Unidad 2 Planeación de la auditoria Informática

2.1 Fases Auditoria Informatica

Fase I: Conocimientos del Sistema

Fase II: Análisis de transacciones y recursos

Fase III: Análisis de riesgos y amenazas

Fase IV: Análisis de controles

Fase V: Evaluación de Controles

Fase VI: El Informe de auditoria

Fase VII: Seguimiento de las Recomendaciones

Fase I: Conocimientos del Sistema

1.1. Aspectos Legales y Políticas Internas.

Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el
marco de referencia para su evaluación.

1.2.Características del Sistema Operativo.

• Organigrama del área que participa en el sistema

• Manual de funciones de las personas que participan en los procesos

del sistema

• Informes de auditoría realizadas anteriormente

1.3.Características de la aplicación de computadora

• Manual técnico de la aplicación del sistema

• Funcionarios (usuarios) autorizados para administrar la aplicación

• Equipos utilizados en la aplicación de computadora

• Seguridad de la aplicación (claves de acceso)

• Procedimientos para generación y almacenamiento de los archivos de la aplicación.

Fase II: Análisis de transacciones y recursos

2.1.Definición de las transacciones.

Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en
subprocesos. La importancia de las transacciones deberá ser asignada con los
administradores.

2.2.Análisis de las transacciones

• Establecer el flujo de los documentos

En esta etapa se hace uso de los flujogramas ya que facilita la visualización del
funcionamiento y recorrido de los procesos.

2.3.Análisis de los recursos

• Identificar y codificar los recursos que participan en el sistemas

2.4.Relación entre transacciones y recursos

Fase III: Análisis de riesgos y amenazas

3.1.Identificación de riesgos

• Daños físicos o destrucción de los recursos

• Pérdida por fraude o desfalco

• Extravío de documentos fuente, archivos o informes

• Robo de dispositivos o medios de almacenamiento

• Interrupción de las operaciones del negocio

• Pérdida de integridad de los datos

• Ineficiencia de operaciones

• Errores

3.2.Identificación de las amenazas

• Amenazas sobre los equipos:

• Amenazas sobre documentos fuente

• Amenazas sobre programas de aplicaciones

3.3.Relación entre recursos/amenazas/riesgos

La relación entre estos elementos deberá establecerse a partir de la observación de los

recursos en su ambiente real de funcionamiento.

Fase IV: Análisis de controles

4.1.Codificación de controles

Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la

identificación de los controles deben contener una codificación la cual identifique el grupo
al cual pertenece el recurso protegido. 4.2.Relación entre recursos/amenazas/riesgos

La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado.
Para cada tema debe establecerse uno o más controles.

4.3.Análisis de cobertura de los controles requeridos

Este análisis tiene como propósito determinar si los controles que el auditor identificó como
necesarios proveen una protección adecuada de los recursos.
Fase V: Evaluación de Controles

5.1.Objetivos de la evaluación

• Verificar la existencia de los controles requeridos

• Determinar la operatividad y suficiencia de los controles existentes

5.2.Plan de pruebas de los controles

• Incluye la selección del tipo de prueba a realizar.

• Debe solicitarse al área respectiva, todos los elementos necesarios de prueba.

5.3.Pruebas de controles

5.4.Análisis de resultados de las pruebas

Fase VI: Informe de Auditoria

6.1. Informe detallado de recomendaciones

6.2. Evaluación de las respuestas

6.3. Informe resumen para la alta gerencia

Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso
de la áreas.

• Introducción: objetivo y contenido del informe de auditoria

• Objetivos de la auditoría

• Alcance: cobertura de la evaluación realizada

• Opinión: con relación a la suficiencia del control interno del sistema evaluado

• Hallazgos
• Recomendaciones

Fase VII: Seguimiento de Recomendaciones

7.1. Informes del seguimiento

7.2. Evaluación de los controles implantados

Fin de la sesión.

Informática II. Decanato de Administración y Contaduría

Auditoría Informática

Revisión

Evaluación

Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de

Información

Informática II. Decanato de Administración y Contaduría

Auditoría Informática

Objetivos

• Presentar recomendaciones en función

de las fallas detectadas.

• Determinar si la información que brindan

los Sistemas de Informáticos es útil.

• Inspeccionar el Desarrollo de los Nuevos

Sistemas.

• Verificar que se cumplan las normas y

políticas de los procedimientos.
Auditoría Informática

Informática II. Decanato de Administración y Contaduría

Tipos

Interna: Aplicada con el personal que labora en la empresa.

Externa: Se contrata a una firma especiali- zada para realizar la misma.

Auditoría Informática Externa

Las empresas recurren a la auditoría externa cuando existen:

• Síntomas de Descoordinación

• Síntomas de Mala Imagen

Informática II. Decanato de Administración y Contaduría • Síntomas de Debilidades

Económicas

• Síntomas de Inseguridad

Aspectos Fundamentales en la Auditoría de los Sistemas de Información Informática II.

Decanato de Administración y Contaduría

Auditoría Informática de Desarrollo de Aplicaciones Cada una de las fases del desarrollo de
las nuevas aplicaciones informáticas deben ser sometidas a un minucioso control, a fin de
evitar un aumento significativo de los costos, así como también insatisfacción de los
usuarios. Informática II. Decanato de Administración y Contaduría

Auditoría de los Datos de Entrada Se analizará la captura de la información en soporte

compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y
entrega de datos; la correcta transmisión de datos entre entornos diferentes. Se verificará
que los controles de integridad y calidad de datos se realizan de acuerdo a las Normas
establecidas.

Informática II. Decanato de Administración y Contaduría

Auditoría Informática de Sistemas Se audita: Informática II. Decanato de Administración y
Contaduría • Sistema Operativo: Verificar si la versión instalada permite el total
funcionamiento del software que sobre ella se instala, si no es así determinar la causa •
Software de Aplicación: Determinar el uso de las aplicaciones instaladas. •
Comunicaciones: Verificar que el uso y el rendimiento de la red sea el más adecuado .

Técnicas de Auditoría Existen varias técnicas de Auditoría Informática de Sistemas, entre

las cuales se mencionan: • Lotes de Prueba: Transacciones simuladas que se introducen al
Sistema a fin de verificar el funcionamiento del mismo. Entre los datos que se deben incluir
en una prueba se tienen: • Datos de Excepción. • Datos Ilógicos. • Transacciones Erróneas

Informática II. Decanato de Administración y Contaduría

Técnicas de Auditoría …(Continuación) • Auditoría para el Computador: Permite

determinar
si el uso de los equipos de computación es el idó-
neo. Mediante esta técnica, se detectan
equipos sobre y subutilizados.
• Prueba de Minicompañía: Revisiones periódicas
que se realizan a los Sistemas a fin de determi-
nar nuevas necesidades.
Informática II. Decanato de Administración y Contaduría

Peligros Informáticos • Incendios: Los recursos informáticos son

muy sensibles a los incendios, como por
ejemplo reportes impresos, cintas, discos.
• Inundaciones: Se recomienda que el Departamento
de computación se encuentre en un nivel alto. La
Planta Baja y el Sótano son lugares propensos a las
inundaciones.
• Robos: Fuga de la información confidencial de la
empresa.
• Fraudes: Modificaciones de los datos dependiendo
de intereses particulares.
Informática II. Decanato de Administración y Contaduría

Medidas de Contingencia Mecanismos utilizados para contrarrestar la pérdida o daños de la

información, bien sea intencionales o accidentales. La más utilizada es la Copia de
Seguridad (Backup), en la cual se respalda la informa- ción generada en la empresa .
Informática II. Decanato de Administración y Contaduría

Copias de Seguridad Las copias pueden ser totales o parciales y la fre- cuencia varía
dependiendo de la importancia de la información que se genere. Backup Se recomienda
tener como mínimo dos (2) respaldos de la información, uno dentro de la empresa y otro
fuera de ésta (preferiblemente en un Banco en Caja Fuerte). Informática II. Decanato de
Administración y Contaduría

Medidas de Protección Medidas utilizadas para garantizar la Seguridad Física de los Datos.
Aquellos equipos en donde se genera información crítica, deben tener un UPS. De igual
forma, el suministro de corriente eléctrica para el área informática, debe ser independiente
del resto de las áreas. Informática II. Decanato de Administración y Contaduría

Medidas de Control y Seguridad Mecanismos utilizados para garantizar la Seguridad

Lógica de los Datos. En los Sistemas Multiusuarios se deben restringir el acceso a la
Información, mediante un nombre de usuario (login) y una contraseña (password). Del
mismo modo, se debe restringir el acceso a los Sistemas en horas no laborables salvo casos
excepcionales. Informática II. Decanato de Administración y Contaduría

La Auditoría Informática es una parte integrante de la auditoría. Se preguntará por que se

estudia por separado, pues simplemente para abordar problemas más específicos y para
aprovechar los recursos del personal. Sin embargo, es bueno acotar que debe realizarse
dentro de un marco de auditoría general.

Para clarificar aún más la lámina, diremos entonces que la Auditoría Informática es el
proceso de revisión y evaluación de los controles y medidas de seguridad que se aplican a
los recursos:

a). Tecnológicos.

b). Personal.

c). Software

d). Procedimientos. que se utilizan en los Sistemas de Información manejados en la

empresa.
En este sentido, se deben revisar y evaluar si se han desarrollado e implementados controles
apropiados y adecuados en los sistemas de información.

La auditoría Informática va mucho más allá de la simple detección de errores. Si bien es

cierto que la Auditoría es un proceso que permite detectar fallas, es menester de la
auditoría, el presentar algunas sugerencias que puedan ser aplicadas para evitar de esta
manera la repetición de las mismas en un futuro.

Básicamente, el objetivo principal de la auditoría informática es garantizar la operatividad

de los procesos informáticos. En otras palabras, ofrecer la continuidad los procesos de
generación, distribución, uso y respaldo de información dentro de las organizaciones.

Ya puede ir formándose una idea entonces de la importancia que tiene la Auditoría

Informática (si no es así, ¿le parece poco el hecho de que permita mantener operativo todos
los procesos relacionados con el manejo de la información?). Importancia de la Auditoría
Informática

Tal como se mencionó anteriormente su importancia radica en el hecho de garantizar la

operatividad de los procesos informáticos. Del mismo modo, la Auditoría es compatible
con la calidad, ya que mediante la auditoría, se buscan implantar mejoras en busca del
perfeccionamiento de los procesos, incorporando nuevas técnicas y tecnologías.

Tal como lo pudo apreciar, las definiciones anteriores son muy sencillas y no dejan lugar a
ninguna duda. Sin embargo, consideramos prudente ampliar nuestra exposición y ofrecerle
algo más que una mera definición. Auditoría Interna

La auditoría Interna ofrece algunas ventajas en relación a la externa, en primer lugar es

menos costosa, puesto que se realiza con el mismo personal, y por otro lado, no se corre el
riesgo de que personas extrañas conozcan la información generada dentro de la firma. Sin
embargo, tiene sus limitaciones, entre las cuales se mencionan: la poca especialización que
tienen los integrantes en la materia conlleva al hecho de que se escapen algunos detalles
dentro del proceso (omisión de detección de errores) y por otro lado se corre el riesgo de
que se “encubran” deficiencias. Es factible que dentro del proceso de auditoría, las personas
no informen de alguna anomalía a fin “de no perjudicar al amigo”. Auditoría Externa

Con este tipo de auditoría existe menor margen de error, puesto que las personas que se
encargan de realizarla son especialistas en el área. Entonces, deben ser pocos los errores
que se detecten y las sugerencias aportadas son muy valiosas. Del mismo modo existe poco
margen de encubrimiento, ya que son personas ajenas a la firma.
Si bien es cierto que la Auditoría Interna es menos costosa, es una buena práctica para las
empresas, realizar Auditorías Externas periódicamente. Sin embargo, existen algunas
razones por las cuales una firma debería contratar los servicios de gente especializada.
Tales razones son las mostradas en la lámina, las cuales explicaremos con más detalle a
continuación: Síntomas de Descoordinación: No coincide el objetivo informático con el de
la empresa. En este sentido, es recomendable revisar la gestión de la informática a fin de
que la misma esté en función de apoyar al logro de los objetivos. Síntomas de Debilidad
Económica: Cuando existe un crecimiento indiscriminado de los costos informáticos. De
igual forma, se contrata un servicio externo para estudiar la factibilidad de invertir una
fuerte suma de dinero en el área. Síntomas de Mala Imagen: Existe una percepción poco
idónea de los usuarios finales de computadoras en relación a la Gestión actual del personal
de Informática. Existen quejas de que los programas no funcionan, problemas con la red
informática, desconfiguración de equipos, entre otros. Síntomas de Inseguridad: Cuando no
existe seguridad ni física ni lógica de la información manejada en la empresa.

Hasta estos momentos se ha mencionado un poco lo que es la Auditoría Informática, cuales

son sus objetivos y su importancia dentro de las organizaciones. Consideramos que ya tiene
la base suficiente para adentrarnos entonces en el estudio de la Auditoria Informática.

Existen dos enfoques básicos para la Auditoria de Sistemas de Información, conocidos

como: Auditoria Alrededor del Computador y Auditoria a través del Computador.

Auditoria Alrededor del Computador: La cual comprende la verificación tanto de los datos
de entrada como de salida, sin evaluar el software que procesó los datos. Aunque es muy
sencillo, no hace el seguimiento de las transacciones ni la exactitud ni integridad del
software utilizado. Es por ello, que se recomienda como un complemento de otros métodos
de auditoria.

Auditoria a Través del Computador: Comprende la verificación de la integridad del

software utilizado, así como también los datos de entrada y la salida generada tanto por las
redes y sistemas computacionales. Sin embargo, la auditoria a través del computador
requiere de un conocimiento tanto de las redes como del desarrollo de software.

Una de las actividades que más dolores de cabeza trae a las organizaciones es el desarrollo
de los nuevos sistemas informáticos. Existen muchas razones para tantos inconvenientes,
entre las que se destaca: una pobre determinación de los requerimientos (tanto los analistas
como los usuarios, que en muchas oportunidades asumen cosas que el otro no ha dicho),
carencia de un prototipo adecuado, una deficiente prueba del sistema y la premura con la
que se implanta el mismo.

En este sentido, la auditoría debe verificar que se cumplan a cabalidad cada una de las fases
del desarrollo del sistema. Se deben chequear los instrumentos y métodos empleados para
la determinación de los requerimientos, las herramientas que se utilizan para la
construcción del sistema, evaluar el prototipo que va a ser mostrado a los usuarios y
verificar que se hagan las pruebas al sistema antes de ser implantado. Recuerde: es
preferible esperar un poco más por un sistema probado y ajustado a las necesidades que
querer implantar “en dos días” un software que no ayudará en nada a los procesos
empresariales, por el contrario: entorpecerá los mismos. (¿Cuantas veces no le han dicho en
la calle como excusa “tenemos problemas con el sistema”?).

La materia prima para la generación de la información son los datos de entrada, es por ello
que todo proceso de auditoria informática debe contemplar el estudio de los mismos. Bajo
esta premisa, es importante llevar un control del origen de los datos que se introducen al
sistema y en la medida de lo posible, el responsable de la introducción de los mismos.

Por ejemplo, para un banco el origen de los datos lo representan las planillas de depósito,
retiro, entre otras. Si se lleva un control de dichos documentos es fácil auditar lo que tiene
el sistema contra el soporte físico (las planillas). Dicho proceso permite entonces detectar
errores de trascripción de datos al Sistema.

Otro hecho importante de la Auditoria de los datos de entrada, es que puede ser utilizado
como un mecanismo para determinar fraudes informáticos. ¿Cómo cree usted que se puede
determinar un retiro no autorizado de una cuenta bancaria?, ¿el cambio de calificaciones de
un estudiante?.

Es por ello que todas las organizaciones deben contar con mecanismos apropiados que
permitan auditar los datos de entrada.de los sistemas informáticos.

Al igual que ocurre con los datos de entrada, se deben revisar periódicamente las
herramientas informáticas que se utilizan dentro de la firma, a fin de verificar que se
adecuen a las necesidades del negocio. Es importante señalar que dicha revisión no debe
limitarse únicamente al hardware, por el contrario, se debe incluir también la revisión tanto
del software instalado como la red informática existente.

Toda empresa debe poseer software actualizado y con licencia de uso; el Sistema Operativo
no escapa de dicha situación. En este sentido, es conveniente que se cuente con una versión
que permita la evolución de las aplicaciones, de no ser así determinar las causas de ello. Por
ejemplo en el caso específico del Sistema Operativo Windows, es inusual que se labore con
la versión 3.11 para grupos de trabajo, en tal caso, como mínimo Windows 98 o Windows
NT 4.0.

Del mismo modo se debe auditar la red informática instalada, entre otras cosas para
observar su rendimiento (velocidad), la seguridad que ofrece (gran parte de los fraudes
obedecen a la carencia de seguridad tanto de los Sistemas como de las Redes Informáticas)
y verificar que se cumplan con las políticas y estándares establecidos para la red.

¿Y la Auditoría de las aplicaciones?. Pues la exposición se detallará en las láminas

subsiguientes.

La prueba de un Sistema es una tarea un poco más compleja de lo que realmente parece ser.
La misma no se limita exclusivamente a introducir algunos datos al Sistema a fin de
verificar que arroje el resultado esperado. Va mucho más allá. En primer lugar, la prueba
del Sistema no debe ser efectuada por los programadores, ya que éstos conocen los “trucos
del sistema”, e inconscientemente introducirán datos que no harán fallar a la aplicación,
razón por la cual se recomienda la designación de un equipo responsable para las misma.
Dicho equipo debe diseñar una “Batería de Prueba”, la cual consiste en un conjunto de
datos a ser introducidos en el sistema para observar su comportamiento. Por supuesto los
resultados de dichos datos se deben conocer con antelación a fin de que puedan ser
cotejados contra los que arroja el sistema. En toda batería de prueba aparte de las
transacciones comunes, se debe contar con:

Datos de Excepción: Aquellos que rompen con la regla establecida. Se deben incluir dichos
datos a fin de determinar si el sistema contempla las excepciones.

Datos Ilógicos: Son datos que no tienen ningún sentido. Se incluyen dentro de la prueba a
fin de determinar si el sistema posee los mecanismo de validación adecuados que impidan
el procesamiento de los mismos.

Datos Erróneos: Son aquellos que no están acordes con la realidad. El sistema no está en
capacidad de determinar si un dato esta correcto o no. Sencillamente, se introducen este
tipo de datos a fin de verificar si el sistema posee los mecanismos que permitan revertir la
transacción.

Auditoría para el Computador

Es importante determinar el uso de las computadoras. Esto a fin de verificar que no existan
computadores sobre o subutilizados. Por ejemplo, suponga el caso de un computador con la
configuración más actualizada que esté siendo empleado únicamente como terminal del
sistema de facturación de la empresa, por supuesto, es fácil deducir que no se está
aprovechando al máximo las bondades del equipo. Ahora suponga la contrario, es decir,
que exista un equipo con mediana capacidad en donde se manejen todas las aplicaciones
Office (Word, Excel y Power Point) y se ejecuten algunos Sistemas Informáticos propios de
la empresa. ¿Está subutilizado?.

La aplicación de dicha técnica no reviste de mayor complicación, lo que se hace es anotar

la configuración del equipo y las actividades que se realizan en él, a fin de determinar si tal
configuración está acorde con lo que se realiza en él. Con esto se logran varias cosas:
primero, se determinan los equipos candidatos a ser sustituidos o repotenciados y segundo,
ofrece un mecanismo para una futura de reasignación de equipos de acuerdo a las
necesidades existentes. ¿Que problema coyuntural cree usted que pueda ocurrir al aplicar
dicha técnica?. Piense un poco, de todos modos si no lo logra determinar, en dos láminas
más encontrarás la respuesta.

Usted pensará “perfecto, estos son los peligros que existen, por lo que he leído creo que la
Auditoria pude ayudar a evitar los robos y fraudes informático, pero ¿un incendio o una
inundación?, no veo como”. Si esa es su manera de pensar, pues le diremos que está en lo
cierto. Aquí no le vamos a decir como evitar incendios o inundaciones. Sino más bien de
que tome conciencia de las cosas que puede pasar dentro de una empresa.

Pero “sigo sin entender que tiene que ver todo esto”, es muy simple: lo que se busca es
crear conciencia, de los peligros que existen, que ninguna organización está exenta de ellos
y que por lo tanto es necesario que existan mecanismos que contrarresten los mismos. Esto
es precisamente lo próximo que se va a exponer a continuación. Respuesta a la Pregunta
Anterior: Puede ocasionar molestias a las personas en la reubicación de equipos (una
persona con un equipo muy potente pero subutilizado, no estará muy conforme que le
reasignen un equipo de menor potencia).

Dentro de las empresas deben existir mecanismos de contingencias que permitan garantizar
la continuidad de los procesos que en ella se realizan. Dentro de la informática tal aspecto
no debe variar, es decir, deben estar especificados dichos mecanismos (por ejemplo, como
realizar un proceso manualmente en caso de que falle el automatizado). En este módulo nos
compete exclusivamente la contingencia de la información.
Al igual que otras cosas, la información puede tener daños, los cuales pueden obedecer a
causas accidentales (tales como errores en la trascripción de datos, ejecución de procesos
inadecuados) o intencionales (cuando se busca cometer algún fraude). No importa cual sea
la causa, lo importante en este momento (claro, es importante determinar a que obedeció el
problema) es disponer algún mecanismo que nos permita obtener la información sin
errores. Las copias de seguridad nos ofrecen una alternativa para ello, ya que en caso de
que se dañe la información original, se recurre entonces al respaldo el cual contiene la
información libre de errores.

Como se mencionó anteriormente, las copias de seguridad ofrecen una contingencia en caso
de pérdidas de información. La frecuencia con la cual deben hacerse dichas copias va a
depender de acuerdo a la volatilidad de la misma. Por ejemplo, usted puede decir que es
suficiente realizar las copias de seguridad diariamente, así en caso de ocurrir algún
imprevisto, se perderá tan solo un día de trabajo. Tal concepción puede funcionar para
muchas organizaciones, pero no para todas, para un banco sería catastrófico perder la
información de todas las transacciones de un día, caso contrario ocurre en una organización
donde la información no varíe con tanta frecuencia, en la cual no tendría mucho sentido
respaldarla diariamente.

Independientemente de la frecuencia con la cual se haga, es recomendable tener como

mínimo dos (2) copias de seguridad, una permanecerá dentro de la empresa y la otra fuera
de ella. Así en caso de que se pierda la información se pueda acceder a la copia que está
dentro de la empresa. ¿Y para qué la otra copia?. Recuerde los peligros informáticos, los
incendios, las inundaciones. En caso de que se incendie el edificio, se perdería el original y
una copia, pero se tendrá acceso a la que está fuera de la empresa. A lo mejor usted dirá:
“¿qué gracia tiene tener otro respaldo si se quemó el edificio de la empresa?”. Suponga que
dicho edificio sea de la Sucursal de un Banco, lo más seguro que al día siguiente, los
clientes estarán preguntando qué pasará con sus ahorros. ¿Ahora si le encuentra sentido?.
¿Nota la importancia de la información sobre otros activos?. Un edificio se recupera, la
información de toda la empresa no.

Deben existir medidas que impidan la pérdida de información, ocasionada por averías en
los equipos (Seguridad Física). Si bien es cierto que los computadores no están exentos de
sufrir algún desperfecto (es por ello que existen las copias de seguridad), es recomendable
diseñar normas para disminuir tales amenazas.

Una de las principales causales de pérdida de información, son las bajas de energía. Es por
ello que deben estar conectados a un UPS todos los equipos en donde se genere
información crítica. Un UPS es un dispositivo (parecido a un regulador de voltaje) que
ofrece corriente alterna por un período de tiempo (depende de las especificaciones del
equipo, los hay de 5 minutos hasta casi dos horas). De acuerdo a lo anterior, se deduce
entonces su importancia: primero, permite completar transacciones inconclusas en el
momento del fallo de energía y segundo permite guardar la información y apagar el equipo
con normalidad. De igual forma a fin de disminuir las fallas de energía, debe existir una
toma independiente de corriente para el área informática.

¿Recuerda los peligros que existen?. ¿Las inundaciones?, es por ello que el Departamento
de Computación debe estar ubicados en las zonas más altas del edificio, puesto que tanto
los sótanos como los primeros pisos son los más propensos a inundarse.

Uno de los mayores peligros dentro de las empresas son los Fraudes Informáticos (muy
comunes hoy en día), es por ello que se diseñan medidas que permitan garantizar la
integridad de la información y que la misma esté acorde con la realidad (Seguridad Lógica).

El mayor riesgo existe en los Sistemas Multiusuarios, puesto que pueden se manejados por
varias personas concurrentemente. En dichos sistemas no todas las personas pueden acceder
a la misma información (no todos pueden manipular la nómina de la empresa). para ello se
restringe el uso de los Sistemas a través de nombres de usuarios y contraseñas, así cuando
una persona desea utilizar el Sistema debe identificarse (con su nombre de usuario) y podrá
manipular únicamente lo que tenga autorizado.

En este sentido, se debe tener un control de los usuarios que entran al sistema (existen
muchos sistemas operativos que lo hacen de manera automática), es por ello que no se debe
divulgar el nombre de usuario a otras personas. Por ejemplo, suponga que Marta González
tiene asignado el nombre de usuario mgonz128a y su amigo Marcelo Alvarez le pide por
favor su nombre de usuario, porque “necesita hacer algunas cosas con su módulo”,
(Marcelo tiene su usuario asignado, malv287s), pues resulta que ocurrió un problema con
dicha información ¿a quién reporta el sistema como responsable?. Sencillo, al usuario que
accedió al Sistema, en este caso mgonz128a que pertenece a Marta González. De igual
forma, se debe restringir el acceso al Sistema en horas no laborables, ya que el mayor
número intento de fraudes ocurre durante dicho período (por lo general en horas de la
madrugada). ¿Con estas medidas estoy 100% seguro que no existirán fraudes
informáticos?. No, nadie está exento de sufrir un fraude informático, con decirle que han
violado la seguridad del Pentágono, NASA, Yahoo!, entre otros. En tal caso le disminuye le
riesgo, por lo tanto se recomienda revisar las medidas de seguridad constantemente.
Revision Preliminar Auditoria
Informatica
En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a
auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y
personal que lo opera sin trabajar porque esto le genera perdidas sustanciosas),
herramientas y conocimientos previos, así como de crear su equipo de auditores expertos en
la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria.

Es de tomarse en cuenta que el propietario de dicha empresa, ordena una auditoria cuando
siente que un área tiene una falla o simplemente no trabaja productivamente como se
sugiere, por esta razón habrá puntos claves que
se nos instruya sean revisados, hay que recordar que las auditorias parten
desde un ámbito administrativo y no solo desde la parte tecnológica, porque al
fin de cuentas hablamos de tiempo y costo de producción, ejercicio de ventas,
etc. Es decir, todo aquello que representa un gasto para la empresa.

2.1.3 Revision Detallada Auditoria Informatica

Los objetos de la fase detallada son los de obtener la informacion nesesaria para que el
auditor tenga un profundo entendimento de los controles usados dentro del area de
informatica.

El auditor debe de decidir se debe continuar elaborando pruevas de consentimeinto, con la

esperanza de obtener mayor confianza por medio del sistema de controlinterno, o proceder
directamente a a revision con los usuarios (pruevas compensatorias) o a las pruevas
sustantivas.

2.1.4 Examen Evaluacion Informacion

Es el examen crítico y sistemático que hace un Contador Público para evaluar el sistema de
procesamiento electrónico de datos y sus resultados, el cual, le ofrece al auditor las
oportunidades de llevar a cabo un trabajo más selectivo y de mayor penetración sobre las
actividades, procedimientos que involucran un gran número de transacciones.

El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con
el concepto de la existencia y evaluación, nos lleva a la conclusión de que el papel del
computador afecta significativamente las técnicas a aplicar. Mediante una revisión
adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de
formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de
los procedimientos para control del cliente.

Recreando programas de auditoría por computador, el auditor cubre una actividad más
grande de la utilidad mercantil tanto financiera como operacional; y puede utilizar recursos
para analizar y evaluar campos de problemas de evaluación en las operaciones del cliente.
Tal método incrementa su aptitud para remitir óptimos servicios a los mismos. La
evaluación de un sistema informático, estriba primero en la revisión del mismo para obtener
un conocimiento de como se dice que funciona, y ponerlo a prueba para acumular
evidencias que demuestren como es el funcionamiento en la realidad.

Al evaluar la información automática, el auditor debe revisar varios documentos, como

diagramas de flujo y documentos de programación, para lograr un mejor entendimiento del
sistema y los controles que se diseñaron en él. En el sistema de procesamiento electrónico
de datos, el auditor probablemente, encuentre nuevos controles, algunos de ellos necesarios
para la automatización del proceso, y algunos que sustituyen aquellos que en los métodos
manuales se basaron en juicios humanos y la división de labores. Muchos de los controles
en ambientes informáticos, pueden combinarse en los programas de computadoras con en el
proceso manual.

Para ayudar en la revisión de los sistemas de procesamiento de datos y los controles

internos, en ocasiones de suma utilidad los cuestionarios para obtener información respecto
al sistema. Una vez obtenida la información, el auditor debe proceder a obtener evidencias
de la existencia y efectividad de los procedimientos para él.

Una parte significativa del sistema de control interno está comprendida en el programa de
la computadora. Existen baches en la ruta de auditoría, haciendo difícil e poco práctico
obtener resultados o verificar cálculos. Esta situación es posible tanto en aplicaciones
sencillas, como en sistemas integrados complejos.

El volumen de registros que quizás sea más económico y efectivo usar métodos de datos de
prueba, en vez de métodos de prueba manual.

2.1.5 Pruebas Controles de Usuario

Pruebas de Comportamiento

El objetivo de esta fase es comprobar que los controles internos funcionan como lo deben
de hacer, es decir, que los controles que se suponía que existían, existen realmente y
funcionan bien. Las técnicas utilizadas, además de la recogida manual de evidencias ya
descrita, contemplan el uso del ordenador para verificar los controles.

• Al final de la fase, el auditor puede decidir evaluar de nuevo el sistema de controles

internos, de acuerdo con la fiabilidad que han mostrado los controles individuales.

• El procedimiento de evaluación y la elección de nuevos procedimientos de auditoria son

los mismos que los de las
fases anteriores.

Prueba y Evaluación de los Controles del Usuario

El auditor puede decidir que no hace falta confiar en los controles internos porque existen
controles del usuario que los sustituyen o compensan. Para un auditor externo, revisar estos
controles del usuario puede resultar más costoso que revisar los controles internos. Para un
auditor interno, es importante hacerlo para eliminar posibles controles duplicados, bien
internos o bien del usuario, para evitar la redundancia.

2.1.6 Pruebas Sustantivas

El objetivo de las pruebas sustantivas es obtner evidencia suficiente que permita al auditor
emitir su juicio en las concluciones acerca de cuando pueden ocurrir perdidad materiales
durante el proceso de la informacion.

se púeden identificar 8 diferentes pruebas sustantivas:

1 pruebas para identificar errores en el procesamiento o de falta de seguridad o

confidencialidad.

2 prueba para asegurar la calidad de los datos.

3 pruebas para identificar la inconsistencia de datos.

4 prueba para comparar con los datos o contadores fisicos.

5 confirmacion de datos con fuentes externas

6 pruebas para confirmar la adecuada comunicacion.

7 prueba para
determinar falta de seguridad.

8 pruebas para determinar problemas de legalidad.

Estoy invitando a todos los maestros y profesionales de esta area y/o carrera a colaborar
construyendo este sitio dedicado a esta hermosa y util profesion aportando el material
apropiado a cada uno de los mas de 1,000 temas que lo componen.

Tambien los invito a aportar material a los mas de 30,000 temas que constituyen las 30
carreras profesionales que se imparten en los Institutos Tecnologicos de Mexico y se
encuentran en este sitio.

es un esfuerzo personal y de muchos amigos de MEXICO y el Mundo Hispano por

devolver algo de lo mucho que hemos recibido en el proceso de la educacion superior,
saludos Prof Lauro Soto, Ensenada, BC, Mexico

PARA EMPEZAR SOLO USAR OPCION edit ABAJO Y EMPIEZA A CONSTRUIR ,

SALUDOS Y MUCHAS GRACIAS

2.2 Evaluacion Sistemas de Acuerdo al Riesgo

Riesgo Proximidad o posibilidad de un daño, peligro, etc.

Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro.

Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.

Seguridad

Cualidad o estado de seguro

Garantía o conjunto de garantías que se da a alguien sobre el cumplimiento de algo.

Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la

administración estatal para prevenir o remediar los posibles riesgos, problemas y
necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad,
maternidad o jubilación; se financia con aportaciones del Estado, trabajadores

y empresarios.
Se dice también de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a
hacer más seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturón de
seguridad.

Consideraciones Inmediatas para la Auditoría de la Seguridad

A continuación se citarán las consideraciones inmediatas que se deben tener para elaborar
la evaluación de la seguridad, pero luego se tratarán las áreas específicas con mucho mayor
detalle.

Uso de la Computadora

Se debe observar el uso adecuado de la computadora y su software que puede ser

susceptible a:

- tiempo de máquina para uso ajeno

- copia de programas de la organización para fines de comercialización (copia pirata)

- acceso directo o telefónico a bases de datos con fines fraudulentos

Sistema de Acceso

Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las
computadoras de acuerdo a:

- nivel de seguridad de acceso

- empleo de las claves de acceso

- evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso

mayor costo

Cantidad y Tipo de Información

El tipo y la cantidad de información que se introduce en las computadoras debe

considerarse como un factor de alto riesgo ya que podrían producir que:

- la información este en manos de algunas personas

- la alta dependencia en caso de perdida de datos

Control de Programación

Se debe tener conocer que el delito más común está presente en el momento de la
programación, ya que puede ser cometido intencionalmente o no, para lo cual se debe
controlar que:

- los programas no contengan bombas lógicas

- los programas deben contar con fuentes y sus ultimas actualizaciones

- los programas deben contar con documentación técnica, operativa y de emergencia

Personal

Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están
ligadas al sistema de información de forma directa y se deberá contemplar principalmente:

- la dependencia del sistema a nivel operativo y técnico

- evaluación del grado de capacitación operativa y técnica

- contemplar la cantidad de personas con acceso operativo y administrativo

- conocer la capacitación del personal en situaciones de emergencia

Medios de Control

Se debe contemplar la existencia de medios de control para conocer cuando se produce un

cambio o un fraude en el sistema. También se debe observar con detalle el sistema ya que
podría generar indicadores que pueden actuar como elementos de auditoría inmediata,
aunque esta no sea una especificación del sistema.

Rasgos del Personal

Se debe ver muy cuidadosamente el carácter del personal relacionado con el sistema, ya
que pueden surgir:
- malos manejos de administración

- malos manejos por negligencia

- malos manejos por ataques deliberados

Instalaciones

Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto
grado de riesgo. Para lo cual se debe verificar:

- la continuidad del flujo eléctrico

- efectos del flujo eléctrico sobre el software y hardware

- evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.

- verificar si existen un diseño, especificación técnica, manual o algún tipo de

documentación sobre las instalaciones

Control de Residuos

Observar como se maneja la basura de los departamentos de mayor importancia, donde se

almacena y quien la maneja.

Establecer las Areas y Grados de Riesgo

Es muy importante el crear una conciencia en los usuarios de la organización sobre el

riesgo que corre la información y hacerles comprender que la seguridad es parte de su
trabajo. Para esto se deben conocer los principales riesgos que acechan a la función
informática y los medios de prevención que se deben tener, para lo cual se debe:

Establecer el Costo del Sistema de Seguridad (Análisis Costo vs Beneficio)

Este estudio se realiza considerando el costo que se presenta cuando se pierde la

información vs el costo de un sistema de seguridad.

Para realizar este estudio se debe considerar lo siguiente:

- clasificar la instalación en términos de riesgo (alto, mediano, pequeño)

- identificar las aplicaciones que tengan alto riesgo

- cuantificar el impacto en el caso de suspensión del servicio aquellas aplicaciones con un

alto riesgo

- formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se
requiera

- la justificación del costo de implantar las medidas de seguridad

Costo x perdida Costo del

de información sistema de seguridad

Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar estos
elementos en áreas de riesgo que pueden ser:

Riesgo Computacional

Se debe evaluar las aplicaciones y la dependencia del sistema de información, para lo cual
es importante considerar responder las siguientes cuatro preguntas:

1. ¿Qué sucedería si no se puede utilizar el sistema? Si el sistema depende de la aplicación

por completo se debe definir el nivel de riesgo. Por ejemplo citemos:

- Un sistema de reservación de boletos que dependa por completo de un sistema

computarizado, es un sistema de alto riesgo.

- Una lista de clientes será de menor riesgo.

- Un sistema de contabilidad fuera del tiempo de balance será de mucho menor riesgo.

2. ¿Qué consecuencias traería si es que no se pudiera acceder al sistema? Al considerar esta

pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algún
modo de cómo se soluciono este problema en el pasado.
3. ¿Existe un procedimiento alternativo y que problemas ocasionaría? Se debe verificar si el
sistema es único o es que existe otro sistema también computarizado de apoyo menor.
Ejemplo: Sí el sistema principal esta diseñado para trabajar en red sea tipo WAN quizá
haya un soporte de apoyo menor como una red LAN o monousuario. En el caso de un
sistema de facturación en red, si esta cae, quizá pudiese trabajar en forma distribuida con un
módulo menor monousuario y que tenga la capacidad de que al levantarse la red existan
métodos de actualización y verificación automática.

4. ¿Qué se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se
debe considerar al menos las siguientes situaciones, donde se debe rescatar los
acontecimientos, las consecuencias y las soluciones tomadas, considerando:

- Que exista un sistema paralelo al menos manual

- Si hay sistemas duplicados en las áreas críticas (tarjetas de red, teclados, monitores,
servidores, unidades de disco, aire acondicionado).

- Si hay sistemas de energía ininterrumpida UPS.

- Si las instalaciones eléctricas, telefónicas y de red son adecuadas (se debe contar con el
criterio de un experto). - Si se cuenta con un método de respaldo y su manual
administrativo.

Conclusión

Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las
medidas preventivas que se deben tomar y las correctivas en casi de desastre, señalando la
prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de
acuerdo a sus prioridades.

Consideración y Cuantificación del Riesgo a Nivel Institucional (importante)

Ahora que se han establecido los riesgos dentro la organización, se debe evaluar su impacto
a nivel institucional, para lo cual se debe:

- Clasificar la información y los programas de soporte en cuanto a su disponibilidad y

recuperación.
- Identificar la información que tenga un alto costo financiero en caso de perdida o pueda
tener impacto a nivel ejecutivo o gerencial.

- Determinar la información que tenga un papel de prioridad en la organización a tal punto

que no pueda sobrevivir sin ella.

Una vez determinada esta información se la debe CUANTIFICAR, para lo cual se debe
efectuar entrevistas con los altos niveles administrativos que sean afectados por la
suspensión en el procesamiento y que cuantifiquen el impacto que podrían causar estas
situaciones.

Disposiciones que Acompañan la Seguridad

De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organización, desde el

punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de acción
para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe
considerar:

- Obtener una especificación de las aplicaciones, los programas y archivos de datos.

- Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios
para cada caso.

- Prioridades en cuanto a acciones de seguridad de corto y largo plazo.

- Verificar el tipo de acceso que tiene las diferentes personas de la organización, cuidar que
los programadores no cuenten con acceso a la sección de operación ni viceversa.

- Que los operadores no sean los únicos en resolver los problemas que se presentan.

Higiene

Otro aspecto que parece de menor importancia es el de orden e higiene, que debe
observarse con mucho cuidado en las áreas involucradas de la organización (centro de
computo y demás dependencias), pues esto ayudará a detectar problemas de disciplina y
posibles fallas en la seguridad. También podemos ver que la higiene y el orden son factores
que elevan la moral del recurso humano, evita la acumulación de desperdicios y limita las
posibilidades de accidentes. (ejm del rastrillo)
Ademas es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel formal
como informal.

Cultura Personal

Cuando hablamos de información, su riesgo y su seguridad, siempre se debe considerar al

elemento humano, ya que podría definir la existencia o no de los más altos grados de
riesgo. Por lo cual es muy importante considerar la idiosincrasia del personal, al menos de
los cargos de mayor dependencia o riesgo.

Conclusión

El fin de este punto es encontrar y evitar posibles situaciones de roce entre el recurso
humano y la organización y lograr una mejor comunicación entre ambos.

Consideraciones para Elaborar un Sistema de Seguridad Integral

Como hablamos de realizar la evaluación de la seguridad es importante también conocer

como desarrollar y ejecutar el implantar un sistema de seguridad.

Desarrollar un sistema de seguridad significa: “planear, organizar coordinar dirigir y

controlar las actividades relacionadas a mantener y garantizar la integridad física de los
recursos implicados en la función informática, así como el resguardo de los activos de la
empresa.”

Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad.

Sistema Integral de Seguridad

Un sistema integral debe contemplar:

- Definir elementos administrativos

- Definir políticas de seguridad

- A nivel departamental

- A nivel institucional
- Organizar y dividir las responsabilidades

- Contemplar la seguridad física contra catástrofes (incendios, terremotos, inundaciones,

etc.)

- Definir prácticas de seguridad para el personal:

- Plan de emergencia (plan de evacuación, uso de recursos de emergencia como

extinguidores.

- Números telefónicos de emergencia

- Definir el tipo de pólizas de seguros

- Definir elementos técnicos de procedimientos

- Definir las necesidades de sistemas de seguridad para:

- Hardware y software

- Flujo de energía

- Cableados locales y externos

- Aplicación de los sistemas de seguridad incluyendo datos y archivos

- Planificación de los papeles de los auditores internos y externos

- Planificación de programas de desastre y sus pruebas (simulación)

- Planificación de equipos de contingencia con carácter periódico

- Control de desechos de los nodos importantes del sistema:

- Política de destrucción de basura copias, fotocopias, etc.

- Consideración de las normas ISO 14000

Etapas para Implementar un Sistema de Seguridad

Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar
los siguientes puntos:

• Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad.

• Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en

la organización a nivel software, hardware, recursos humanos, y ambientales.

• Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando:

Plan de Seguridad Ideal (o Normativo)

Un plan de seguridad para un sistema de seguridad integral debe contemplar:

- El plan de seguridad debe asegurar la integridad y exactitud de los datos

- Debe permitir identificar la información que es confidencial

- Debe contemplar áreas de uso exclusivo

- Debe proteger y conservar los activos de desastres provocados por la mano del hombre y
los actos abiertamente hostiles

- Debe asegurar la capacidad de la organización para sobrevivir accidentes

- Debe proteger a los empleados contra tentaciones o sospechas innecesarias

- Debe contemplar la administración contra acusaciones por imprudencia

Un punto de partida será conocer como será la seguridad, de acuerdo a la siguiente

ecuación.
Riesgo
SEGURIDAD = ---------------------------------------------
Medidas preventivas y correctivas

Donde:

Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc)

Medidas pre.. (políticas, sistemas de seguridad, planes de emergencia, plan de resguardo,
seguridad de personal, etc)

Consideraciones para con el Personal

Es de gran importancia la elaboración del plan considerando el personal, pues se debe

llevar a una conciencia para obtener una autoevaluación de su comportamiento con respecto
al sistema, que lleve a la persona a:

• Asumir riesgos

• Cumplir promesas

• Innovar

Para apoyar estos objetivos se debe cumplir los siguientes pasos:

Motivar

Se debe desarrollar métodos de participación reflexionando sobre lo que significa la

seguridad y el riesgo, así como su impacto a nivel empresarial, de cargo y individual.

Capacitación General

En un principio a los ejecutivos con el fin de que conozcan y entiendan la relación entre
seguridad, riesgo y la información, y su impacto en la empresa. El objetivo de este punto es
que se podrán detectar las debilidades y potencialidades de la organización frente al riesgo.
Este proceso incluye como práctica necesaria la implantación la ejecución de planes de
contingencia y la simulación de posibles delitos.

Capacitación de Técnicos

Se debe formar técnicos encargados de mantener la seguridad como parte de su trabajo y

que esté capacitado para capacitar a otras personas en lo que es la ejecución de medidas
preventivas y correctivas.

Ética y Cultura
Se debe establecer un método de educación estimulando el cultivo de elevados principios
morales, que tengan repercusión a nivel personal e institucional.

De ser posible realizar conferencias periódicas sobre: doctrina, familia, educación sexual,
relaciones humanas, etc.

Etapas para Implantar un Sistema de Seguridad en Marcha

Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y
acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se
deben seguir los siguiente 8 pasos:

1. Introducir el tema de seguridad en la visión de la empresa.

2. Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos
participantes.

3. Capacitar a los gerentes y directivos, contemplando el enfoque global.

4. Designar y capacitar supervisores de área.

5. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente
rápidas.

6. Mejorar las comunicaciones internas.

7. Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas
planteando soluciones de alto nivel.

8. Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el
manejo del software, hardware y con respecto a la seguridad física.

Beneficios de un Sistema de Seguridad

Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la

organización trabajará sobre una plataforma confiable, que se refleja en los siguientes
puntos:

• Aumento de la productividad.
• Aumento de la motivación del personal.

• Compromiso con la misión de la compañía.

• Mejora de las relaciones laborales.

• Ayuda a formar equipos competentes.

• Mejora de los climas laborales para los RR.HH.

2.3 Investigacion Preliminar Auditoria Informatica

INVESTIGACION PRELIMINIAR

Se deberá observar el estado general del área, su situación dentro de la organización, si

existe la información solicitada, si es o no necesaria y la fecha de su última actualización.

Se debe hacer la investigación preliminar solicitando y revisando la información de cada

una de las áreas basándose en los siguientes puntos:

ADMINISTRACIÓN

Se recopila la información para obtener una visión general del departamento por medio de
observaciones, entrevistas preliminares y solicitud de documentos para poder definir el
objetivo y alcances del departamento.
Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del área de
informática

Objetivos a corto y largo plazo.

Recursos materiales y tecnicos

Solicitar documentos sobre los equipos, número de ellos, localización y características.

Estudios de viabilidad.

Número de equipos, localización y las características (de los equipos instalados y por
instalar y programados)

Fechas de instalación de los equipos y planes de instalación.

Contratos vigentes de compra, renta y servicio de mantenimiento.

Contratos de seguros.

Convenios que se tienen con otras instalaciones.

Configuración de los equipos y capacidades actuales y máximas.

Planes de expansión.

Ubicación general de los equipos.

Políticas de operación.

Políticas de uso de los equipos.

SISTEMAS Descripción general de los sistemas instalados y de los que estén por instalarse
que contengan volúmenes de información.

Manual de formas.

Manual de procedimientos de los sistemas.

Descripción genérica.

Diagramas de entrada, archivos, salida.

Salidas.

Fecha de instalación de los sistemas.

Proyecto de instalación de nuevos sistemas.

En el momento de hacer la planeación de la auditoría o bien su realización, debemos

evaluar que pueden presentarse las siguientes situaciones.

Se solicita la información y se ve que:

No tiene y se necesita.
No se tiene y no se necesita.

Se tiene la información pero:

No se usa.

Es incompleta.

No esta actualizada.

No es la adecuada.

Se usa, está actualizada, es la adecuada y está completa.

En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es

necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore
de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la
información pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga
la información, se debe analizar si se usa, si está actualizada, si es la adecuada y si está
completa.

El éxito del análisis crítico depende de las consideraciones siguientes:

Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin
fundamento)

Investigar las causas, no los efectos.

Atender razones, no excusas.

No confiar en la memoria, preguntar constantemente.

Criticar objetivamente y a fondo todos los informes y los datos recabados.

2.4 Personal Participante Auditoria Informatica

PERSONAL PARTICIPANTE
Una de las partes más importantes en la planeación de la auditoria en
informática es el personal que deberá participar, ya que se debe contar con un
equipo seleccionado y con ciertas características que puedan ayudar a llevar la
auditoria de manera correcta y en el tiempo estimado.

Aquí no se vera el número de persona que deberán participar, ya que esto depende de las
dimensiones de la organización, de los sistemas y de los equipos, lo que se deberá
considerar son exactamente las características que debe cumplir cada uno del personal que
habrá de participar en la auditoria.

Uno de los esquemas generalmente aceptados para tener un adecuado control es que el
personal que intervenga este debidamente capacitado, que tenga un alto sentido de
moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o
compense justamente por su trabajo.

Con estas bases debemos considerar los conocimientos, la práctica profesional y la

capacitación que debe tener el personal que intervendrá en la auditoria.

Primeramente, debemos pensar que hay personal asignado por la organización, que debe
tener el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionarnos
toda la información que se solicite y programar las reuniones y entrevistas requeridas.

Este es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar
con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a
auditar, será casi imposible obtener información en el momento y con las características
deseadas.

También se deben contar con personas asignadas por los usuarios para que en el momento
que se solicite información, o bien se efectúe alguna entrevista de comprobación de
hipótesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo
multidisciplinario, ya que debemos analizar no sólo el punto de vista de la dirección de
informática, sino también el del usuario del sistema.

Para complementar el grupo, como colaboradores directos en la realización de la auditoria,

se deben tener personas con las siguientes características:

Conocimientos de Admón., contaduría¬ Técnico en informática. ¬ Experiencia en

operación¬ Experiencia en el área de informática. ¬y finanzas. Conocimientos y
experiencias en psicología industrial.¬y análisis de sistemas. Conocimientos de los
sistemas operativos, bases de datos, redes y¬ ¬comunicaciones, dependiendo del área y
características a auditar. Conocimientos de los sistemas más importantes.
En el caso de sistemas complejos se deberá contar con personal con conocimientos y
experiencias en áreas específicas como base de datos, redes y comunicaciones, etcétera.

Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias
señaladas, pero si que deben intervenir una o varias personas con las características
apuntadas.

Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de

presenta la carta (convenio de servicios profesionales – en el caso de auditores externos -) y
el plan de trabajo.

La carta convenio es un compromiso que el auditor dirige a su cliente para su confirmación

de aceptación. En ella se especifican el objetivo y el alcance de la auditoria, las limitaciones
y la colaboración necesaria, el grado de responsabilidad y los informes que se han de
entregar.

miguel angel Chavez TEc Colima