos a las instalaciones


Cantidad
Localizacin
Lejanos de las instalaciones
Cantidad
Localizacin

Provisiones para procesamiento en instalaciones de respaldo:

5.3

FORMATO PARA DETERMINAR LA IMPORTANCIA DE LAS


APLICACIONES DE COMPUTADOR

EMPRESA_________________CENTRO DE
PROCESAMIENTO__________________
1. NOMBRE DE LA APLICACIN_________________________________________
2. MODO DE PROCESAMIENTO
Batch________Batch/On line________On line/Tiempo Real
3. FUNCIONES QUE SATISFACE
_________________________________________________________________________
_________________________________________________________________________
_______________________________________________________
4 CRITICIDAD DE LA APLICACIN
4.1

Por Tiempo
Muerto

Efecto
A __ M
__ B

Un da

Una semana

Impacto

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

79

Un mes

Indefinido

3
SUBTOTAL __________

4.2 Por Divulgacin


5.

___________

DILIGENCIADO POR__________REVISADOR POR___________

6. FECHA DE DILIGENCIAMIENTO______________
5.4 FORMATO PARA DETERMINAR LA IMPORTANCIA
CENTRO DE PROCESAMIENTO DE DATOS
EMPRESA

DEL

__________________________________

CENTRO DE PROCESAMIENTO___________________________________
APLICACIONES

________________

EFECTO DEL
TIEMPO MUERTO

EFECTO DE LA
DIVULGACIN

PUNTAJE

__________

_______

________________

__________

_______

________________

__________

_______

________________

__________

_______

________________

__________

_______

________________

__________

_______

____TOTALES_____

__________

_______

CRITICIDAD DEL CENTRO DE CMPUTO (C).


Puntaje Total Obtenido
C = -------------------------------------- x 100
25 x n
Donde, "n" es la cantidad de aplicaciones evaluadas.
"25" es el puntaje mximo que puede obtener una aplicacin.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

80

Significado de C
Entre 90 y 100%, la criticidad es ALTA. Entre 80 y 89% la criticidad es
MEDIA. Menos del 80% la criticidad es BAJA.

5.5

CUESTIONARIOS DE CONTROL

5.5.1 rea de Planeacin


Objetivos de Auditoria

Determinar que exista un plan de desarrollo estratgico y el soporte


correspondiente.

Determinar la planeacin propia para el departamento de sistemas.

Asegurarse de que el computador fue comprado previendo que


producir mayores beneficios que cualquiera de las otras alternativas
de automatizacin.

Asegurar la seleccin de servicios adecuados y del equipo de


computacin.

Asegurarse de que se elabor un plan de pre-instalacin contra el


cual verificar los resultados y el avance.

Controles

Que exista un Comit que se responsabilice de iniciar, guiar y revisar


los resultados de la investigacin preliminar.

Que se haga un estudio de factibilidad y se elabore un informe de


investigacin de acuerdo con las especificaciones.

Se deber elaborar un listado de los criterios de seleccin adecuados


para entregrselos a cada proveedor en potencia.

El criterio de seleccin, deber de establecerse en forma de un


cuadro en el cual se anotar la evaluacin de las propuestas de los
proveedores.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

81

El proveedor del equipo podr ser sometido a calificacin en la


resolucin de problemas de prueba, mediante la evaluacin de sus
programas y los resultados.

Para evaluar las propuestas de los fabricantes, podrn emplearse


programas paquetes de simulacin.

Los arreglos contractuales, debern ser revisados minuciosamente


antes de hacer las seleccin final del equipo y firmar el contrato.
Que exista un cronograma de actividades y tiempo detallado con
previo cumplimiento de las normas legales establecidas.

Que exista la asignacin presupuestal para la vigencia fiscal


correspondiente.

5.5.2 rea de Organizacin


Objetivo de Auditoria

Determinar que exista


departamento de sistemas.

Determinar que exista un manual de funciones y responsabilidades,


una adecuada segregacin de funciones y un presupuesto para el
departamento de sistemas.

Asegurarse qu organismo o persona ejecuta un control


organizacional al departamento de sistemas y con que periocidad.

una

estructura

organizacional

del

Controles

Asegurar que haya una separacin de deberes adecuada entre los


operadores de la computadora, los programadores de la aplicacin,
los programadores del sistema y los analistas de sistemas. Cuando
alguien entre al rea de operacin de la computadora, adems del
personal de operacin, asegurar que haya los controles externos
apropiados de manera que el personal administrativo adecuado est
informado de esta situacin especial.

Salvar una copia de la bitcora de la consola de la computadora y de


la bitcora de salidas del sistema para la revisin posterior. Estas
dos bitcoras pueden servir como un camino de auditoria en relacin

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

82

a lo que fue alimentado a la computadora y acerca de las diversas


rdenes del operador.

Cuando sea factible, rotar a los operadores de la computadora entre


diferentes corridas de trabajo.

Asegurar que haya un manual adecuado de las corridas de trabajo


para cada trabajo de cmputo. El manual de la corrida del trabajo
debe incluir por lo menos las instrucciones de operacin para el
trabajo, la informacin de implementacin del trabajo, notas sobre
formas u otras funciones de impresin, y los procesos de
verificacin/reinicio para el caso de falla del trabajo.

Asegurar que haya alguna clase de reporte de utilizacin de mquina


para identificar al menos el trabajo que se est corriendo al operador
de la computadora presente, si fue o no llamado el programador, el
tiempo usado de computadora, y cualesquiera condiciones no usuales
encontradas durante la corrida de la aplicacin.

Procurar un grupo de prueba de sistemas que examine


adecuadamente todas las modificaciones a los sistemas, as como a
los nuevos sistemas que se estn desarrollando.

Revisar los organigramas para asegurar que la organizacin es


funcional y que puede operar exitosamente dentro de los confines de
la organizacin.

Interrelacionar los organigramas totales con los organigramas


departamentales para asegurar que exista una relacin adecuada de
trabajo.

Revisar los procedimientos del departamento de proceso de datos


para ver si siguen y/o llevan a cabo adecuadamente las polticas
bsicas tal como fueron esbozadas por la alta Gerencia de la
organizacin.

Revisar las descripciones de los puestos dentro del departamento de


proceso de datos con el fin de asegurar que existe una separacin de
las funciones laborales; por ejemplo, no se debe de pedir que
programen los operadores de la computadora.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

83

Asegurar que haya una separacin adecuada de deberes entre el


personal que trabaje en la biblioteca de cintas y discos y el dems
personal de operacin de la computadora.

Asegurar que los procedimientos de trabajo dentro del rea del


departamento de procesamiento estn escritas en un manual de
polticas o estndares.

Procurar un rea separada de cintoteca /discoteca. Esta rea debe de


estar separada pero contigua a las operaciones de proceso de datos.

Asegurar que existe una documentacin adecuada para todos los


sistemas y programas.

Designar oficialmente a una persona como la encargada de la oficina


de control de la informacin para toda la organizacin. Esta persona
es responsable de la seguridad de todo el proceso de datos, tanto
fsicamente como de la informacin.
Asegurar de que haya una poltica escrita especfica respecto a quin
dentro de la organizacin tiene el derecho de acceso a la informacin
especfica. Esta poltica debe de definir cualesquiera limitaciones en
el uso de esta informacin por los que tengan acceso autorizado a
ella.

5.5.3 rea de Backup y Recuperacin


Objetivo de Auditoria

Asegurar que existan procedimientos adecuados para proteger el


contenido de las libreras contra daos accidentales, prdidas o mal
manejo.

Asegurar que todos los archivos y medios


inventariados y adecuadamente controlados.

Asegurar que existan normas adecuadas de identificacin de


archivos.

Asegurar que existan procedimientos adecuados de backup que


respondan a los requerimientos de recuperacin y que garanticen la
continuidad de las operaciones.

magnticos

sean

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

84

Asegurarse que solo personas autorizadas accesan los archivos o


medios magnticos.

Controles

Determinar la existencia del manual de procedimientos de Backup y


recuperacin.

Determinar las personas responsables del procedimiento de Backup

Determinar los tipos, clases y periocidad de los Backup.

Que exista una cintoteca.

Determinar mediante pruebas selectivas el contenido de los Backup.

Que exista personal idneo para las pruebas de recuperacin.

Que exista procedimientos adecuados de inventario para la biblioteca


y cintotecas.

Que existan copias de seguridad almacenadas en lugares remotos y


restringidos.

Que existan instrucciones escritas adecuadas para la identificacin de


los archivos y su rotacin.

Que hayan claves de autorizacin para la creacin de Backup y su


recuperacin.

5.5.4 rea de Seguridad


Exposicin al Fuego

Objetivos de Auditoria:

Revisar la suficiencia de las medidas contra incendio en el edificio


construido y la naturaleza no combustible de su contenido.
Revisar si la planificacin de proteccin contra incendios tiene
suficientes medidas de seguridad y revisar las medidas preventivas.
Revisar la suficiencia de: dispositivos de deteccin de incendios,
alarmas e interruptores de la energa elctrica, equipo de extincin
de incendios, luces de emergencia.
Procedimientos de Control

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

85

El centro de computacin est ubicado en un edificio resistente al


fuego o no inflamable?

El saln de Computador est separado de las reas adyacentes


mediante particiones, paredes, pisos y puertas no combustibles o
resistentes al fuego, y separado de contenidos peligrosos?

Los pisos y techos falsos (incluyendo los materiales de soporte y de


aislamiento), estn hechos a prueba de incendio?

Son a prueba de incendios, las alfombras, los muebles, y las


cubiertas de las ventanas?

El papel y otros suministros combustibles se guardan fuera del rea


del computador?

Est prohibido fumar en el Centro de Cmputo?

El personal de operaciones de PED est adiestrado en tcnicas de


extincin de incendios, y tienen responsabilidades individuales
asignadas para casos de incendio?

El centro de computacin est protegido por sistemas de extincin


automticos?

De agua? En este caso, suena una alarma al activarse y hay alguna


demora para el surtido de agua?
Halgeno?
Dixido de carbono? El personal conoce las precauciones de
seguridad que deben observarse?

Hay extintores de fuego porttiles ubicados estratgicamente en el


centro de computacin, con marcadores de ubicacin bien visibles?

Los controles de emergencia para desconectar la energa elctrica


estn fcilmente accesibles en las salidas?

Los controles de emergencia de energa elctrica desconectan la


calefaccin, la ventilacin y el aire acondicionado?

Se usa una lista de comprobacin para apagar el equipo?

Hay detectores de humo y de ionizacin instalados en:

Varias zonas del centro de computacin?


Techos?
Pisos falsos?

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

86

Conductos de ventilacin?

Los detectores de humo/ionizacin


emergencia de la energa elctrica?

Se hacen pruebas regulares del funcionamiento de los detectores?

Con regularidad se hacen ejercicios de simulacin de incendios?

Hay disponible un suministro suficiente de agua para la extincin de


incendios?

Hay una cantidad suficiente de cajillas de alarma contra incendios


por todo el centro de computacin?

Al activarse la alarma de incendios, su sonido se escucha:

activan

el

interruptor

de

Localmente?
En el puesto del guardia de seguridad?
En la estacin central de alarmas de incendio?
En la estacin (Departamento) de bomberos?

Se conoce la tasa de incendios suministrada por el cuerpo de


bomberos local?

Se usan materiales inflamables en el mantenimiento del


computador? (Si se usan deben ser en cantidades pequeas y deben
almacenar en recipientes aprobados)

Las cuadrillas de emergencia deben entrar a la sala del computador


sin demora?

Hay suficiente suministro de iluminacin de emergencia distribuida


por todo el centro de computacin y se prueba con regularidad?

Exposicin a Daos por Causa de Agua

Objetivo de Auditoria:

Revisar las medidas para prevenir y reducir los daos causados por el
agua.

Procedimientos de Control:

Los computadores y el equipo relacionado, estn colocados ms


arriba del nivel del suelo?

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

87

Las tuberas de agua y de vapor que pasan por arriba, estn fuera
de la sala del computador, con excepcin de los surtidores de
emergencia?
Se ofrece un drenaje adecuado debajo de los pisos falsos y en otras
reas del centro de computacin?
Hay un drenaje adecuado en el piso de encima, para evitar que se
filtre el agua por el techo?
Se proporciona un drenaje adecuado en las reas adyacentes al
centro de computacin?
Todas las unidades elctricas estn en cajas colocadas debajo de los
pisos falsos y desconectados de las planchas de dicho suelo para
evitar daos por agua?
Las puertas y ventanas exteriores estn hechas a prueba de agua?
Se tiene proteccin contra agua de lluvia acumulada o contra goteras
en el tejado y en las torres de enfriamiento que estn sobre el
tejado?
Sistema de Aire Acondicionado (Temperatura, Filtracin y Humedad)

Objetivo de Auditoria:

Verificar la suficiencia del sistema de aire acondicionado en cuanto a:


temperatura, ventilacin, filtracin, humedad, proteccin, respaldo

Procedimientos de Auditoria:

Se usa el sistema exclusivamente para el centro de computacin?


Los revestimientos de los conductos y los filtros estn hechos en
materiales no combustibles?
Se suministran reguladores de corrientes de aire contra incendio?
El compresor est alejado del centro de computacin?
La torre de enfriamiento est suficientemente protegida?
Existe un sistema de aire acondicionado de respaldo?
Las tomas de aire:
Estn cubiertas con mallas protectoras?
Estn ubicadas a mayor altura que el nivel de la calle?
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

88

Estn ubicadas para evitar que entren elementos contaminantes


o escombros?
Electricidad

Objetivo de Auditoria:

Determinar la calidad de la fuente principal de energa elctrica.


Determinar la necesidad y el tipo de suministro interrumpido de
energa elctrica y revisar las pruebas para el mismo.
Revisar el cumplimiento de los cdigos locales de los cables
elctricos.

Procedimientos de Control:

Es confiable el suministro elctrico local?


El voltaje de las lneas es registrado por voltmetro?
Si el voltaje de la lnea no es confiable: se han investigado lneas
alternas?
Si es alto el grado crtico de los sistemas que se procesan en el
centro de computacin, se ha investigado sobre suministros de
energa elctrica sin interrupcin (UPS's)?
Todos los canales elctricos del centro de computacin satisfacen los
cdigos elctricos de aceptacin general local?
Exposicin a Desastres Naturales

Objetivo de Auditoria:

Determinar si las instalaciones del centro de computacin estn


razonablemente protegidas contra desastres naturales.
Procedimientos de Auditoria:
El edificio del centro de computacin es slido en su estructura y est
protegido contra: Huracanes y vientos? Daos por inundacin?
Terremotos?
El edificio y el equipo estn correctamente conectados a tierra como
medida de proteccin contra rayos?
Controles de Acceso

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

89

Objetivos de Auditoria:

Revisar los procedimientos apropiados de seguridad y los dispositivos


de cierre para evitar el acceso no autorizado.
Determinar si las puertas y ventanas estn construidas de modo
adecuado.
Identificar la cantidad mnima necesaria de puertas y ventanas.

Procedimientos de Auditoria:

El centro de computacin es un objetivo poco probable para


delincuentes?
Hay guardias de vigilancia en todas las entradas al centro de
computacin?
Se exige una constancia de identificacin para entrar al centro de
computacin (ejemplo: un sistema de carnet con fotografa)?
El acceso al centro de computacin est restringido solamente a las
personas autorizadas por ser su lugar de trabajo?
La limitacin de acceso al centro de computacin es suficiente
durante las 24 horas cada da?
Se usan llaves, cerraduras de cdigo, lectores de carnet, u otros
dispositivos de seguridad para controlar el acceso?
El personal est adiestrado para retar a los visitantes que no estn
debidamente identificados?
Hay suficientes
computacin?

controles

para

los

visitantes

del

centro

de

Se desestimula la divulgacin de la ubicacin del centro de


computacin?
Es necesaria cada una de las entradas al centro de computacin?
Las puertas del centro de computacin que son necesarias para
ventilacin e iluminacin, estn protegidas por alguna reja o malla
cuando estn abiertas?
Las puertas de las salidas de emergencia estn protegidas con
alarmas de salida?

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

90

Las puertas las cerraduras, los pasadores de cierre, las bisagras, los
marcos y otros mecanismos del edificio, estn construidos de tal
modo que se disminuya la probabilidad de ingresos no autorizados?
Si el acceso al centro de computacin se controla elctrica o
electrnicamente, hay bateras cerca y disponibles para casos de
interrupciones del sistema de energa primario?
Hay adecuados controles sobre la remocin de materiales del rea
de procesamiento de datos? Los reportes sensitivos se desmenuzan
(Hacen trizas)?
El sistema hace uso de: Guardias, Tarjetas, Badger (escarapelas de
color codificado), Circuito cerrado de televisin, Puntos de entrada
limitados, Monitoreo central, Dispositivos de deteccin, Alarmas,
Sistema de intercomunicacin (intercom), Puertas tramman (entrada
de doble puerta), puertas de salida nicamente en emergencia de
incendio, Las terminales estn localizadas en reas seguras para
prevenir el acceso a las mismas por usuarios no autorizados?
Las terminales incluyen dispositivos de cierre
prevenir uso no autorizado?

(locking)

para

Todas las conexiones de modems y lneas de comunicacin estn


aseguradas para prevenir que sean interceptadas?
Se utilizan lneas arrendadas para la comunicacin de datos
sensitivos?
Se utilizan dispositivos automticos de descripcin
para proteger la transmisin de datos sensitivos?

(criptoboxes)

Las claves del dispositivo de encripcin se cambian con frecuencia?


La alta direccin apoya el sistema de seguridad?
Se utilizan auditores internos y oficiales de seguridad?
La identificacin de las personas se efecta por: alguna cosa que el
usuario tiene, alguna cosa que el usuario conoce, caractersticas de
los usuarios, identificacin de la terminal, por localizacin de las
terminales, mediante nombre y funcin de programas individuales, de
los archivos hacia abajo, hasta el nivel de campo.
Los accesos a los archivos de datos y programas de aplicacin estn
restringidos por uno o todos los siguientes mtodos:
Clasificacin de archivos (e.g. Top Secret, confidencial, etc.)?
Leer nicamente, escribir nicamente, adicionar, copiar, etc.?
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

91

Categora o usuario?
A todos los empleados o visitantes al centro de computador o a otras
reas sensitivas se les exige identificacin positiva en forma de
escarapelas (badges) o carnets con la foto del individuo, nombre,
posicin y departamento?
Estn previstos procedimientos para
recuperacin de escarapelas y carnets?

controlar

la

emisin

Las existencias de escarapelas o carnets sin utilizar se verifican


peridicamente?
Est establecido un lmite para permitir repeticin de intentos no
vlidos para accesar el sistema desde las terminales (generalmente
de uno a tres)?

El sistema de seguridad incluye caractersticas de autenticacin de


personas y terminales tales como call-back (e.g. una terminal es
desconectada y discada para ver si la terminal apropiada responde)?

Los passwords se cambian frecuentemente?


Los passwords son cuidadosamente manejados por sus propietarios
y el archivo de estos est adecuadamente protegido contra acceso no
autorizado?
Los terminales estn equipados con generadores de identificacin
automticos?
Las llaves de las cerraduras de las terminales se conservan
adecuadamente protegidas?
Se mantiene un log de todos los intentos infructuosos para entrar al
sistema de computador (e. g. va terminales)?
Todos los intentos de violaciones de acceso son inmediatamente
reportados y seguidos de una accin correctiva?
Todas las intervenciones de operacin
registradas en el log y aclaradas?

del

computador

son

Aseo y Mantenimiento

Objetivos de Auditoria:

Determinar si los procedimientos de aseo y mantenimiento reducen al


mnimo los riesgos relativos a: materiales combustibles, polvo y otros
elementos contaminables, fuerzas estticas.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

92

Procedimientos de Control:

Se evita la acumulacin de escombros en el centro de computacin?


Se limpian con regularidad el equipo y las superficies de trabajo?
Se lavan los pisos con regularidad?
Se limpian con regularidad las superficies que estn debajo de los
pisos falsos?
Se vacan los recipientes de basura fuera del centro de computacin
para disminuir la descarga de polvo?
Se usan alfombras y cera de pisos antiestticos?
Se prohbe comer en la sala del computador?
Se usan recipientes de basura poca propensin al fuego en el centro
de computacin?
Est prohibido fumar en la sala del computador?
Se mantiene limpia y ordenada el rea de mantenimiento?
Asuntos Generales

Objetivos de Auditoria:

Revisar y evaluar la planificacin de la seguridad de la organizacin.

Procedimientos de Auditoria:

Se ha orientado el personal de seguridad y de operaciones en cmo


se debe reaccionar en caso de disturbios civiles?
Se ha adiestrado al personal en cmo manejar amenazas de
bombas?
Hay un programa de enlace con las agencias locales de orden
pblico?
Polticas del Personal

Objetivos de Auditoria:

Revisar la poltica de contratacin para asegurarse que se han


realizado chequeos del pasado profesional de todo el personal de
PED.
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

93

Revisar si los estndares de educacin y entrenamiento son


suficientes.
Revisar los procedimientos de terminacin de contrato laboral y de
proteccin contra daos por parte de empleados descontentos.

Procedimientos de Control:

Se hacen chequeos del pasado profesional de todos los empleados


nuevos?
Se vuelve a chequear en forma peridica el pasado profesional
todos los empleados?
Reciben los empleados
relacionadas entre si?

adiestramiento

cruzado

de

de

materias

Se informa a la Gerencia de empleados que dan muestra de


descontento?
Hay polticas establecidas para contener a empleados despedidos de
inmediato, que pueden representar una amenaza para el centro de
computacin?
Existe un programa educativo continuo respecto a las medidas de
seguridad?
Controles

Determinar si la construccin del edificio, incluyendo las paredes,


techo y pisos, son de materiales no combustibles con objeto de
reducir la posibilidad de incendio.

Ver que las paredes adyacentes inmediatas a los archivos o al equipo


crtico son de ladrillo, de manera que no sean penetradas fcilmente.

Separar fsicamente el servicio de computacin de los otros


departamentos.

En edificios de varios pisos situar el servicio de proceso de datos en


un piso alto para reducir el riesgo de una penetracin extraa o dao
por inundacin.
Verificar el tejado para cerciorarse que no haya
goteras.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

94

Separar la habitacin de la computadora, y las reas de archivo y


equipo de cinta/disco y la biblioteca, por medio de paredes no
combustibles con un mnimo de resistencia al fuego de dos horas.

No se permite la visita del centro de cmputo.

Verificar que los techos estn a aprueba de agua de manera que esta
no fluya a los pisos.

Procurar un servicio de drenaje adecuado bajo pisos elevados debido


a que los cables con corriente elctrica para debajo de estos pisos.

Verificar que slo haya una puerta de entrada y de salida que sea
usada por el personal de operacin del centro de cmputo. Todas las
puertas deben de estar provista de aberturas, para poder romperlas
en caso de emergencia.

Instalar un sistema automtico de supresin de fuego en el cuarto de


la computadora y especialmente dentro de la biblioteca de
discos/cintas.
El sistema recomendado es el usar un agente
halogenado de contacto seco.

Situar estratgicamente cerca del centro de cmputo a nivel del suelo


extinguidores porttiles, y marcar el lugar con una franja roja del
suelo al techo.

Comprobar que las cortinas, tapetes, muebles, piso falso, falso techo,
filtros de aire acondicionado, materiales aislantes elctricos y
acsticos, etc., estn hechos de materiales no combustibles o bien
est tratado con materiales retardantes de fuego.

Prohibir el fumar, comer y beber en el cuarto de la computadora y en


la bveda de cintas/discos.

Verificar que el sistema de alarma contra incendio automtico tiene la


capacidad de transmitir seales a un punto remoto que sea
supervisado las 24 hrs. El punto remoto puede ser una estacin de
guardia de la organizacin o la estacin de bomberos local.

Almacenar el papel y otros suministros combustibles fuera del cuarto


de la computadora, a excepcin de aquellos que se van a usar
inmediatamente.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

95

Conservar en pequeas cantidades los materiales inflamables usados


en el cuarto de la computadora, tales como lquidos limpiadores.

Proteger de las variaciones de voltaje a toda la potencia elctrica que


sirve a la unidad central de proceso
(UCP o CPU), al equipo
relacionado con la UCP, u al equipo de comunicacin de datos
utilizando un transformador.

Marcar apropiadamente a los tableros del circuito de manera que si


se le va a dar servicio al equipo permitan una referencia rpida y
expedita.

Conservar abajo del piso a todo el equipo elctrico y especialmente al


pedestal de los ductos del piso falso con objeto de aumentar la
seguridad personal.

Proporcionar reas cerradas separadas para el equipo de motores


generadores con el fin de afirmar su seguridad

Procurar dar el mantenimiento preventivo apropiado a todos los


motores generadores relacionados con el equipo.
Generar un medio ambiente de temperatura y humedad controladas
en el rea de la computadora. Mantnganse diagramas de humedad
por medio de un registrador continuo.

Procurar capacidad de respaldo para el aire acondicionado, que sea


independiente del edificio central. Esto implica la capacidad de que
opere independientemente el sistema de aire acondicionado en el
caso de que se trabaje en proceso de datos fuera de horas normales.

Dar mantenimiento y verificar mensualmente al sistema de aire


acondicionado.

Proteger las conexiones elctricas y las cajas de los circuitos que


alimenten a los condicionadores de aire. Conserve cerrada a estas
cajas y en una habitacin cerrada independiente.

Asegurar un respaldo adecuado al aire acondicionado para el caso de


que llegar a quedar inoperante. Los acondicionadores de aire
independientes y montados en el piso no llegan a dejar inoperante a
la unidad central de proceso.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

96

Verificar el flujo de los circuitos elctricos a travs del edificio para


asegurarse de que estn relativamente seguros.

Proporcionar cubiertas de plstico que protejan al equipo de proceso


de datos si hay una fuga arriba de l.

Hacer que todo el personal porte gafetes o insignias en reas


restringidas; los visitantes deben usar un gafete de color diferente, y
deben firmar el registro y ser escoltados.

No se permita a los programadores y analistas de sistemas entrar en


el cuarto de la computadora. Si por razones especiales estas reglas
deben de ser rotas, las personas deben de tener una escolta
adecuada y una autorizacin externa.

No se permitan paquetes, portafolios y bolsas de mano dentro del


rea de la computadora central, en la cintoteca, u otras reas muy
sensitivas.

Cuando sea factible, utilcese un servicio de guardias de 24 hrs con


respecto a la entrada y salida del centro de cmputo.

Procurar contratar personal instruidos en materias de seguridad, de


manera que la responsabilidad por ella quede fijada y entendida
claramente por aquellos que la tienen.

Desarrollar un boletn mensual o trimestral con informacin relativa a


la seguridad con objeto de supervisar y entrenar continuamente al
personal.

Determinar si es necesario romper los papeles (papel carbn y otros


artculos) para destruir reportes y listas confidenciales. El romper el
papel puede no ser lo conveniente y lo anterior tenga que ir a alguna
otra compaa para su custodia o destruccin.

Verificar que haya sistemas adecuados para la administracin de


cintas/discos, la manera que slo sean borradas las cintas/discos
oportunos.

Ratificar que la Gerencia preste su asistencia a los esfuerzos de


entrenamiento con respecto a la seguridad fsica.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

97

Dependiendo de la sensibilidad del sistema, protjase contra el


espionaje electrnico a travs de las emanaciones elctricas, del
equipo de proceso de datos.

Asegurar todas las ventajas, porque no slo puede ser tirado a travs
de ellas algo de afuera sino tambin algo de adentro, tal como un
disco o una cinta.

Hacer que el personal revise el registro de acceso al sistema de mini


computadoras, con objeto de determinar quin y cundo entr al
rea.

Determinar si los empleados del centro de cmputo deben de firmar


un convenio reconociendo el hecho de que no deben vender
programas de computadoras, usar a la mquina para asuntos
particulares, etc.

5.5.5 REA DE PRODUCCION


Operacin

Objetivos de Control:

Determinar que existan controles suficientes sobre las operaciones de


computacin, que proporcionen una seguridad razonable de que sus
resultados son exactos y completos.
Los objetivos de control deben ser orientados a alcanzar los siguientes
objetivos bsicos:
Prevenir y detectar
procesamiento.

errores

accidentales

ocurridos

durante

el

Prevenir o detectar la manipulacin fraudulenta de los datos mientras


son procesados en el departamento de PED, y para prevenir la
inadecuada utilizacin de la informacin confidencial.
Proteger contra la destruccin accidental de los registros y asegurar
la continuidad de las operaciones.
Procesamiento

Objetivos de Control: los controles de procesamiento deben estar


orientados al cumplimiento de los siguientes cuatro objetivos
principales de control:
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

98

Asegurar que la totalidad de los datos sean procesados por el


computador.
Asegurar la exactitud de los datos procesados en el computador.
Asegurar que todos los datos procesados por el computador estn
debidamente autorizados.
Asegurar que las pistas de Auditoria sean adecuadas.
Controles

Deber establecerse un grupo de control que reciba la totalidad


los datos para el procesamiento y asuma la responsabilidad
comprobar que todos los errores detectados durante
procesamiento sean corregidos, as como para garantizar que
datos de salida se distribuyan adecuadamente.

Debern de utilizarse, siempre que sea posible, los programas de


edicin del computador con el fin de verificar que los datos estn
completos, sean exactos, y estn debidamente autorizados,
complementando as las funciones del grupo de control.

Se debern de proporcionar manuales de sistemas y procedimientos


para todas las funciones de operacin del computador.

La metodologa mediante la cual controla sus propias operaciones el


computador deber evaluarse desde el punto de vista de los
requerimientos generales de control.

Para todas las acciones que se requieran de parte del operador del
computador debern de emitirse manuales de operacin.

Debern de predeterminarse y verificarse peridicamente durante el


procesamiento los totales de los archivos maestros, de entrada y de
salida de los datos.

Siempre que sea posible, deber de emplearse el computador para


hacer la edicin de los errores.

Deber de haber algn mtodo que asegure que los componentes


fsicos del equipo (hardware), trabajen adecuadamente.

de
de
el
los

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

99

Se deber de independizar la funcin de programacin y la de


operacin del computador.

Es conveniente que los conocimientos de programacin por parte del


operador sean limitados.

Se debern establecer procedimientos con el fin de detectar los


errores lo antes que sea posible.

Se debern de elaborar instrucciones explcitas para el operador


acerca de los procedimientos en caso de error y de detencin del
trabajo.

Cada transaccin deber ser registrada inicialmente en un formato


especial con cdigo de identificacin, el cual deber llenarse de tal
manera que ms adelante sea posible referirse al mismo.

Donde sea posible, se deber de programar el computador de


manera que pueda anticipar cada transaccin y detectar la falta de
datos de entrada (control anticipado).

Los empleados encargados de la preparacin de los datos de entrada,


o que tengan acceso al almacn de papelera, no debern de tener
acceso ni responsabilizarse de los archivos relacionados con los
mismos documentos, ni de programas del computador, ni del
computador en s.

Los datos de entrada debern ser codificados cerca de su punto de


origen para tomar en cuenta los totales de control del lote; debern
de utilizarse formas para el encabezado del lote, que contengan un
cdigo de identificacin, as como un registro del total de control del
lote.
En algunas aplicaciones, los datos de salida debern de ser listados
para revisarlos visualmente en detalle contra los documentos
originales.

La totalidad de los datos rechazados en el ciclo de procesamiento


deber registrarlos el grupo de control en una cdula de errores e
identificar las correcciones sobre la misma cdula al ser
realimentadas; las operaciones aisladas, debern de investigarse con
regularidad.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

100

Se deber establecer un sistema bien definido para corregir los


errores y realimentar las correcciones como entrada; y se deber de
asignar y fijar responsabilidades acerca de esta funcin.

Debern revisarse en las fechas de corte, las conciliaciones de los


totales de control con el fin de asegurar que la totalidad de la
informacin de entrada se haya recibido para su procesamiento.

Debern describirse especficamente por medio de manuales, los


procedimientos respecto a la preparacin de los documentos de
origen.

Se deber de proporcionar, entrenamiento y supervisin en la forma


adecuada, a todas las personas relacionadas con la preparacin de
los datos que sern procesados en el computador.

En ausencia de otros controles, los cdigos-clave de identificacin


debern de emplear la tcnica auto verificable del cdigo de control,
para identificar los errores de codificacin.

Adems de la existencia de manuales por escrito, deber de contarse


con la supervisin adecuada del personal y con el necesario
entrenamiento, as como hacer una separacin de funciones.

Los datos particularmente importantes de las transmisiones en lnea,


debern ser controlados por medio del procesamiento de respuesta
programada.

Se deber de mantener controles adecuados acerca de la conversin.

Se debern de cumplir con los procedimientos de mantenimiento


preventivo recomendados por el fabricante respecto al equipo.

En ausencia de otros controles efectivos, los campos clave debern


ser verificados mediante la utilizacin de cifras de control.

En su sistema de procesamiento en lote deber de implantar


procedimientos manuales para la utilizacin de los datos de entrada,
as como para examinarlos posteriormente en busca de dicha
autorizacin.

5.5.6 Plan de Contingencias

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

101

Objetivos de Control

Revisar que exista un plan de emergencia prctico y totalmente


documentado, para asegurarse de que se toman las acciones
adecuadas para reducir el riesgo al mnimo en caso de que las
instalaciones informticas se destruyan o averen seriamente.

Revisar que el plan de contingencias prevea los siguientes riesgos


ms frecuentes que pueden afectar la continuidad de las operaciones
del departamento de sistemas:

Incendios
Inundaciones
Averas de los equipos auxiliares
Acciones malintencionadas
Robo de informacin
Relaciones laborales

Preguntas Programa de Auditoria

Existe un plan de emergencia por escrito? De ser as se incluyen los


siguientes puntos:

Identificacin de la configuracin mnima de equipo necesaria: tipo


de mquina y modelo; tamao de memoria; cantidad, tipo y modelo
de los perifricos.

Especificacin del sistema operativo, JCL y otro software del


sistema?

Identificacin de las personas responsables de cada rea funcional?

Procedimientos detallados de notificacin para la implantacin de los


planes especificando quin llama a: la Gerencia, las cuadrillas de
emergencia, al departamento usuario, las instalaciones de respaldo,
al personal de la empresa vendedora de PED, al personal de servicios,
otros segn sea necesario?

Criterios para determinar la extensin de la interrupcin?

Responsabilidad para retener los documentos fuente y los archivos


de datos de cada aplicacin?

Identificacin de los individuos responsables de la decisin de


utilizar la instalacin de respaldo y de planificar la solucin
permanente de la interrupcin?

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

102

Existe un programa de adiestramiento de emergencia para todo el


personal de PED?

Procedimientos de Respaldo

Objetivos de Auditoria:

Revisar el hardware de respaldo y su seguridad.


Revisar el acuerdo formal y los resultados de las pruebas del sitio
alterno de procesamiento.
Determinar si el respaldo de Hardware y servicios es suficiente.
Asegurar que hay un respaldo suficiente de: datos y archivos,
programas y software, documentacin e instrucciones de corrida.

Procedimientos de Auditoria

Instalacin de respaldo:
hay computadores de respaldo
disponibles?, el computador est ubicado (dentro del centro de
computador? dentro del mismo edificio? en una ubicacin apartada
del edificio del centro de cmputo principal?
Si se tiene acceso a otro computador que no es de la Empresa: existe
y est vigente un acuerdo contractual, se hacen pruebas peridicas,
las medidas de seguridad en la instalacin de respaldo son
suficientes, la instalacin de respaldo ha sido aprobada por el
personal de seguridad, en las instalacin de respaldo existe
capacidad suficiente para procesar las aplicaciones crticas.
Se ha desarrollado un plan de implantacin del respaldo? este se
revisa y prueba con regularidad?
La empresa vendedora de servicios de PED almacena repuestos
localmente?
Existe un programa regular de mantenimiento preventivo?
Datos, Archivos y Software

Existen polticas y procedimientos para respaldo y retencin de


archivos? Se prueban con regularidad?

Los datos / archivos crticos de apoyo se guardan en:

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

Las dependencias de la empresa, dentro


prueba de fuego?

103

de

una ubicacin a

Lejos de las dependencias, en una ubicacin a prueba de fuego?


Se ha evaluado que el sitio de almacenamiento apartado ofrezca
seguridad suficiente?

Todos los datos / archivos y software dentro del centro de cmputo,


se guardan en recipientes poco propensos al fuego?

Peridicamente se realizan corridas de prueba, utilizando los datos /


archivos y el software localizados en el sitio apartado y en las
dependencias de la empresa?

Los respaldos de datos / archivos y


peridicamente, con intervalos regulares?

La documentacin de respaldo est al da con los datos, archivos y


software de respaldo?

software

se

generan

Seguros

Objetivos de Auditoria:

Revisar la cobertura respecto a una proteccin suficiente contra una


variedad de desastres: todo riesgo, gastos adicionales, prdidas por
interrupcin de actividades.

Procedimientos de Auditoria:

Est incluido lo siguiente en su seguro de la propiedad?: incendios,


daos causados por el agua, disturbios civiles, vandalismo, desastres
naturales, rayos, huracanes, terremotos, colapso de la estructura,
aeronaves, falla del sistema de aire acondicionado, explosiones, gas,
calderas, daos a la propiedad de la organizacin, entre otros.
Hay cobertura especfica para: el equipo de PED, los medios de
almacenaje, gastos adicionales, prdidas por interrupcin de
actividades, software y documentacin?
Hay seguros para formas de computador que representen ttulos
valores para cubrir las prdidas por medio del computador de:
archivos de cuentas por cobrar, Otros archivos?
Controles

Existe un plan de emergencia por escrito

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

104

Existe un programa de adiestramiento para todo el personal del PED.


Hay Hardware y Software de respaldo
Existe acuerdos formales para procesamiento alterno.
Existe un plan de implantacin de respaldo.
La cobertura de los seguros ofrece una proteccin suficientes.

5.5.7 rea de Desarrollo de Sistemas


Objetivos de Control

Asegurar que una aplicacin sea convertida al computador,


solamente si se va a producir mayores beneficios que cualquier otra
alternativa.

Asegurar el desarrollo de sistemas y programas efectivos.

Asegurar que los sistemas y programas sean mantenidos con


efectividad.

Controles

Se deber de realizar un estudio de factibilidad efectivo.

La alta gerencia deber de aprobar las conclusiones de los diferentes


grupos de estudio.

Se debern de elaborar planes a largo plazo como una gua para los
subsecuentes diseos de sistemas.

Deber haber una participacin activa de los representantes de los


departamentos usuarios, incluyendo el departamento de contabilidad.

Se deber de separar las funciones de programacin y operacin.

Se deber de establecer, documentar y poner


procedimientos estndar para la programacin.

Cada sistema deber ser revisado y aprobado por la alta gerencia y


los departamentos usuarios interesados antes de iniciar el diseo de
los sistemas.

Deber existir colaboracin entre los departamentos usuarios y el


departamento de PED, para probar y ensayar los sistemas.

Las comprobaciones finales debern comprender todas las fases del


sistema, incluyendo el procesamiento manual y el computador.

en

prctica,

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

105

Se deber de controlar la conversin de los archivos a fin de prevenir


la realizacin de modificaciones sin autorizacin, y para garantizar la
obtencin de resultados exactos y completos.

Se deber de obtener autorizacin antes de iniciar una modificacin.

Deber controlarse la comprobacin y aprobacin final de las


modificaciones.
5.5.8 rea de Eficiencia
Objetivos de Control

Determinar el grado de satisfaccin de los usuarios del sistema.

Determinar si las aplicaciones de sistemas han sido la solucin a los


diferentes problemas planteados.

Determinar el contenido tcnico de los sistemas y programas que se


desarrollen para asegurarse de que la empresa obtiene el mximo
beneficio de los esfuerzos y recursos que se ponen en juego.

Determinar si los controles existentes en las diferentes reas son


suficientes.

Controles

Las aplicaciones deben solucionar problemas planteados.

La informacin que suministra el sistema debe ser oportuno,


confiable y suficiente para la toma de decisiones.

Deben llevarse estadsticas que permitan evaluar el departamento de


sistemas.

Debe efectuarse reuniones con los Jefes de departamentos usuarios


que permitan evaluar en parte Los resultados del departamento de
sistemas.

Deber ser
computador.

Deber planearse un programa acerca de la rotacin del personal de


la operacin en aplicaciones delicadas.

Deber ser supervisada la eficiencia en el cumplimiento de las


funciones.

Deber ser evaluado el cumplimiento en el desarrollo de los planes


de sistemas.

supervisada

con

eficiencia

las

operaciones

del

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

106

Normalmente es conveniente que el Comit Tcnico


evaluaciones en relacin a la idoneidad del personal.

Deber acondicionarse el hardware, software y utilitarios del sistema


de acuerdo a las necesidades de la Empresa.

Se realizan estudios de factibilidad.

Asegurar que los programas y sistemas son mantenidas con


seguridad suficiente.

5.6

elabore

AUDITORIA DE CONTROLES GENERALES AL CENTRO DE


PROCESAMIENTO DE DATOS
Ref. PT

PRUEBA No.______
1 OBJETIVOS DE LA PRUEBA

2 TCNICA (S) A EMPLEAR

3 TIPO DE PRUEBA
CUMPLIMIENTO_________SUSTANTIVA___________DOBLE
FINALIDAD________
4 PROCEDIMIENTO A EMPLEAR

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

107

5 RECURSOS NECESARIOS PARA APLICARLA


(Software, hardware, personal, informacin)
ELABORADO POR_____________________________________________________
REVISADO POR______________________________________________________
FECHA_______________________

Ref. PT
PRUEBA No.______
1 HALLAZGO
___________________________________________________________________
___________________________________________________________________
2 CAUSAS
___________________________________________________________________
___________________________________________________________________
3 SITUACIN DE RIESGO QUE GENERA

4 ESTANDAR DE COMPARACIN
___________________________________________________________________
5 CONCLUSIONES DE AUDITORIA
___________________________________________________________________
6 RECOMENDACIONES DE AUDITORIA
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

108

_________________________________________________________________________
_____________________________________________________________

DISCUTIDO CON_____________________________________________________
FECHA_________________

5.7

PROBABILIDAD DE LAS AMENAZAS

RIESG
O

DESTRUCCIN

FRAUDE /
ROBO

ERRORES
HUMANOS

DIVULGACIN
NO
AUTORIZADA

FALLAS
DE
HARDWARE

RECURSOS
EQUIPOS
DE PED

INSTALAC.
DE PED

ARCHIVOS
DE DATOS

SOFTWARE

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

109

DOCUMENT
ACIN

5.8 EJEMPLO
CONTROLES
RIESGOS
EXISTENTES

MATRIZ

PROBABILIDAD
DE
OCURRENCIA

DE

EVALUACIN

CAUSAS
O
AMENAZAS

CONTROLES
EXISTENTES

DE

RIESGOS

EFECTIVIDA
D

1.

2.

3.

4.

RECOMENDAC
ION

5.
6.

0 = INEXISTENTE 1 = BAJO 2 = MEDIO 3 = ALTO


Estimar las prdidas y gastos adicionales por la interrupcin de las
actividades del Centro de Procesamiento:

Determinar el valor de los recursos informticos.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

110

Determinar por anticipado cualquier gasto adicional y las prdidas


ocasionadas por la interrupcin de las actividades del centro de
procesamiento hasta que se restaure la normalidad.

Costo de Reemplazo / Recreacin

Equipos, perifricos, comunicaciones, medios de almacenamiento y


suministros
Instalaciones del centro de computo y preparacin del lugar
Datos y archivos
Software
Documentacin
Gastos adicionales (arriendos, personal, etc.)
Perdidas por interrupcin de actividades
Das necesarios para reemplazar / recrear los recursos informticos.

5.9

AUDITORIA DE LAS APLICACIONES EN FUNCIONAMIENTO

Etapas

Planeacin del trabajo

Investigacin preliminar

Evaluacin de los controles existentes

Diagnostico y recomendaciones de los controles existentes

Planear y disear pruebas de auditoria

Ejecutar pruebas de auditoria

Analizar resultados de las pruebas

Emitir informes

reas de Revisin

Origen y Preparacin de Datos.


Captura y Validacin de Datos.

Procesamiento y Actualizacin de Datos.

Salidas de la Actualizacin

Integridad del Sistema y de los datos.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

111

Acceso a y seguridad de los programas.

Acceso a y seguridad de los archivos de datos.

Cambios a los programas de la aplicacin.

Backup y recuperacin.

Terminales y Comunicacin de Datos.

Documentacin tcnica y del usuario.

Auditabilidad de la aplicacin.

Utilizacin y Control de Resultados.

PLANEACIN DE LA AUDITORIA
APLICACIN________________________________________
OBJETIVO
GENERAL
DEL
TRABAJO
A
REALIZAR_________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
ALCANCE DEL TRABAJO A REALIZAR (reas de Revisin)
1.
2.
3.
4.
5.
6.
7.
8.
9.

(
(
(
(
(
(
(
(
(

)
)
)
)
)
)
)
)
)

Origen y Preparacin de Datos


Captura y Validacin de Datos
Procesamiento y Actualizacin de Datos
Salidas de la Actualizacin
Integridad del Sistema y de los datos
Acceso a y seguridad de los programas
Acceso a y seguridad de los archivos de datos
Cambios a los programas de la aplicacin
Backup y recuperacin

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

10.
11. ( )
12. ( )
13. ( )

112

( ) Terminales y Comunicacin de Datos


Documentacin tcnica y del usuario
Auditabilidad de la aplicacin
Utilizacin y Control de Resultados

Puntos de inters para este trabajo


_________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
AUDITORES ASIGNADOS
Supervisor_______________________________Senior _____________________
Jnior______________________________________________________________
DURACIN ESTIMADA______Horas____ Das____
Semanas_____________
FECHA INICIACIN_________ FECHA TERMINACIN__________
5.10 GUA PARA ELABORAR EL ARCHIVO PERMANENTE DE LA
APLICACIN
EMPRESA _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
NOMBRE DE LA APLICACIN _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
Diligenciado por _ _ _ _ _ _ _ _ _ _ _ _ _ _ Fecha _ _ _ _ _ _ _ _ _ _ _ _
5.10.1 Objetivos, Alcance y Tamao de la Aplicacin

Objetivos que satisface para la organizacin

_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
____________________________________________________________

Procesos automatizados (Funciones) que realiza.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

113

Procesos
Periodicidad
___________________________________ __________________
___________________________________ __________________
___________________________________ __________________
___________________________________ __________________
___________________________________ __________________
___________________________________ __________________
___________________________________ __________________

Criticidad por tiempo muerto y divulgacin de la informacin

Por tiempo muerto ALTA


Menos de 1 da

MEDIA
5

IMPACTO
3

________

Una semana

________

Un mes

________

Ms de 30 das

Total Criticidad

BAJA

________
_________

Departamentos que generan informacin


(Transacciones)
alimentar el sistema (Fuentes de la informacin).
Departamento (Dependencia)

para

Transacciones

___________________________________
___________________________________
_____________________________
_____________________________
___________________________________
___________________________________
_____________________________

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

114

_____________________________
___________________________________
___________________________________
_____________________________
_____________________________

Elabore una lista de los documentos fuente que se utilizan para


registrar los datos en las fuentes de la informacin y anexe una
muestra de ellos.
REF

P/T

________________

Dependencias Externas involucradas en el manejo (proceso) de la


informacin

Dependencia

Procesos que realiza

_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________

Dependencias que reciben/utilizan informacin producida por el


sistema (Usuarios que satisface):

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

115

Departamento (dependencia)
_______________________________

Informacin que recibe

_______________________________
_____________________________
_____________________________
_______________________________
_______________________________
_____________________________
_____________________________

Elabore una lista de los informes que produce la aplicacin indicando


los objetivos de cada uno, la frecuencia de su produccin y los
usuarios que lo reciben.
REF.
A
P/T _________________
Elabore una matriz de Dependencias Involucradas en el Manejo de
la Aplicacin Vs. Escenarios de Riesgo.
REF

P/T ___________________

Interfases con otros sistemas.

Informacin que recibe de otras aplicaciones:


Aplicacin

Informacin que recibe

___________________________________
_____________________________
_____________________________
_______________________________
_______________________________
__________________________________
__________________________________

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

116

Informacin que genera para otras aplicaciones:


Aplicacin

Informacin que genera

____________________________
____________________________
____________________________
____________________________
____________________________
____________________________
____________________________
____________________________

Requerimientos legales que satisface.

________________________________________________________________
_______________________________________________________________
_______________________________________________________________

Programas que componen la aplicacin:


( )

Menos de 15.

( )

Entre 16 y 30.

( )

Ms de 30.

Obtenga una lista de los programas que componen la aplicacin,


indicando su identificacin y funciones que realiza.
REF

P/T

__________________

Archivos de computador importantes que maneja la aplicacin:


Identificacin

Contenido

___________________________

____

_____________________________

___________________________

_____

_____________________________

___________________________

_____

_____________________________

________________________________

_____________________________

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

________________________________

117

_____________________________

Obtenga una lista de los Archivos de Entrada / Salida que maneja la


aplicacin; adjunte la descripcin de los registros.
REF A P/T _____________

Elabore una lista de los campos codificables de los archivos e indique


su significado.
REF A P/T ______________

Elabore un esquema que grficamente represente el ambiente


operativo y tecnolgico de la aplicacin.
REF A P/T _______________

Elabore una lista de los campos de los archivos que son calculados
por el sistema e investigue las frmulas y algoritmos utilizados por la
aplicacin para obtenerlos.
REF A P/T _____________________

Obtenga los nombres de los cargos claves para el manejo de la


aplicacin en cada una de las dependencias involucradas y de las
personas que los desempean.
REF A P/T ________________________

Obtenga una lista de los manuales de documentacin tcnica del


usuario de la aplicacin e indique su localizacin. Solicite una copia
de ellos.
REF A P/T _______________________

Estructura y Tecnologa

Estructura de los archivos de Computador:


( )

No orientados a Bases de Datos

( )

Orientados a Bases de Datos

( )

Combinacin de las dos anteriores

Modo de procesamiento en el Computador:


UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

( )

Batch

( )

Entrada on line y actualizacin en batch

( )

Entrada y actualizacin en tiempo real

118

Periodicidad de las corridas de Actualizacin.


( )

Diaria

( )

Semanal / Quincenal / Mensual.

( )

Otras (indquelas) ____________________

Sitios de procesamiento:

( )

Uno solo (centralizado) __________________________________________

( )

Varios dentro de la misma ciudad

__________________________________
( )

Distribuido en varias ciudades (localizaciones). Indquelas

_____________

Si el software se desarroll a la medida de la organizacin:

( )

Lo desarroll el personal de la empresa

( )

Lo desarrollaron entre consultores y el personal de la empresa.

( )

Lo desarrollaron los consultores.

Nombre o Razn Social de los Consultores


________________________________
Fecha de instalacin ___________________________

Si el software se desarroll a la medida de la organizacin, en este


proceso participaron:

( )

Usuarios, auditores, consultores y el personal de Sistemas.

( )

Usuarios, auditores y consultores.

( )

Los usuarios, auditores y el personal de sistemas.

( )

Usuarios y Consultores

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

( )

119

Usuarios y el personal de sistemas

Si el software se desarroll por el personal de la organizacin, la


metodologa de desarrollo:

( )

Se aplic consistentemente

( )

Se aplic parcialmente

( )

Ninguno de los anteriores

Si el software se compr-

( )

Se instal sin modificaciones significativas

( )

Se instal con modificaciones significativas

Fecha de Instalacin _______________________________


Nombre del Proveedor ________________________________________________
Direccin _________________________________
Pas _____________________

Bueno

( )

Regular

( )

Malo

Si el software se compr, el mantenimiento lo realiza:

( )

El vendedor

( )

Personal de la Empresa

( )

Los dos anteriores

Telfonos ________________________________

Si el software se compr, el soporte del vendedor es:

( )

Ciudad __________________

Lenguaje de programacin utilizado.

( )

Alto Nivel

( )

Combinacin de alto y Bajo nivel.

( )

Bajo nivel.

Nombre de los lenguajes de programacin

Documentacin de la Aplicacin.

Del sistema

( )

Disponible, adecuada y actualizada


UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

( )

Disponible pero inadecuada y obsoleta

( )

No existe

De Programas

( )

Disponible, adecuada y actualizada

( )

Disponible pero inadecuada y obsoleta

( )

No existe

De Operaciones

( )

Disponible, adecuada y actualizada

( )

Disponible pero inadecuada y obsoleta

( )

No existe

Del Usuario

( )

Disponible, adecuada y actualizada

( )

Disponible pero inadecuada y obsoleta

( )

No existe

120

Descripcin del Equipo de Computador utilizado para la aplicacin:

CPU:
Marca ___________Modelo _________
Memoria RAM __________

Cantidad______

Unidades de Disco: _____________________________________________


Unidades de Cinta: ______________________________________________
Otras Unidades de E/S ___________________________________________

Otros dispositivos de Hardware

Terminales locales
Terminales remotas
Modems
Encripores
Lneas de Comunicacin de datos:
Pblicas
Privadas

Software del Sistema utilizado por la Aplicacin

Cantidad.
__________________
__________________
__________________
__________________
__________________
__________________

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

Descripcin
Sistema Operacional
__________________
Software de Comunicaciones
__________________
Software de Seguridad
__________________
Software de Librerias
__________________
Software de Baes de Datos
__________________
Otro (s)
________________ __

121

Nombre

Versin

________________
________________
________________
________________
________________
_______________

Procedimientos de respaldo de la aplicacin


Obtenga informacin sobre los procedimientos de backup de datos,
software, instalaciones y documentacin de la aplicacin. Tambin
obtenga informacin sobre los procedimientos del plan de
contingencias.
REF A P/T ______________

Satisfaccin de los Usuarios

Credibilidad y oportunidad de los resultados del sistema:

( )
( )
( )

Percepcin general de los controles y del funcionamiento del sistema:

( )
( )
( )

Confiables y se producen a tiempo


Confiables pero no se producen a tiempo
Presentan errores significativos.

Buena
Pasable
Deficiente

Participacin del usuario en el mantenimiento de la aplicacin:

( )

Ninguna

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

( )
( )

122

nicamente solicita cambios


Solicita y Aprueba los cambios

Esfuerzo de Auditoria Requerido

Importancia de la informacin que produce:

( )
( )
( )

Edad del sistema:

( )
( )
( )

Alta
Media
Baja

Privacidad y Confidencialidad de la informacin que procesa:

( )
( )
( )

En proceso de reemplazo.
No se reemplazar antes de dos aos
No se tiene previsto reemplazarla

Susceptibilidad al fraude relacionado con el computador:

( )
( )
( )

Ms de dos aos
Entre dos y cuatro aos
Ms de cuatro aos

Expectativas de vida de la Aplicacin:

( )
( )
( )

Calcula cifras para afectar los estados financieros


Produce informacin importante de tipo administrativo
Las dos anteriores

Significativa
Moderada
No significativa

Auditorias realizadas a la aplicacin en los ltimos tres aos:

( )
( )
( )

Ninguna
Una o ms por Auditores Financieros
Una o ms por Auditores Financieros y de Sistemas

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

Frecuencia de los cambios (mantenimiento) a los programas de la


aplicacin:

( )
( )
( )

Ninguna
En todo el proceso de mantenimiento
En las pruebas de aceptacin

Si el software se compr la Empresa:

( )
( )
( )

Ninguna
En todo el proceso de desarrollo / adquisicin
En la instalacin

Participacin de la Auditoria en el Mantenimiento de la Aplicacin:

( )
( )
( )

Al menos una vez por mes


Mximo dos veces por semestre
Ms de tres veces por ao

Participacin de la auditoria en el desarrollo / adquisicin de la


aplicacin:

( )
( )
( )

123

Dispone de todos los programas fuente


Dispone de algunos programas fuente
No dispone de programas fuente

Auditabilidad de la Aplicacin:

( )
( )

Las pistas son adecuadas


Las pistas son deficientes

EMPRESA ______________________________________________________
APLICACIN ____________________________________________________
Elaborado por _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

Fecha _ _ _ _ _ _ _ _ _

Objetivos, Alcances y Tamao

Importancia de los objetivos de la aplicacin en los negocios de la


Organizacin:
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

( ) Significativa
( ) Moderada
( ) No significativa
_________

124

Valor de
Riesgo
5
4

Peso del
Criterio
X
X
3

Puntaje

Criticidad
(Impacto)
de los errores de procesamiento en la
estabilidad financiera del negocio.
Valor de Peso del
Puntaje
Riesgo
Criterio
( ) Significativa
5
X
( ) Moderada
4
X
( ) No significativa
3
X
_________

Cantidad de dependencias involucradas en el manejo de la aplicacin

( ) Entre 1 y 3
( ) Entre 4 y 10
( ) Ms de diez

Valor de
Riesgo
3
4
5

Peso del
Criterio
X
X
X

Puntaje

_________

Cantidad de interfases con otros sistemas


Valor de Peso del
Riesgo
Criterio
( ) Ninguna
0
X
( ) Entre 1 y 3
3
X
( ) Ms de 3
4
X

Puntaje

_________

Requerimientos legales que satisface


Valor de Peso del
Riesgo
Criterio
( ) Ninguna
0
X
( ) Entre 1 y 3
3
X
( ) Ms de 3
4
X

Puntaje

_________

Cantidad de programas que componen la aplicacin

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

125

Valor de
Riesgo
( ) Ninguna
( ) Entre 1 y 3
( ) Ms de 3

3
4

Peso del
Criterio
0
X
X
X

Puntaje

_________

Archivos de computador importantes que maneja la aplicacin

( ) Menos de 3
( ) Entre 3 y 5
( ) Ms de 5

Valor de
Riesgo
3
4
5

Peso del
Criterio
X
X
X

Puntaje

_________

Puntaje total de objetivos, alcance y tamao


_________

Estructura y Tecnologa

Estructura de los Archivos de computador


Valor de Peso del
Puntaje
Riesgo

( ) No orientados a bases de datos


( ) Orientados a bases de datos
( ) Combinacin de las dos anteriores

3
4
5

Criterio
X
X
X
_________

Modo de procesamiento en el computador

Valor de
Peso del
Puntaje
Riesgo
Criterio
( ) Batch
3
X
( ) Entrada on line y actualizacin en batch
4
X
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

( ) Entrada y actualizacin en tiempo real

126

X
________

Periodicidad de las corridas de actualizacin


Valor de
Riesgo
( ) Diaria
5
( ) Semanal / Quincenal / Mensual
4
( ) Otra
3

Peso del
Puntaje
Criterio
X
X
X
_________

Sitios de Procesamiento

Si el software se desarroll a la medida de la organizacin

Valor de Peso del Puntaje


Riesgo
Criterio
( ) Uno solo (centralizado)
3
X
( ) Distribuido en una localizacin (ciudad)
4
X
( ) Distribuido en mltiples localizaciones
5
X
_________

(
(
(

(
(
(

Valor de Peso del


Puntaje
Riesgo Criterio
) Lo desarroll el personal de la empresa
5
X
) Lo desarrollaron entre consultores y el
Personal de la empresa
4
X
) Lo desarrollaron consultores
3
X
_________
Si el software se desarroll a la medida de la organizacin, en este
proceso Participaron
Valor de Peso del Puntaje
Riesgo
Criterio
) Usuarios, auditores y el grupo de QA
3
X
) nicamente los usuarios
4
X
) Ninguno de los anteriores
5
X
_________

Si el software se desarroll por el personal de la organizacin, la


metodologa de desarrollo
Valor de Peso del
Puntaje
Riesgo
Criterio
( ) Se aplic consistentemente
3
X
( ) Se aplic parcialmente
4
X
( ) Ninguno de los anteriores
5
X
_________
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

127

Si el software se compr

Valor de Peso del Puntaje


Riesgo
Criterio
( ) Se compr desarrollado a la medida
3
X
( ) Se instal sin modificaciones significativas
4
X
( ) Se instal con modificaciones significativas
5
X
_________

Si el software se compr, el soporte del vendedor es:

( ) Bueno
( ) Regular
( ) Malo

Peso del Puntaje


Criterio
X
X
X
_________

Si el software se compr, el mantenimiento lo realiza:

( ) El vendedor
( ) Personal de la Empresa
( ) Los dos anteriores

Valor de
Riesgo
3
4
5

Valor de
Riesgo
3
5
4

Peso del
Puntaje
Criterio
X
X
X
_________

Valor de
Riesgo
3
4
5

Peso del
Puntaje
Criterio
X
X
X
_________

Lenguaje de programacin utilizado

( ) Alto nivel
( ) Combinacin de alto y bajo nivel
( ) Bajo nivel
Documentacin de la Aplicacin

Del Sistema:
Valor de
Riesgo

( ) Disponible, adecuada y actualizada


( ) Disponible pero inadecuada y obsoleta
( ) No existe
5

Peso del
Criterio
3
4

Puntaje
X
X

X
_________

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

128

De programas:
Valor de
Riesgo

( ) Disponible, adecuada y actualizada


( ) Disponible pero inadecuada y obsoleta
( ) No existe

Peso del
Puntaje
Criterio
3
X
4
X
X
_________

De operaciones:

Valor de
Riesgo
( ) Disponible, adecuada y actualizada
3
( ) Disponible pero inadecuada y obsoleta
4
( ) No existe
5

Peso del
Criterio

Puntaje
X
X

X
________

Del usuario:
Valor de
Riesgo

( ) Disponible, adecuada y actualizada


( ) Disponible pero inadecuada y obsoleta
( ) No existe

Peso del
Puntaje
Criterio
3
X
4
X
X
________

Puntaje Total de Estructura y Tecnologa

________

Satisfaccin de los Usuarios

Credibilidad y oportunidad de los resultados del sistema


Valor de
Riesgo

( ) Confiables y se producen a tiempo


( ) Confiables pero no se producen a tiempo
( ) Presenta errores significativos
5

Peso del
Puntaje
Criterio
3
X
4
X
X
_________

Percepcin general de los controles y del funcionamiento del sistema

( ) Buena
( ) Pasable
( ) Deficiente

Valor de
Riesgo
3
4
5

Peso del
Criterio
X
X
X

Puntaje

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

129

_________

Participacin del usuario en el mantenimiento de la aplicacin


Valor de
Riesgo

( ) Ninguna
( ) nicamente solicita cambios
( ) Solicita y aprueba los cambios

Puntaje para Satisfaccin del Usuario


_____________

Peso del
Puntaje
Criterio
3
X
4
X
X
_____________
_

Esfuerzo de Auditoria Requerido

Importancia de la informacin que produce

Valor de Peso del


Puntaje
Riesgo
Criterio
( ) Calcula cifras para afectar los estados
Financieros
3
X
( ) Produce informacin importante de tipo
Administrativo
4
X
( ) Las dos anteriores
5
X
_________
Edad del Sistema
Valor de Peso del
Puntaje
Riesgo
Criterio
( ) Ms de dos aos
5
X
( ) Entre dos y cuatro aos
4
X
( ) Ms de cuatro aos
3
X
_________

Expectativas de vida de la aplicacin

( ) En proceso de reemplazo
( ) No se reemplazar antes de dos aos
( ) No se tiene previsto reemplazarla

Valor de
Riesgo
3

Peso del
Criterio
X

4
5

Puntaje
X
X

Susceptibilidad al fraude relacionado con el computador

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

( ) Alta
( ) Media
( ) Baja

(
(
(

Valor de
Riesgo
5
4

Peso del
Criterio
X
X
3

Puntaje

X
_____________

Auditorias realizadas a la aplicacin en los ltimos tres aos


Valor de Peso del Puntaje
Riesgo
Criterio
) Ninguna
5
X
) Una o ms por auditores financieros
4
X
) Una o ms por auditores financieros y de
Sistemas
3
X
_____________
Frecuencia de los cambios (mantenimiento) a los programas de la
aplicacin

( ) Al menos una vez por mes


( ) Mximo dos veces por semestre
( ) Ms de tres veces por ao

Valor de Peso del


Puntaje
Riesgo
Criterio
5
X
4
X
3
X
_________

Privacidad y Confidencialidad de la informacin que procesa

( ) Significativa
( ) Moderada
( ) No significativa

130

Valor de
Riesgo
5
4
3

Peso del
Criterio

Puntaje

X
X
X
_____________

Participacin de la Auditoria en el desarrollo / adquisicin de la


Aplicacin

Valor de Peso del Puntaje


Riesgo
Criterio
( ) Ninguna
5
X
( ) En todo el proceso de desarrollo /adquisicin
4
X
( ) En la instalacin
3
X

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

131

_________

Participacin de la Auditoria en el Mantenimiento de la aplicacin


Valor de
Riesgo

( ) Ninguna
( ) En todo el proceso de mantenimiento
( ) En las pruebas de aceptacin

Peso del
Puntaje
Criterio
5
X
3
X
X
__________

Si el software se compr en la Empresa


Valor de
Riesgo

( ) Dispone de todos los programas fuente


( ) Dispone de algunos programas fuente
( ) No dispone de programas fuente

Peso del Puntaje


Criterio
3
X
4
X
5
X
________

Puntaje para el Esfuerzo de Auditoria Requerido


_________
Puntaje Total de la Aplicacin (A + B + C + D)

___________

IDENTIFICACIN DE ACTIVIDADES SUJETAS A CONTROL (ASC)


APLICACIN____________________________________________
TRANSACCIN__________________________________________
ACTIVIDADES SUJETAS A CONTROL
1.
2.
3.
4.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

132

5.
IDENTIFICACIN DE CONTROLES EXISTENTES
APLICACIN _____________________________________________
TRANSACCIN ___________________________________________
CONTROLES EXISTENTES
1.
2.
3.
4.
5.

IDENTIFICACIN DE DEBILIDADES DE CONTROL


APLICACIN ____________________________________________
TRANSACCION __________________________________________
DEBILIDADES EXISTENTES.
1.
2.
3.
4.
5.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

133

IDENTIFICACION DE SITUACIONES DE RIESGO


APLICACIN ____________________________________________
TRANSACCION __________________________________________
SITUACIONES DE RIESGO.
1.
2.
3.
4.
5.

Ejemplo Matriz de Evaluacin de Riesgos y Controles

RIESGOS
EXISTENTE
S

PROBABILIDA
D
DE
OCURRENCIA

CAUSAS
O
AMENAZA
S

CONTROLE
S
EXISTENTE
S

EFECTIVIDA
D

1.

2.

3.

4.

RECOMENDACI
N

5.
6.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

134

0 = INEXISTENTE 1 = BAJO 2 = MEDIO 3 = ALTO


FORMATO PARA DISEAR PRUEBAS DE AUDITORIA EN INFORMTICA
APLICACIN_________________________________________

REF.

PRUEBA No. _______


1.
OBJETIVOS DE LA PRUEBA____________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________________________________________________________
_________________________
2. TECNICA (S) A EMPLEAR _____________________________________
_________________________________________________________________________
_________________________________________________
3. TIPO DE PRUEBA
DE CUMPLIMIENTO ____SUSTANTIVA____DE DOBLE FINALIDAD____
4. RECURSOS NECESARIOS PARA APLICARLA
4.1 INFORMACIN ___________________________________________________
___________________________________________________________________

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

135

4.2 SOFTWARE ______________________________________________________


___________________________________________________________________
4.3 HADWARE_______________________________________________________
___________________________________________________________________
4.4. PERSONAL______________________________________________________
___________________________________________________________________
5.
PROCEDIMIENTO
A
EMPLEAR_________________________________
_________________________________________________________________________
_________________________________________________________________________
______________________________________
8. ELABORADO POR ____________________________________FECHA________
10. REVISADA POR _____________________________________FECHA________
11. REFERENCIA A P/T __________________________________
AUDITORIA DE CONTROLES GENERALES A LAS
APLICACIONES COMERCIALES
Ref. PT
PRUEBA No.
1. HALLAZGO
___________________________________________________________________
___________________________________________________________________
2. CAUSAS
___________________________________________________________________
___________________________________________________________________
3. SITUACIN DE RIESGO QUE GENERA
___________________________________________________________________

4. ESTNDAR DE COMPARACIN
___________________________________________________________________
___________________________________________________________________
5. CONCLUSIONES DE AUDITORIA
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

136

___________________________________________________________________
___________________________________________________________________
6. RECOMENDACIONES DE AUDITORIA
___________________________________________________________________
___________________________________________________________________
DISCUTIDO CON _____________
FECHA__________
NECESIDADES DE INFORMACIN
Unidad orgnica _____________________________________________________
Localidad ___________________________________________________________
Entrevistado ________________________________________________________
Entrevistador _______________________________________________________
Descripcin de la Informacin
___________________________________________________________________
Propsito (gerencial, operacin, externa)
___________________________________________________________________
Funcin soportada
___________________________________________________________________
Frecuencias
A solicitud....................
Diaria.........................
Semanal........................
Mensual........................
Trimestral.....................
Semestral......................
Anual..........................
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

137

Otros..........................

Beneficio potencial de tener esta informacin:

Como puede ser usada esta informacin (soporte de decisiones,


administracin de recursos, control operacional).
Ahorro de costos potenciales (operacionales, financieros, incremento
en produccin, incremento en rentabilidad. Incluir valor aprox.)
Cuales de estos aspectos pueden ser apoyados o asistidos por esta
informacin.
Factores crticos de xito
___________________________________________________________________
Funcin
___________________________________________________________________
Problemas / limitaciones
___________________________________________________________________

Proceso de Comprensin y Anlisis

Que entiende por naturaleza de los papeles de trabajo?

Enunciar y explicar brevemente los archivos que se deben manejar


dentro de los papeles de trabajo.

Que es la plantacin de la auditoria?

Que es investigacin preliminar?

Que es la evaluacin de la seguridad de sistemas?

Que es el diseo de las pruebas de la auditoria?

Que es un informe final de la auditoria?

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

Que debe contener la gua para elaborar archivos permanentes?

Que considera usted que sea un tiempo ocioso?

138

Solucin de Problemas

Con los papeles de trabajo que encuentran en esta unidad preparar


un informe de auditoria diligencindolos en su totalidad e
interpretndolos, segn sus conocimientos adquiridos en este mdulo
y en los anteriores referentes a esta rea de formacin.

Sntesis Creativa y Argumentativa


Planeacion de la Auditoria
La planeacin de la auditoria de sistemas tiene una serie de parmetros;
investigativos, evaluativos, de diseo, de ejecucion, analisis,
determinacion y elaboracion de un informe; con estos dichos parmetros
se desarrollan una serie de reas tales como:
rea de planeacin: este determina que existe un plan de desarrollo
estrategico y soporte correspondiente, la planeacion propia para el
desarrollo de sistemas.
rea de organizacin: este determina que existe una estructura
organizacional del departamento de sistemas, el organismo o persona
ejecuta un control orgaizacional al departamento.
rea de Backup y Recuperacion: asegura que existan procedimientos
adecuados para proteger el contenido de las libreras contra daos
accidentales, prdidas o mal manejo. Asegura que todos los archivos
y medios magnticos sean inventariados y adecuadamente
controlados.
rea de seguridad: en el rea de seguridad existen una serie de
parametros que se deben de tener en cuenta para no sufrir ningun
retraso con los equipos tales como: exposicin al fuego, exposicin al
dao por causa de agua, sistema de aire acondicionado, temperatura,
filtracion, humedad, electricidad, exposicion a desastres naturales ,
controles acceso, asuntos generales.
rea de produccin: en esta area se trabajan dos parametros que
son indispensables para una buena produccion estos parametros son:
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

139

Operacin y procesamiento.
rea de desarrollo del sistema:
asegura una aplicacin sea
convertida al comportamiento solamente si se va a producir mayores
beneficios que cualquier otra alternativa. El desarrollo de sistema y
porgrama efectivos.
rea de eficiencia: determina el grado de satisfacin de los usuarios
del sistema. Si los controles existentes en las diferentes reas son
suficientes.

Con base en la informacin presentada anteriormente, extraer una


conclusin general.

Autoevaluacin

Clasificar los diferentes tipos de papeles de trabajo existente.

Indicar la aplicabilidad de los papeles de trabajo.

Legalmente y segn las normas de auditoria


aceptadas, para que sirven los papeles de trabajo?

Cuanto tiempo se deben conservar los papeles de trabajo?

De quien son propiedad los papeles de trabajo?

generalmente

Repaso Significativo

Elaborar un flujograma que identifique claramente los diferentes


procesos en la elaboracin de una auditoria de sistemas.

Identificar por medio de un mapa conceptual los principales papeles


de trabajo utilizados en una auditoria de sistemas.

Analizar e interpretar informes de auditorias de sistemas, y


considerar que valor agregado le puede aportar en su proceso de
aprendizaje como profesional y en el caso de desempearse como
auditor apoyado por computador.

Bibliografa Sugerida

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

140

SERRANO, C. L. Fabra y E. Lobera. Planificacin de Sistemas de


Informacin en la Empresa: el Intercambio Electrnico de Datos (EDI)
"SCIRE: Representacin y Organizacin del Conocimiento, Vol. 2.
1997.
TEODORO, J. "Intercambio Electrnico de Datos (EDI)", Ministerio de
Obras Pblicas, Transportes y Medio Ambiente, 1994.
The Institute of Internal Auditors Research Foundation's. SAC Systems
Auditability and Control, EE.UU. 1994.
THORIN, M.
La Auditoria Informtica, Mtodos, Normas y Reglas.
Masn, Pars. 1989.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

141

BIBLIOGRAFIA GENERAL
AICPA. The American Institute of Certified Public Accountants. SAS 78
Consideration of the Internal Control Structure in a Financial Statement
Audit., EE.UU. 1995.
Audisis Ltda.. Metodologa de Auditoria de los centros de cmputo, Vol.
1, Santa Fe de Bogot. 1992.
COLBERT, J.; Bowen, P. A compararison of internal control: (COBIT, SAC,
COSO and SAS 78), 1998. Pgina WEB (www.isaca.org).
COOPERS & LYBRAND.
Control Interno,
Informtica. Vol. 5, Expansin, Madrid. 1996.

Auditoria

CORNELLA, A.
Informacin digital para la empresa.
Barcelona. 1996.

Seguridad
Marcombo,

COSO. The Committee of Sponsoring Organizations of the Treadway


Commission's Internal Control - Integrated Framework, EE.UU. 1992.
DAVIS, J.; Cushing, B. Accounting Information System. EE.UU. 1980.
E.D.P. Auditors Foundation. Estndares de auditoria de sistemas, L.A.,
EE.UU. 1990.
El consejo superior de informtica del ministerio de administraciones
pblicas de Espaa. MARGERIT, Metodologa de anlisis y gestin de
riesgos de los sistemas de informacin, MAP, Espaa. 1997.
FERNNDEZ, F. Procedimientos de auditoria en los sistemas de EDI,
Revista Tcnica. Instituto de Auditores Censores Jurados de Cuentas de
Espaa. 1998.
FITZGERALD, J. Framework system imformation, Limusa, Mxico. 1990.
FORTUNA, J.M.; Busto, B. y SASTRE, J.M. Los Sistemas Expertos:
fundamentos y aplicaciones a la Contabilidad, Partida Doble n17. 1991.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

142

Galn, L. Informtica y Auditoria para las Ciencias Empresariales,


Colombia. 1996.
IFAC. Federacin Internacional de Contables, Gua Internacional de
Formacin No. 11. (Tecnologa de la informacin en el curriculum de
Contabilidad). 1995
IFAC.
International Federation of Accountants Handbook.
internacionales de auditoria. 1997. www.ifac.org.

Normas

IFAC. La Federacin Internacional de Contables, Gua Internacional de


Formacin No 9 de julio de 1991, revisada en octubre de 1996
(Valoracin de la competencia profesional y requerimientos de
experiencia de contables).
ISACA. The Information Systems Audit and Control Foundation: COBIT
Control Objectives for Information and related Technology., EE.UU. 1998.
ISACA. The Information Systems Audit and Control Foundation: General
standars for information systems Auditing. EE.UU. 1987.
LANEZ, J. A.; Callao, S.
Contable, Espaa. 1998.

Anlisis Internacional de la Informacin

LEITCH, R.A.; Davis, K.R. Accounting and Information Systems, Prantice


Hall. EE.UU. 1995.
LPEZ, A. El cuadro de mando y los sistemas de informacin para la
gestin empresarial, aeca. Madrid. 1998.
MOELLER, R. Computer Audit, Control and Security, Wyley & Sons Inc.
New York. 1989.
PAGE, J.; HOOPER, P. Accounting and Information Systems, Prantice Hall.
EE.UU. 1996.
PIATTINI, M.; del Peso, E. Auditoria Informtica un enfoque practico, RAMA, Espaa. 1998.
SNCHEZ TOMS, A.
Sistemas Expertos en Contabilidad, Tcnica
Contable, n 514. 1991.
SERRANO, C. L. FABRA y E. LOBERA. Planificacin de Sistemas de
Informacin en la Empresa: el Intercambio Electrnico de Datos (EDI)
UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia

Auditoria de Sistemas

143

"SCIRE: Representacin y Organizacin del Conocimiento, 1997, Vol. 2.


1997.
TEODORO, J. "Intercambio electrnico de datos (EDI)", Ministerio de
Obras Pblicas, Transportes y Medio Ambiente, 1994.
The Institute of Internal Auditors Research Foundation's. SAC Systems
Auditability and Control, EE.UU. 1994.
THORIN, M. La Auditoria Informtica mtodos, normas y reglas. Masson,
Pars. 1989.

UNIVERSIDAD DE PAMPLONA Centro de Educacin Virtual y a Distancia