You are on page 1of 25

UNIDAD 1. CONCEPTO DE AUDITORIA DE SISTEMAS 1.1.

CONCEPTO DE AUDITORIA DE SISTEMAS SISTEMA: Conjunto ordenado, lgico y secuencial de normas y procedimientos que persiguen un fin determinado. Podemos hablar por ejemplo de Sistema: Contable Planeacin Capitalista Operacin Educativo Financiero De Informacin Etc. Administrativo Desde este punto de vista, cuando hablemos de AUDITORIA DE SISTEMAS, nos referiremos a los SISTEMAS DE INFORMACI?N utilizados en las empresas pblicas o privadas, ms no al computador, que en s es una herramienta de los sistemas de informacin. Debemos tener presente que la administracin es un sistema abierto y por tanto cambiante en sus conceptos, tcnicas y que est influenciada por lo que acontece en su alrededor. La auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes; tambin podemos decir que es el examen y evaluacin de los procesos del rea de Procesamiento Electrnico de Datos (PED) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. Los Sistemas de Informacin en las organizaciones, son desarrollados con propsitos diferentes dependiendo de las necesidades de cada una de ellas y los podemos clasificar as: ? Sistema de procesamiento de transacciones ? Sistema de Automatizacin de oficina y de manejo de conocimiento ? Sistemas de Informacin gerencial ? Sistema de apoyo a decisiones ? Sistemas expertos e inteligencia artificial ? Sistema de apoyo a decisiones de grupo ? Sistema de apoyo a ejecutivos 1.2. CONCEPTO DE AUDITORA INFORMTICA E l concepto de informtica es ms amplio que el simple uso del computador o de procesos electrnicos. En 1977, la academia Mexicana de informtica propuso la siguiente definicin: ??Ciencia de los sistemas inteligentes de

informacin?. El concepto de informtica considera como un todo el sistema de proceso electrnico, informacin y computadora, y a esta ltima como una de sus herramientas. La Auditora Informtica es la evaluacin y verificacin de las polticas, controles, procedimientos y la seguridad en general, correspondiente al uso de los recursos de informtica por el personal de la empresa (usuarios, informtica, alta direccin), a fin de que se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. QUE ES AUDITORIA? Hasta ahora la Auditora, es esencialmente una metodologa que permite el examen de distintos objetos o campos auditables, en la perspectiva de emitir una opinin independiente sobre la validez cientfica y/o la tcnica del sistema de control que gobierna una determinada realidad que pretende reflejar adecuadamente y/o cumple las condiciones que le han sido prescritas. En materia de auditoria, los desarrollos tecnolgicos relevantes siempre han girado alrededor del conocimiento contable o financiero nicamente. Sin embargo, los avances modernos de las reas econmicas, administrativas y contables han puesto en evidencia que no solo la contabilidad es objeto de auditora. Tambin son susceptibles de ser auditados los impuestos, los procesos operativos, la informtica, la accin social de las organizaciones, el tratamiento del medio ambiente y los proyectos acadmicos, econmicos y sociales, entre otros. El Auditor de Sistemas acta sobre el rea de sistemas de informacin, normalmente representada por los siguientes componentes: -Desarrollo de sistemas de informacin -Asesora tcnica a usuarios -Servicio de procesamiento electrnico de datos -Apoyo tcnico -Conocimientos de Hardware y Software -desarrollo de Sistemas de Informacin -Base de datos -Redes -Manejo de personal TALLER: Conceptualizacin de Contabilidad, Auditora, Sistema e Informtica y construccin de los conceptos de Auditora de Sistemas y Auditora Informtica. 1.3. ENFOQUE DE LA AUDITORIA TRADICIONAL La palabra auditora se ha empleado incorrectamente y se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas; por eso se ha llegado a acuar la frase ??tiene auditora? como sinnimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se est haciendo auditora. El concepto de auditora es ms amplio: no solo detecta errores, sino que es un examen crtico que se realiza con objeto de evaluar la eficacia y eficiencia de una seccin o de un organismo con miras a corregir o mejorar la forma de actuacin. Eficacia: Lograr los objetivos (gastar bien)

Eficiencia: Con el mejor uso de los recursos (gastar sabiamente) 1.4. ENFOQUE DE LA AUDITORIA MODERNA - EL AUDITOR DE SISTEMAS ASESOR GERENCIAL Los profesionales responsables del auditaje en ambientes computarizados, deben poseer una slida formacin en Administracin, Control interno, Informtica y Auditora. En Administracin deben manejar con habilidad y destreza las funciones bsicas del proceso administrativo, tales como: planeacin, organizacin, direccin y control, con una mentalidad de hombre de negocios y dentro de las modernas teoras de la Planeacin Estratgica, y la calidad total. En la era de la informtica, el auditor debe entender que su papel profesional debe ser el de Asesor Gerencial para asegurar el xito de la funcin y, en consecuencia, debe visualizar la empresa y su futuro en forma sistmicoestructural, articulando ordenadamente los objetivos del rea informtica con la misin y los objetivos de la organizacin, en su conjunto. En materia de Control Interno, el auditor informtico, debe estar en capacidad de diagnosticar su validez tcnica, desde un punto de vista sistmico total. Esto quiere decir que deber entender el control interno como sistema y no como un conjunto de controles distribuidos de cualquier manera en las organizaciones. El Auditor deber analizar y evaluar la estructura conceptual del sistema de control interno, teniendo en cuenta para ello los controles preventivos, detectivos y correctivos. Comprometerse con una opinin objetiva e independiente, en relacin con el grado de seguridad y de confiabilidad del sistema de control vigente en el rea de informtica. En esencia, un sistema de control interno, para el rea de informtica, comprende por lo menos los siguientes elementos: Objetivos, polticas y presupuestos perfectamente definido; estructura de organizacin slida; personal competente; procedimientos operativos y de control, efectivos y documentados; sistema de informacin confiable y oportuno; sistema de seguridad de todos los recursos; sistema de auditora efectivo. Como puede observarse, la funcin de Auditora es un elemento de control interno, solo que goza de un privilegio muy especial y es el de monitorear permanentemente los otros controles y operaciones del ente auditado. La temtica del concepto de control interno, exige del auditor una formacin avanzada en administracin de recursos informticos, sobre la base de que no se puede diagnosticar una determinada realidad sin estar en condiciones de conocerla y entenderla plenamente. En informtica, el auditor debe conocer por lo menos, cmo funcionan los computadores, cuales son sus reales capacidades y limitaciones. Las marcas, las potencialidades y la calidad de los componentes de hardware y de software. Los ambientes de procesamiento, los sistemas operacionales, los sistemas de seguridad, los riesgos posibles, los principales lenguajes de programacin, las tecnologas de almacenamiento y la metodologa para la generacin y mantenimiento de sistemas de informacin. En general el Auditor de Sistemas debe estar al da en los avances cientfico-tecnolgicos sobre la materia. En el campo de la auditora, el auditor informtico, debe conocer y manejar deseablemente la teora bsica de la auditora, en trminos de conceptos, filosofa, tica, taxonoma, normatividad, tcnicas, procedimientos, metodologa, papeles de trabajo e informes. De otra parte, el auditor informtico, debe ser una persona de muy buenas relaciones humanas, respetuoso de la opinin de los dems, analtico, crtico y buen oidor. Amable, objetivo, de espritu cientfico, con habilidad y capacidad para trabajar bajo presin, con un amplio sentido de responsabilidad social y por sobre todo, que goce de un comportamiento tico a toda prueba. TIPOS DE AUDITORIA DESDE EL PUNTO DE VISTA DEL CLIENTE

Auditora Interna: Obedece a la necesidad de la administracin de asegurar el resultado econmico planeado. Auditora Externa: Satisface la necesidad de informacin de terceros. Revisora Fiscal: Obedece bsicamente a exigencias legales. 1.5. ENFOQUES DE LA AUDITORIA INFORMATICA AUDITORIA ALREDEDOR DEL COMPUTADOR En este enfoque de auditora, los programas y los archivos de datos no se auditan. La auditora alrededor del computador concentra sus esfuerzos en la entrada de datos y en la salida de informacin. Es el ms cmodo para los auditores de sistemas, por cuanto nicamente se verifica la efectividad del sistema de control interno en el ambiente externo de la mquina. Naturalmente que se examinan los controles desde el origen de los datos para protegerlos de cualquier tipo de riesgo que atente contra la integridad, completitud, exactitud y legalidad. La auditora alrededor del computador no es tan simple como aparentemente puede presentarse, pues tiene objetivos muy importantes como: 1. Verificar la existencia de una adecuada segregacin funcional. 2. Comprobar la eficiencia de los controles sobre seguridades fsicas y lgicas de los datos. 3. Asegurarse de la existencia de controles dirigidos a que todos los datos enviados a proceso estn autorizados. 4. Comprobar la existencia de controles para asegurar que todos los datos enviados sean procesados. 5. Cerciorarse que los procesos se hacen con exactitud. 6. Comprobar que los datos sean sometidos a validacin antes de ordenar su proceso. 7. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la posterior realimentacin de los datos corregidos al proceso. 8. Examinar los controles de salida de la informacin para asegurar que se eviten los riesgos entre sistemas y el usuario. 9. Verificar la satisfaccin del usuario. En materia de los informes recibidos. 10. Comprobar la existencia y efectividad de un plan de contingencias, para asegurar la continuidad de los procesos y la recuperacin de los datos en caso de desastres. Se puede apreciar la ambicin de los objetivos planteados, pues solamente faltaran objetivos relacionados con el examen de los archivos y los programas, lo cual es parte de otro enfoque. Informe de esta Auditora: deber redactarse en forma sencilla y ordenada, haciendo nfasis en los riesgos ms significativos e indicando el camino a seguir mediante recomendaciones econmicas y operativamente posibles. Pasos que se deben seguir en la auditora: - Metodologa de la auditora. - Objetivos de la auditora. - Evaluacin del sistema de control interno.

- Procedimientos de auditora. - Papeles de trabajo. - Deficiencias de control interno. - Informe de auditora. AUDITORIA A TRAV?S DEL COMPUTADOR Este enfoque est orientado a examinar y evaluar los recursos del software, y surge como complemento del enfoque de auditora alrededor del computador, en el sentido de que su accin va dirigida a evaluar el sistema de controles diseados para minimizar los fraudes y los errores que normalmente tienen origen en los programas. Este enfoque es ms exigente que el anterior, por cuanto es necesario saber con cierto rigor, lenguajes de programacin o desarrollo de sistemas en general, con el objeto de facilitar el proceso de auditaje. Objetivos de esta auditora 1. Asegurar que los programas procesan los datos, de acuerdo con las necesidades del usuario o dentro de los parmetros de precisin previstos. 2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los programas. 3. Verificar que los programadores modifiquen los programas solamente en los aspectos autorizados. 4. Comprobar que los programas utilizados en produccin son los debidamente autorizados por el administrador. 5. Verificar la existencia de controles eficientes para evitar que los programas sean modificados con fines ilcitos o que se utilicen programas no autorizados para los procesos corrientes. 6. Cerciorarse que todos los datos son sometidos a validacin antes de ordenar su proceso correspondiente. Informe de Auditora: deber orientarse a opinar sobre la validez de los controles, en este caso de software, para proteger los datos en su proceso de conversin en informacin. AUDITORIA CON EL COMPUTADOR Este enfoque va dirigido especialmente, al examen y evaluacin de los archivos de datos en medios magnticos, con el auxilio del computador y de software de auditora generalizado y /o a la medida. Este enfoque es relativamente completo para verificar la existencia, la integridad y la exactitud de los datos, en grandes volmenes de transacciones. La auditora con el computador es relativamente facil de desarrollar porque los programas de auditora vienen documentados de tal manera que se convierten en instrumentos de sencilla aplicacin. Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin avanzados conocimientos de informtica. Los paquetes de auditora permiten desarrollar operaciones y prueba, tales como: 1- reclculos y verificacin de informacin, como por ejemplo, relaciones sobre nmina, montos de depreciacin y acumulacin de intereses, entre otros. 2- Demostracin grfica de datos seleccionados. 3- Seleccin de muestras estadsticas. 4- Preparacin de anlisis de cartera por antigedad.

Informe de Auditora: Este informe deber versar sobre la confiabilidad del sistema de control interno para proteger los datos sometidos a proceso y la informacin contenida en los archivos maestros. Los tres (3) enfoque de auditora vistos, son complementarios, pues ninguno de los tres, es suficiente para auditar aplicaciones en funcionamiento. Algunos paquetes de Auditora: - S/2190 por Peat Mawick, Mitchell & Co. - Cars por Cullinet International - EDP-Auditor/3 por Cullinet International - Audex por Arthur Anderson & Co. - Cinfex para Bancos - Audap por Auditora Informtica Ltda. (Colombiano)

TALLER: ENFOQUES DE AUDITORIA INFORMATICA UNIDAD 2. CONOCIMIENTOS GENERALES DEL CONTADOR PRINCIPIANTE 2.1. CONOCIMIENTO DEL COMPUTADOR Entrada Proceso Salida TARJETA MADRE (MAIN BOARD) HARDWARE Trmino en ingls que significa ferretera, se emplea con una fina y poco disimulada irona, para referirse a los elementos tangibles del equipo, como la tarjeta madre, la memoria, el disco duro y otros dispositivos de almacenamiento. SOFTWARE Conjunto de instrucciones que ponen en comunicacin los diferentes dispositivos del PC y le permiten realizar cualquier tarea. Ej. El sistema operativo, los programas, los archivos de configuracin, etc. UNIDAD CENTRAL DE PROCESO Llamada CPU. Tradicionalmente se ha dicho que la CPU engloba las partes del hardware de mayor importancia, como la tarjeta madre, el chip, la memoria o el disco duro en el que se almacenan los datos. Realmente la CPU (conocida por sus siglas en ingls, CPU), es un circuito microscpico que interpreta y ejecuta instrucciones. La CPU se ocupa del control y el proceso de datos en las computadoras. Generalmente, la CPU es un microprocesador fabricado en un chip, un nico trozo de silicio que contiene millones de componentes electrnicos. El microprocesador de la CPU est formado por una unidad aritmtico-lgica que realiza clculos y comparaciones, y toma decisiones lgicas por una serie de registros donde se almacena informacin temporalmente, y por una unidad de control que interpreta y ejecuta las instrucciones. Para aceptar rdenes del usuario, acceder a los datos y presentar los resultados, la CPU se comunica a travs de un conjunto de circuitos o conexiones llamado bus. El bus conecta la CPU a los dispositivos de almacenamiento (por ejemplo, un disco duro), los dispositivos de entrada (por ejemplo, un teclado o un mouse) y los dispositivos de salida (por ejemplo, un monitor o una impresora). RAM (Random Access memory) Chip de almacenamiento temporal. Entre mas RAM los programas trabajan a mayor velocidad. Su unidad de medida es el Byte y su capacidad de almacenamiento actual esta dado en mega bytes (MB). La memoria RAM almacena instrucciones, variables y otros parmetros de los programas que el usuario haya activado. Su contenido se pierde cuando el PC es apagado.

ROM BIOS (Read only memory) Chip que almacena en forma permanente instrucciones y datos del PC que son solo de lectura, necesarios para activar el sistema operativo y reconocer los perifricos conectados al sistema. MEMORIA VIRTUAL Truco tecnolgico que permite al PC tomar parte del disco duro como prolongacin de la RAM. Ayuda a salir del paso en una situacin apurada, pero no puede considerarse como una panacea. Al tener que leer y escribir en el disco duro, con un acceso mucho ms lento, la ejecucin de los programas se resiente, y acaba siendo considerablemente lenta. MICROPROCESADOR es el cerebro del PC. Chip que ejecuta las instrucciones y procesa los datos con los que trabaja el computador. Su unidad de medida es el hertz y su capacidad de almacenamiento actual esta dado en mega hertz (MHz). El intenso ritmo de investigacin ha conseguido duplicar la capacidad de estos chips cada ao y medio, aproximadamente. (Ver CPU) TARJETAS DE EXPANSION con chips y otros componentes electrnicos que sirven para ampliar las capacidades del PC o para controlar algunos perifricos. Estas tarjetas se instalan en ranuras de expansin. RANURAS DE EXPANSION comunicadas con el procesador a travs del BUS. Permiten la insercin de chips de memoria, aceleradoras grficas, tarjetas de sonido o dispositivos de red. BUS avenida electrnica por medio de la cual se comunica el procesador, la memoria, los perifricos y otros componentes del PC. Esta formado por lneas de circuito paralelas que transportan datos e instrucciones entre los dispositivos instalados en la tarjeta madre. De su capacidad para asimilar el flujo de informacin depende en gran medida el rendimiento del sistema. BUS LOCAL autopista de alta capacidad y velocidad que comunica al procesador con algunos dispositivos sin tener que usar el BUS principal.. TARJETA MADRE plstica sobre la que estn montados los principales componentes del PC: Procesador, Ram, Rom, Ranuras de expansin, Bus. Si se escoge una tarjeta madre inadecuada para el equipo, probablemente se producir el efecto de cuello de botella: el chip central del PC o sus perifricos llegarn a trabajar con un volumen de datos superior al que los circuitos de la placa pueden soportar, los datos quedaran atrapados en un trancn y el PC procesara la informacin a una velocidad inferior al lmite para el cual ha sido diseado. TARJETA DE SONIDO da al PC la capacidad de reproducir sonido, grabar o utilizar programas de reconocimiento de voz. Los PC que no son multimedia, no tienen Tarjeta de Sonido. TARJETA GRFICA de aqu parte la imagen que se refleja en el monitor y de ella depende el grado de fineza de la imagen resultante. Se complementa con un acelerador grfico. DISCO DURO almacena informacin y programas de computador de modo estable, su capacidad se mide en MB o GB. UNIDAD DE DISQUETE almacena y permite leer informacin. 1.44 MB UNIDAD DE CD-ROM Disco de metal recubierto por una capa plstica para almacenar datos. Su sistema de lectura es por lser: un haz de luz recorre la superficie del disco, mientras que otro dispositivo se encarga de analizar el reflejo del lser sobre el soporte. Los computadores multimedia (que pueden manejar video, sonido y animaciones) usan esta unidad para leer CD-ROM. 650-700 MB (486 disquetes), que pueden almacenar video, sonido, animacin, texto, grfica, etc. Actualmente se consiguen unidades de grabacin de CD. DVD (Digital Video Disc) supera con creces la capacidad y rapidez del CD-ROM. Actualmente superan los 4 GB de capacidad (7 CD) y usados en cinematografa por su calidad de imagen, sonido digital de ltima generacin y dilogos locutados en diferentes idiomas.

SISTEMAS DE COMPRESI?N Apoyados por estudiadas rutinas, logran reducir el espacio de memoria necesario para almacenar un documento. Existen dos tipos de compresores: destructivo y no destructivo. La diferencia principal entre ambos sistemas hace referencia a la prdida de calidad en el archivo resultante, despus de la compresin. CHIP pieza de silicio que contiene millones de componentes electrnicos (transistores y resistores). SILICIO (SILICON) material que se encuentra en estado natural en al arena y en las rocas. TRANSISTOR dispositivo semiconductor que funciona como una especie de PUERTA que se abre o cierra al paso de impulsos elctricos. Un CHIP como el pentium, agrupa + 3.3 millones de transistores en una superficie de menos de 2 Cm cuadrados. BYTE es una medida de la capacidad de almacenamiento de datos del PC. 1 byte equivale a un caracter. Los textos, dibujos y sonidos estn representados por Bytes. MEGABYTE (MB) = a 1.000.000 de bytes. GIGABYTE (GB) = A 1.000 MB. TERABYTE (TB) = A 1.000 GB. EXABYTE (EB)=A 5.000.000 TB. HERTZ (Hz) medida de cuantas vibraciones elctricas (ciclos) se producen en 1 segundo. 1 Hz = a un ciclo por segundo. MEGAHERTZ (MHz) = a 1.000.000 de Hz son la unidad de medida del procesador. PC computador personal. Son el tipo de computadores ms difundidos. Por unidades vendidas representan + del 90% del mercado. PERIF?RICOS son todos los dispositivos que se conectan al computador: Ratn, Teclado, Impresora, Monitor, Audfonos, MODEM, Unidad de CD, etc.

TALLER REVISAR CONFIGURACION Y COTIZACIONES DE PC 2.2. COMPOSICI?N DE UN DEPARTAMENTO DE PROCESAMIENTO ELECTR?NICO DE DATOS P.E.D. Debe existir un organigrama y una asignacin clara de responsabilidades. Aunque los cargos varan segn el centro de procesos, las descripciones siguientes, abreviadas y generales de puestos de trabajo, cubren la mayor parte de los puestos de proceso de datos en los niveles que no sean de direccin. ORGANIGRAMA CON UN GRADO DE DETALLE MNIMO: O UN DIAGRAMA MS ELABORADO COMO: CARGO DESCRIPCI?N Director del PED Como coordinador del Depto. De PED, le corresponde:

? Ejecutar la autorizacin de ampliaciones o cambio en los sistemas principales. ? Revisin, posterior a la instalacin, del costo y eficacia reales de los proyectos de sistemas. ? Revisin de los proyectos de organizacin y control del PED. ? Revisin del rendimiento. Su responsabilidad consiste en presentar cada ampliacin o cambio principal con una propuesta, para ser evaluada desde el punto de vista del Costo ?? Beneficio que ocasionar, ya que la adquisicin o introduccin de mejoras, equivale a una gran inversin en la ampliacin del Activo Fijo y debe estudiarse minuciosamente antes de comprometer recursos en el proyecto. Analista de Sistemas Analiza las necesidades de informacin, evala el sistema existente y disea procedimientos de procesos de datos nuevos o mejorados. Describe el sistema y prepara las especificaciones que sirven de gua al programador. Programador Hace diagramas de la lgica de los programas del PC, especificados por el sistema diseado por el analista de Sistemas. Codifica la lgica para su traduccin al lenguaje del PC. Elimina errores del programa resultante. Prepara la documentacin. Operador del PC Opera el PC de acuerdo con los procedimientos de instalacin y los especficos para cada programa descrito en las instrucciones del funcionamiento del PC. Operador de Textos Prepara informacin para su proceso en el PC, tecleando en un dispositivo que lo traduce a lenguaje de mquina.

TALLER: Taller Organigrama Departamento PED 2.3. T?CNICAS DE AUDITORA ASISTIDAS POR COMPUTADOR ?? TAAC. 1- OPERACIONES EN PARALELO: Confrontacin de resultados, mediante el proceso de los mismos datos reales, entre un sistema nuevo que sustituye a uno ya auditado. Los programas y procedimientos actuales no se abandonarn hasta cuando los nuevos arrojen los resultados esperados. 2- EVALUACI?N DE UN SISTEMA CON DATOS DE PRUEBA: Comnmente llamada lotes de prueba. Se ensaya la aplicacin con datos de prueba contra resultados obtenidos inicialmente en las pruebas del programa para detectar resultados no vlidos. Los datos de prueba deben representar la aplicacin que se examina con todas las posibles combinaciones de transacciones que se lleven a cabo en situaciones reales. Esta tcnica se utiliza en la fase de prueba del programa, antes de ser enviada a produccin y cuando se llevan a cabo modificaciones a un programa, por tanto, los programas utilizados para digitar los datos de prueba deben ser los mismos que se encuentran en produccin y que se utilizan para procesar los movimientos diarios. Cuando esta tcnica se mantiene en el tiempo para ser, consistente y cotidianamente, aplicada al sistema en produccin, toma el nombre de EVALUACION DEL SISTEMA DEL CASO BASE ?? ESCB, en tal caso, la prueba es ms completa y requiere de un alto grado de cooperacin entres usuarios, auditores y personal de sistemas. 3- PRUEBAS INTEGRALES: Permite examinar el proceso de la aplicacin en su ambiente normal de produccin, pues se procesan datos de prueba en la misma aplicacin en produccin junto con los datos reales, para lo cual se crea

una compaa de prueba con fines de auditora dentro de la aplicacin, lo cual permite disponer de los mismos archivos maestros. Los resultados de la prueba se comparan contra resultados precalculados o predeterminados para examinar la lgica y precisin de los procesos. Se presenta un proceso de informacin simultneo para comparar contra resultados predeterminados. 4- SIMULACI?N: Se desarrolla un programa de aplicacin para determinada prueba y se compara el resultado con los arrojados por la aplicacin real. 5- REVISIONES DE ACCESO: Consiste en conservar un registro computarizado de todos los accesos a determinados archivos (informacin del usuario y terminal) ?? Software de Auditora. 6- REGISTROS EXTENDIDOS: Agregar un campo de control a un registro - Software de Auditora. 7- TOTALES ALEATORIOS DE CIERTOS PROGRAMAS: Consiste en obtener totales de datos en alguna parte del sistema, para verificar su exactitud en forma parcial - Software de Auditora. 8- SELECCI?N DE DETERMINADO TIPO DE TRANSACCIONES COMO AUXILIAR EN EL ANLISIS DE UN ARCHIVO HIST?RICO: Con el fin de analizar en forma parcial el archivo histrico de un sistema, el cual sera casi imposible verificar en forma total - Software de Auditora. 9- RESULTADOS DE CIERTOS CLCULOS PARA COMPARACIONES POSTERIORES: Con el fin de comparar en el futuro los totales en diferentes fechas - Software de Auditora. La TAAC anteriormente descritas, ayudan al AUDITOR a establecer una metodologa para la revisin de los sistemas de aplicacin de una institucin, empleando como herramienta EL MISMO EQUIPO DE COMPUTO. El COMPUTADOR le facilita al AUDITOR realizar tareas como: a- Trasladar los datos del sistema a un ambiente de control del auditor. b- Llevar a cabo la seleccin de datos. c- Verificar la exactitud de los datos. d- Hacer muestreo estadstico. e- Visualizacin de datos. f- Ordenamiento de la informacin. g- Produccin de reportes e histogramas. Lo anterior implica una metodologa que garantiza una revisin ms extensa e independiente, que podra consistir en los siguientes pasos: 1- Seleccin del sistema de informacin a revisar. 2- Obtencin de la documentacin de los archivos que incluye: Nombre del archivo y descripcin, nombre de los campos y descripcin (longitud, tipo), codificacin empleada, etc. 3- Trasladar el archivo de datos a un PC con gran capacidad de almacenamiento. 4- Llevar a cabo con un software de auditora las verificaciones que se mencionan anteriormente.

5- Participacin del Auditor en el desarrollo de sistemas. En resumen: El Auditor debe tener la habilidad para revisar y probar la integridad de los sistemas y sus ACTIVIDADES PRINCIPALES SERN: a- Verificar los controles y procedimientos de autorizacin de la utilizacin y captura de los datos, su proceso y salida de informacin, as como los programas que las generan. Es importante revisar los procedimientos para el mantenimiento de los programas y las modificaciones a los sistemas. b- Revisar las transacciones realizadas para asegurarse de que los archivos reflejan la situacin actual. c- Revisar las transacciones y los archivos para detectar posibles desviaciones de las normas establecidas. d- Asegurarse de que las aplicaciones cumplan con los objetivos definidos en la planeacin. e- Revisar todos los cambios hechos a los programas y sistemas para verificar la integridad de las aplicaciones. 2.4. CONCEPTO DE SISTEMAS AVANZADOS SISTEMAS EN LNEA Las operaciones son procesadas al momento de registrarlas, en ves de acumularla en lotes. Los datos pueden ser registrados en una terminal remota de entrada conectada a la unidad central de proceso por lneas de comunicacin. Se refiere a un sistema operativo con terminales, sin implicar su modo de operacin. Un sistema en lnea acepta y almacena datos desde varias terminales, pero no necesariamente implica la actualizacin de archivo maestro. SISTEMA EN TIEMPO REAL Se refiere al tiempo requerido para que una accin, actividad o decisin tenga lugar. El trmino se usa para referirse a sistemas de respuestas rpidas en los cuales los archivos son actualizados tan pronto como las operaciones son registradas y en los cuales los datos de salida son proporcionados inmediatamente al ser solicitados. Los sistemas en tiempo real, son siempre en lnea. Un sistema de tiempo real es aquel en el que para que las operaciones computacionales estn correctas no depende solo de que la lgica e implementacin de los programas computacionales sea correcto, sino tambin en el tiempo en el que dicha operacin entreg su resultado. Si las restricciones de tiempo no son respetadas el sistema se dice que ha fallado; Por lo tanto, es esencial que las restricciones de tiempo en los sistemas sean cumplidas. El garantizar el comportamiento en el tiempo requerido necesita que el sistema sea predecible.

SISTEMAS INTEGRADOS Diseados para minimizar las operaciones y los registros duplicados. El sistema se disea de tal manera, que los registros para las funciones diferentes con informacin similar, sean combinados en un solo registro que los incluya a todos. Algunas caractersticas son: 1- Una vez iniciado el sistema, un solo documento fuente, con la descripcin de la operacin o proporcionando otros datos inicia la actualizacin de todos los registros asociados con la operacin o con la partida de datos. 2- Las partes del sistema estn interrelacionadas y se eliminan los registros duplicados. Un Sistema Integrado, no necesita ser un sistema en Tiempo Real. Un sistema puede estar completo o parcialmente integrado.

BASES DE DATOS ES cualquier conjunto de datos organizados para su almacenamiento en la memoria de un ordenador o computadora, diseado para facilitar su mantenimiento y acceso de una forma estndar. La informacin se organiza en campos y registros. Un campo se refiere a un tipo o atributo de informacin, y un registro, a toda la informacin sobre un individuo. Por ejemplo, en una base de datos que almacene informacin de tipo agenda, un campo ser el NOMBRE, otro el TEL, otro la DIRECCI?N..., mientras que un registro viene a ser como la ficha en la que se recogen todos los valores de los distintos campos para un individuo, esto es, su nombre, telfono, direccin... Los datos pueden aparecer en forma de texto, nmeros, grficos, sonido o vdeo. Normalmente las bases de datos presentan la posibilidad de consultar datos, bien los de un registro o los de una serie de registros que cumplan una condicin.

PROCESO DE DATOS DISTRIBUIDOS Hace mencin a una red de ordenadores locales; es decir, que los datos estn distribuidos en los PC que conforman la red. A menudo se trata de mini-ordenadores conectados en Lnea a uno central. Los sistemas distribuidos pueden consistir en diversos servidores que alojen datos, de forma que el cliente no tiene por qu conocer exactamente dnde se encuentran, simplemente hace una peticin de servicio, y es el sistema servidor el encargado de localizarlos y proporcionar el resultado de la consulta al usuario que hizo la peticin SISTEMAS EXPERTOS Es un sistema informtico que incorpora en forma operativa el conocimiento de una persona experimentada, de forma que es capaz tanto de responder como esa persona, como de explicar y justificar sus respuestas. Actan como ayudantes inteligentes de los expertos humanos y como consultores cuando no se tiene ninguna otra posibilidad de acceder a la experiencia y al conocimiento. Este sistema adopta decisiones o resuelve problemas de un determinado campo, como las finanzas o la medicina, utilizando los conocimientos y las reglas analticas definidas por los expertos en dicho campo. Los expertos solucionan los problemas utilizando una combinacin de conocimientos basados en hechos y en su capacidad de razonamiento. En los sistemas expertos, estos dos elementos bsicos estn contenidos en dos componentes separados, aunque relacionados: una base de conocimientos y una mquina de deduccin, o de inferencia. La base de conocimientos proporciona hechos objetivos y reglas sobre el tema, mientras que la mquina de deduccin proporciona la capacidad de razonamiento que permite al sistema experto extraer conclusiones. Los sistemas expertos facilitan tambin herramientas adicionales en forma de interfaces de usuario y los mecanismos de explicacin. Las interfaces de usuario, al igual que en cualquier otra aplicacin, permiten al usuario formular consultas, proporcionar informacin e interactuar de otras formas con el sistema. Los mecanismos de explicacin, la parte ms fascinante de los sistemas expertos, permiten a los sistemas explicar o justificar sus conclusiones, y tambin posibilitan a los programadores verificar el funcionamiento de los propios sistemas. 2.5. MATRIZ DE PLANEACI?N Es un documento que sirve de gua para seguir una secuencia lgica en la realizacin de la auditora. En este documento, se informa el personal a cargo de cada labor de auditora, las pruebas a realizar, los procedimientos a seguir, el tiempo estimado e invertido, el riesgo y la referencia a papeles de trabajo con el fin de permitir el seguimiento y control del desarrollo de la auditora. (Ver modelo propuesto). 2.6. PLANILLA DE CONTROL INTERNO Es un informe de las situaciones que se presentan en la organizacin que se deben corregir, sustentando las apreciaciones y recomendando las acciones a tomar para encausarlas o corregirlas. Su contenido recomendado es el siguiente.

Planilla de anlisis de control interno Nombre de la compaa Fecha: *Deficiencia: Consiste en identificar y transcribir, en forma clara y concreta, la deficiencia de control interno detectada al interior de la organizacin; en nuestro caso, al interior de cualquiera de los procesos del sistema de informacin que este siendo objeto de auditora. *Sustentacin: Consiste en redactar, en forma clara e inequvoca, la evidencia que sustenta la existencia de la deficiencia sobre la cual el auditor se apoya para identificar su materializacin. Esta sustentacin debe ser: *Relevante? Lgica *Fiable ? Vlida, Objetiva *Suficiente?Cuantitativa *Adecuada? Cualitativa Firma Auditor:_____________________ *Recomendacin: Es la propuesta del auditor tendiente a contrarrestar la deficiencia de control interno. Debe ser coherente con la deficiencia detectada consultado la relacin costo-beneficio. Para verificar lo acertado de la recomendacin, podemos responder las siguientes preguntas: 1-La recomendacin es coherente con la deficiencia? 2-La recomendacin aplica al problema? 3-La recomendacin es suficiente?; con su aplicacin la deficiencia no se vuelve a presentar? *Beneficio: Se debe indicar cul es el beneficio que se obtendr con la implantacin de la recomendacin, el cual debe ser representativo, tangible y atractivo para la administracin. *Compromiso: Se debe obtener el compromiso de parte del responsable del rea o de la administracin en el sentido de que se acoge la recomendacin para implantarla, definiendo fecha en que se har y firma, de estos, en seal de compromiso y ejecucin operativa.

Firma responsable:__________________

VER EJEMPO EN TALLER: MATRIZ DE PLANEACION -hojas- Ejemplo, planilla 1 y planilla 2

TALLER: Conceptuar Matriz y Planilla TALLER: matriz planeacin ??hojas- matriz1, matriz2 y matriz3 UNIDAD 3. EVALUACI?N DE LA SEGURIDAD 3.1. SEGURIDAD L?GICA Y CONFIDENCIAL La seguridad Lgica y Confidencial hace un gran nfasis en la conservacin y proteccin de la informacin y valora esa informacin como el activo ms importante de la empresa y por eso tiene en cuenta que:

-La computadora es un instrumento que almacena informacin y por tanto: ? Es confidencial ? Puede ser mal utilizada ? se puede prestar para Fraudes ? Se pueden presentar sabotajes que provoquen destruccin de informacin -La informacin puede ser de gran importancia y el no tenerla puede provocar atrasos sumamente costosos. Cuanto tiempo pasara para que una organizacin estuviese nueva/ en operacin? El centro de computo puede ser el activo + valioso y al tambin el + vulnerable. El 95% de los delitos por computadora han sido descubiertos por casualidad y no se divulgan para no dar ideas a personas mal intencionadas. Los fraudes, falsificaciones y venta de informacin hechos a la computadora o por medio de ellas es una constante. El incremento de los fraudes por computadora crece ms rpido que los sistemas de seguridad. Los procedimientos de Auditora y seguridad son responsabilidad del Usuario y del Depto. De Auditora Interna. AL AUDITAR los sistemas, se debe tener en cuenta que no se tengan copias piratas y que al conectarnos en RED no exista posibilidad de transmisin de VIRUS. MOTIVO DE LOS DELITOS POR COMPUTADORA - Beneficio Personal - Beneficios para la organizacin - Sndrome de Robin Hood (Para beneficiar a otras personas) - Jugando a jugar - Fcil desfalcar

- El Depto. Es deshonesto - Odio a la organizacin (Revancha) - El individuo tiene problemas financieros - La computadora no tiene sentimientos ni delata - Equivocacin de ego (Deseo de sobresalir en alguna forma) - Mentalidad turbada

FACTORES QUE PERMITEN EL INCREMENTO DE DELITOS POR PC. 1- Aumento del # de personas que estudia computacin 2- Aumento del # de empleados con acceso a los equipos 3- Facilidad en el uso de los equipos de computo 4- Incremento en la concentracin del # de aplicaciones, y de la informacin Estos factores son el objetivo del centro de cmputo, pero tambin constituye un incremento del riesgo del delito. El uso inadecuado del computador empieza con la utilizacin del tiempo de maquina para usos ajenos al de la organizacin, la copia de programas para fines comerciales, el acceso va telefnica para copiar o modificar datos con fines fraudulentos. Los delitos pueden ser no intencionales Ej. IMAGINASE una compaa de publicidad por correo. Cunto podra costarle que la competencia adquiriera su lista de correo o que la informacin sea cambiada o daada? Ej. Una Cia. De venta puerta a puerta, le sustrajeron la lista de clientes, la cual fue vendida a la competencia; la Cia. Estimo la perdida en ventas en $ 7.062??000.000. Actualmente las Cias. Tienen grandes dispositivos de seguridad fsica de las computadoras; LO GRAVE, es que se tiene la idea que los sistemas no pueden se violados si no se entra a la sala de computo, olvidndose del uso de terminales y de sistemas remotos de teleproceso. Se piensa como en el caso de Incendio o robo, que ??eso no me puede suceder a mi? 0 ??Es poco probable que suceda aqu?. Algunos gerentes creen que las computadoras y sus programas son tan complejos, que nadie fuera de la Cia. Los va a entender y no les van a servir; pero existe gran # de personas que pueden captar la informacin de un sistema y hacer de ella su segundo ingreso. El incremento en los Fraudes, ha ocasionado el incremento en la seguridad Fsica y Lgica con la desventaja que la seguridad Lgica requiere mucho recurso de computador. Lo ideal es obtener la seguridad adecuada, de acuerdo a la seguridad requerida con el menor costo posible. Se debe tener en cuenta la posibilidad de Fraude cometida por los empleados en el desarrollo de sus funciones. A) el mas comn es en el desarrollo de programas, en el cual se pueden insertar rutinas con fines dainos (borrar

informacin, beneficio personal-nmina, robar informacin, venganza, etc.), de hay la necesidad de tener los programas fuente y/o debidamente documentados. Peligroso no tener los programas documentados, porque se crea dependencia con aquellos empleados que concentran en su memoria toda la informacin referente a la construccin, mantenimiento y reformas de los programas. La seguridad empieza con la simple clave de acceso (password), hasta sistemas complicados, pero debe evaluarse que entre + complicados los dispositivos de seguridad, resultan + costosos; por tanto, se debe mantener una adecuada relacin de seguridad-costo en los sistemas de informacin. TALLER: TRABAJO Claves de acceso -Se aplicar un Taller de claves acceso Se incluy en trabajo de A. FISICA Un sistema integral de seguridad debe comprender: 1- Elementos administrativos 2- Definicin de una poltica de seguridad 3- Organizacin y definicin de responsabilidades 4- Seguridad fsica y contra catstrofes (incendio, terremoto, etc.) 5- Practicas de seguridad del personal 6- Plizas de seguros 7- Elementos tcnicos y procedimientos 8- Sistemas de seguridad de equipos y de sistemas, incluyendo redes y terminales 9- Aplicacin de los sistemas de seguridad incluyendo datos y archivos 10- El papel de los Auditores tanto interno como externo 11- Planeacin de programas de desastre y su prueba. Los accidentes pueden surgir por mal manejo de la Admn., por negligencia o por ataques intencionales hechos por ladrones, fraudes, sabotajes o por situaciones propias de la Cia. Ej. huelgas El poder trabajar con la posibilidad de un desastre debe ser algo comn, debe planearse como evitarlo y que hacer cuando ocurra. Se debe evaluar el riesgo que pueda tener el dao en las instalaciones y/o en las aplicaciones, con gran impacto en la Cia. y/o en la comunidad si el servicio se interrumpe por cierto perodo; otras pueden fcilmente continuar sin afectar fuertemente la Cia. Ej. Por medio de mtodos manuales. Para establecer la RELACI?N COSTO / BENEFICIO entre el costo por prdida de informacin y el costo de un sistema de seguridad debemos tener en cuenta algunos puntos como: 1- Clasificar la aplicacin en trminos de riesgo (alto, medio, bajo) 2- Identificar aplicaciones con alto riesgo 3- Impacto en la suspensin de aplicaciones con alto riesgo

4- Medidas de seguridad necesarias acorde a la seguridad requerida 5- Justificar el costo de implantar las medidas de seguridad IDENTIFICACI?N DE LAS APLICACIONES DE ALTO RIESGO Y CLASIFICACI?N DEL RIESGO Para esto debemos preguntarnos: 1- Qu sucedera si no se puede usar el sistema? a. Se puede trabajar normalmente? Si la respuesta es No, entonces podemos concluir que la aplicacin es de alto riesgo. 2- Qu implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podramos estar sin utilizarlo? Unos minutos?, un da? Una semana?. 3- Existe un procedimiento alterno y qu problemas ocasionara?, si existe, manual, datos telefnicos, procesar en otro sistema; no existe. Ej. Reserva de tiquetes por las redes y bancos de datos, retraso e ineficiencia en los despachos de vuelos. 4- Qu se ha hecho para un caso de emergencia? Sistemas paralelos, sistemas duplicados en reas crticas (aires acondicionados, discos, etc.), sistemas de energa no interrumpible. Ej. Elaborar la NOMINA en forma manual o pagarla con la de la quincena anterior. Una vez definido el grado de riesgo (alto, medio, bajo), se debe elaborar una lista de medidas preventivas a tomar y las correctivas en caso de desastre sealando prioridades. Hay que tener mucho cuidado con la informacin que sale de la oficina, con su utilizacin y que sea borrada al momento de dejar la instalacin de respaldo. LOS PLANES DE SEGURIDAD DEBEN ASEGURAR: 1- La integridad y exactitud de los datos 2- Identificar la informacin confidencial, de uso exclusivo y la delicada 3- Proteger y asegurar los activos de desastres provocados por la mano del hombre y de actos abiertamente hostiles 4- Asegurar la capacidad de la organizacin para sobrevivir accidentes 5- Proteger a los empleados contra tentaciones o sospechas innecesarias 6- Proteger a la Administracin contra cargos de imprudencia CLASIFICACI?N DE LA APLICACI?N EN T?RMINOS DE RIESGO 1- Clasificar los datos, archivos y programas con informacin confidencial, con un alto valor en el mercado de competencia de una Cia. 2- Clasificar la informacin de difcil recuperacin 3- Identificar la informacin con un alto costo financiero en caso de prdida 4- Identificar la informacin que pueda provocar un gran impacto en la toma de decisiones

5- Determinar la informacin que tenga una gran prdida en la Cia. Y posiblemente pueda ocasionar que no pueda sobrevivir sin esa informacin. EJEMPLO: ALTO RIESGO: Informacin sobre el mercado y publicidad de una Cia. MEDIO RIESGO: La nmina, que puede ser hecha a mano, utilizar procedimientos alternos (pagar con la nmina anterior) o un adecuado sistema de respaldo. BAJO RIESGO: Los estado financieros, los que se pueden reestructurar con cierta facilidad, salvo la presentacin con fines fiscales. CUANTIFICACI?N DEL RIESGO Se debe entrevistar a los niveles administrativos afectados directamente por la suspensin del proceso para averiguar en que forma afecta la organizacin. PRECAUCIONES EN LA DIVISI?N DEL TRABAJO 1- El personal que prepara la informacin no debe tener acceso a la operacin 2- Los analistas y programadores no deben tener acceso al rea de operacin y viceversa 3- Los operadores deben tener acceso restringido a las libreras y a lugares donde se tenga archivos almacenados; es importante separar las funciones de librera y de operacin 4- Los operadores no deben ser los nicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados 5- Evaluar y revisar en forma visual el orden y limpieza de la sala de computo y las oficinas, ya que una inadecuada limpieza en el trabajo refleja problemas de disciplina y crea posibilidades de fallas en la seguridad, adems de perjudicar el desarrollo normal del trabajo Los sistemas de seguridad pueden reducir flexibilidad en el trabajo, pero no deben reducir la eficiencia (IMPORTANTE.)

3.2. SEGURIDAD EN EL PERSONAL El centro de cmputo depende en gran medida de: 1- Integridad del personal 2- Estabilidad del personal 3- Lealtad del personal 4- Adecuada poltica de vacaciones 5- Adecuada poltica de reemplazo, lo cual permite en caso necesario, poder cambiar a una persona sin riesgo de funcionamiento para la organizacin. 6- Adecuada poltica de rotacin en puestos de alto nivel de confianza, para mermar la posibilidad de fraude, identificar el personal indispensable y eliminarlos.

7- Adecuada poltica motivacional con el fin de fortalecer la lealtad 8- Fomentar la cultura de seguridad en los programas para protegerlos de posibles fraudes. Se recomienda, pues, los exmenes psicolgicos, mdicos, antecedentes laborales, Valores sociales, estabilidad ya que normalmente son personas que trabajan bajo presin y estrs, por lo que importa mucho su actitud y comportamiento. 3.3. SEGURIDAD FSICA El objetivo es establecer POLTICAS, PROCEDIMIENTOS Y PRACTICAS para evitar la interrupcin prolongada del proceso de datos y continuar en un medio de emergencia hasta que sea restaurado el servicio. Se debe asegurar contra: 1- Incendio 2- Inundacin 3- Huelgas 4- Disturbios 5- Sabotaje 6- Material de la construccin (no inflamable, no txicos, sin polvo) 7- Temperatura de la sala de computo 8- Ductos, del aire acondicionado, limpios 9- Detectores de humo 10- Equipos de fuente no interrumpible en instalaciones de alto riesgo en la computadora, la red y equipos de teleproceso 11- Nmero de extintores, capacidad, fcil acceso (cerca, altura), peso, tipo de producto (que no sean lquidos, no produzcan gases txicos), vencimiento de la carga 12- Entrenamiento del personal en el uso de los equipos contra incendio 13- Suficientes salidas de emergencia debidamente controladas 14- Almacenamiento adecuado de cintas que produce gases txicos y papel altamente inflamable Fue costumbre exhibir la sala de cmputo en grandes ventanales al pblico como smbolo de orgullo de la organizacin, y con gran cantidad de invitados visitndola. Eso cambi radicalmente para prevenir el riesgo de terrorismo y sabotaje. 3.4. SEGUROS El seguro es muy importante. Existe un gran problema: El agente de seguros es experto en Riesgos Comerciales, de Vida, ect., pero sabe muy poco sobre computadoras. El personal de Informtica es experto en computadoras, pero conoce muy poco sobre seguros.

En la compra de SEGUROS, se debe tener en cuenta que el proveedor del equipo y/o del mantenimiento, cubre ciertos riesgos, con el fin de no duplicar el seguro. La pliza debe cubrir todo el equipo y su INSTALACI?N Verificar: -la fecha de vencimiento del SEGURO -Pliza adecuada -Actualizada con los nuevos equipos El valor del seguro debe estar a precio de COMPRA del mercado y no al precio al momento de la compra de SEGURO. El SEGURO debe cubrir: -Daos causados por factores externos (Terremotos, inundacin, etc.) -Daos causados por factores internos (Negligencia, Aire acondicionado, Polvo, etc.) EL SEGURO en programas debe tener en cuenta: -Costo de elaborarlos en determinado equipo -Costo de crearlos nuevamente -Valor comercial

EL SEGURO en cuanto a personal debe cubrir: -Fianzas contra robo -Negligencia -Daos causados por el personal -Sabotaje -Acciones deshonestas -Confidencialidad SE DEBER ESTABLECER NORMAS Y PRACTICAS EFICACES PARA EVITAR EN LO POSIBLE EL DA?O FSICO AL PERSONAL, OFICINAS Y EQUIPO DE COMPUTO. 3.5. SEGURIDAD EN LA UTILIZACI?N DEL EQUIPO La tendencia en los programas y equipos, son ser ms sofisticados y solo algunas personas del centro PED conocen el detalle el diseo, lo cual puede provocar deterioro de los sistemas, para lo cual se debern tomar medidas como: 1- Restringir el acceso a los programas y archivos 2- Los operadores deben trabajar con poca supervisin y sin la participacin de los programadores, y no deben modificar los programas ni los archivos.

3- Asegurar en todo momento que los datos y archivos usados sean los adecuaros, procurando no usar respaldos inadecuados. 4- No debe permitirse entrar a la red a personas no autorizadas, ni usar las terminales. 5- La informacin confidencial debe usar formas codificadas o encriptadas. 6- Revisin peridica fsica del uso de terminales y de los reportes obtenidos. 7- Auditoria peridica sobre el rea de operacin y utilizacin de terminales. 8- Asegurar el proceso completo de los datos. 9- Debe existir registros de transferencia de informacin ente las funciones de un sistema. 10- Debe controlarse la distribucin de las salidas (reportes, cintas, etc.) 11- Guardar copia de archivos fuera del Depto, de PED y en instalaciones de alta seguridad (Bancos) 12- Control estricto en el transporte de cintas y discos del PED al local de almacenaje distante. 13- Identificar y controlar perfectamente los archivos. 14- Estricto control en el acceso fsico a los archivos. SE DEBE TENER UN ESTRICTO CONTROL EN EL MANEJO DE LA INFORMACI?N; por tanto se debe: 1- Cuidar que no se obtengan copias de informacin sin la debida autorizacin. 2- Solo el personal autorizado debe tener acceso a la informacin confidencial. 3- Controlar el destino final de los listados correctos e incorrectos. 4- Controlar el # de copias y la destruccin de informacin y del papel carbn de la informacin confidencial. EL FACTOR + IMPORTANTE EN LA ELIMINACI?N DEL RIESGO EN LA PROGRAMACI?N es que todos los programas y archivos estn debidamente documentados; por lo cual, se debe tener alto grado de seguridad desde el momento del diseo preliminar del sistema. EL SIGUIENTE PUNTO EN IMPORTANCIA ES CONTAR CON LOS RESPALDOS Y DUPLICADOS DE LOS SISTEMAS, PROGRAMAS, ARCHIVOS Y DOCUMENTACI?N necesaria para que pueda funcionar el plan de emergencia. SEGURIDAD AL RESTAURAR EL EQUIPO Cuando ocurre una contingencia, es esencial conocer el motivo que la gener y el dao causado, lo que permite recuperar en el menor tiempo posible el proceso perdido. Se debe analizar el impacto futuro en el funcionamiento de la organizacin y prevenir implicaciones negativas. En una situacin ideal, se debe elaborar planes para manejar cualquier contingencia que se presente. Se debe definir planes de recuperacin y reanudacin, para asegurar que los usuarios se afecten lo menos posible en caso de falla o siniestro. Entre ellas tenemos: a- No realizar ninguna accin y reanudar el proceso b- Con copias peridicas de los archivos reanudar un proceso a partir de una fecha determinada.

c- Cambiar el proceso normal por uno alterno de emergencia (Manual, en otro equipo, en equipo paralelo, en otra instalacin, etc.) Cualquier procedimiento a usar deber ser planeado y probado previamente. 3.6. PROCEDIMIENTO DE RESPALDO EN CASO DE DESASTRE Debe elaborarse en cada Depto. De PED un plan de emergencia, el cual debe ser aprobado por el Depto. De Informtica y definir los procedimientos e informacin para ayudar a la recuperacin de informacin en caso de interrupciones en la operacin del sistema de cmputo. El plan de emergencia debe ser probado y utilizado en condiciones anormales para en caso de usarse en condiciones de emergencia se tenga la seguridad de que funcione. Se debe considerar: -Que la emergencia existe -Utilizar respaldos (en otros sitios) -Cambiar la configuracin -Usar mtodos manuales La desventaja de un plan de emergencia es su costo, pero al igual que un seguro, solo se puede evaluar la ventaja del plan de emergencia si el desastre ocurre. Una vez aprobado el plan de emergencia, se debe distribuir entre el personal responsable de su operacin y es conveniente guardar copia fuera del Depto. PED. La informacin que contiene el plan de emergencia es confidencial o de acceso restringido. El plan debe permitir su revisin constante y su actualizacin y a cada responsable debe asignrsele su tarea y una persona de respaldo para cada uno de ellos, con anotacin de su nombre, direccin y # telefnico. EN LOS DESASTRES PUEDE SUCEDER LO SIGUIENTE: a- Completa destruccin del centro de cmputo b- Destruccin parcial del centro de cmputo c- Destruccin o mal funcionamiento de los equipos auxiliares del centro de cmputo (electricidad, aire acondicionado, etc) d- Destruccin parcial o total de los equipos descentralizados e- Prdida total o parcial de informacin, manuales o documentos f- Prdida de personal clave g- Huelga o problemas laborales EL PLAN DE DESASTRE DEBE INCLUIR a- La documentacin de programas y de operacin b- El acuerdo de soporte recproco, para lo cual se debe tener en cuenta: i. Configuracin de equipos

ii. Configuracin de equipo de captacin de datos iii. Sistemas operativos iv. Configuracin de equipos perifricos c- Los equipos i. El equipo completo ii. El ambiente de los equipos iii. Datos y archivos iv. Papelera y equipo accesorio v. Sistemas (operativo, base de datos, programas, programas de utilera) CUANDO EL PLAN SEA REQUERIDO EN EMERGENCIA, el grupo deber: a- Asegurar que todos los miembros sean notificados b- Informar al director de informtica (Jefe de sistemas) c- Cuantificar el dao o prdida del equipo, archivos y documentos para definir qu parte del plan debe ser activada d- Determinar el estado de todos los sistemas en proceso e- Notificar a los proveedores del equipo cual fue el dao f- Establecer la estrategia para llevar a cabo las operaciones de emergencia tomando en cuenta: a. Elaborar lista con mtodos disponibles para llevar a cabo la recuperacin b. Sealar la posibilidad de alternar los procedimientos de operacin (cambio en dispositivos, sustituir procesos en lnea por lotes) c. Sealar la necesidad para agrupar y transportar al lugar de respaldo los archivos, programas, etc, que se requieran d. Estimacin del tiempo de computadora para periodo largo. e. Posponer las aplicaciones de prioridad ms baja f. Cambiar la frecuencia del proceso de trabajos g. Suspender las aplicaciones en desarrollo 3.7. CONDICIONES, PROCEDIMIENTOS Y CONTROLES PARA OTORGAR SOPORTE A OTRAS INSTITUCIONES La idea es establecer convenios con otros centros de PED para utilizar su equipo en caso de fallas mayores o de desastre, a fin de evitar interrupciones de los servicios de procesamiento por largo perodo. Es importante la intervencin de la administracin de las empresas o centros que hacen el convenio PARA ASEGURAR LA SERIEDAD DEL COMPROMISO y para esto se debe considerar: a- Calidad de la persona a la que se le otorga el respaldo b- Condiciones en las que se otorga el respaldo

c- Procedimientos y controles para el uso del lugar y equipos de respaldo d- Tiempo durante el cual se otorga el respaldo e- Periodicidad para otorgar el respaldo f- Costo del servicio de respaldo TALLER: TRABAJO AUDITORIA - PROGRAMA Y Formas Auditora Fsica y aplicaciones en funcionamiento -hoja- Fsico UNIDAD 4. DISE?O DE CONTROLES En los sistemas de informacin, el control interno se materializa bsicamente en controles de dos tipos. 1- CONTROLES MANUALES: Realizados normalmente por el personal del rea usuaria. Son controles previstos para asegurar que se preparan, autorizan y procesan todas las operaciones, se subsanan adecuadamente todos los errores, son coherentes los resultados de salida. 2- CONTROLES AUTOMTICOS: Incorporados a los programas de la aplicacin que sirven de ayuda para tratar de asegurar que la informacin se registre y mantenga completa y exacta, los procesos de todo tipo sean correctos y su utilizacin por parte de los usuarios respete la confidencialidad y permita la aplicacin de la segregacin de funciones. Segn su finalidad, los controles son: 1- CONTROLES PREVENTIVOS: Se disean patrones de formatos y estructura (dato numrico, fecha vlida, valores vlidos, dgitos de control para cdigos de identificacin, de documentos, nomenclaturas etc.) para evitar los errores a base de exigir el ajuste de los datos a formatos prediseados 2- CONTROLES DETECTIVOS: con el fin de descubrir errores que no hayan sido posible evitar. 3- CONTROLES CORRECTIVOS: para asegurar que se subsanen los errores identificados mediante controles detectivos. Los controles anteriores pueden ser utilizados en las transacciones de recogida o toma de datos, en los procesos de informacin de la aplicacin y en la generacin de informes y resultados de salida. 4.1. CONTROL EN EL ORIGEN DE LAS TRANSACCIONES En el origen de las transacciones deben establecerse controles bsicamente, sobre la AUTORIZACI?N y PROCESAMIENTO DE DOCUMENTOS FUENTE. Como ejemplo tenemos: - PROCEDIMIENTOS EN EL REA USUARIA: Se debe trabajar con base en procedimiento escritos y aprobados por la direccin, en el proceso de iniciacin, revisin y autorizacin de las transacciones de entrada, y se utilizan principalmente para las siguientes actividades operativas: o Preparar documentos fuente. o Regular el flujo de documentos. o Establecer la necesidad de ceirse a los programas de trabajo, como por ejemplo, las fechas de corte. o Controlar el uso de cdigos espaciales, como los passwords entre otros. o Describir los requisitos claves de entrada de datos.

o Precisar las correcciones que en nombre de los usuarios pueden hacer el personal de sistemas. - FORMULARIOS PREIMPRESOS: Guan el registro inicial de las transacciones en un formato uniforme. El diseo de formularios es un eficiente control preventivo para los sistemas en funcionamiento, en la etapa de entrada de datos. Un buen diseo de formularios permite que los datos sean completos y precisos, evitando de esta forma errores y omisiones, logrando un sistema correcto de autorizaciones y apoyando la objetividad de la contabilidad o de otras aplicaciones, de las organizaciones. Los formularios diseados a la medida del sistema facilitan el registro de transacciones y el establecimiento de controles a travs de: o Bloques de autorizacin o Totales de control o Totalizaciones verticales u horizontales o Fechas de retencin de datos Los documentos fuente pre-impresos permiten la serializacin de los mismos, esto es, verificar la secuencia del procedimiento de entrada de datos. La identificacin y serializacin de los documento fuente facilitan el rastreo de las transacciones hacia delante y hacia atrs, cuando se hace el trabajo de auditora. - IDENTIFICACI?N DE TRANSACCIONES: Toda operacin que se registre en un proceso computarizado, debe estar suficientemente identificada como norma de control interno; Ej. Nmero de serie, nmero de secuencia, cdigo de la transaccin. - REFERENCIA CRUZADA: En el computador, las transacciones incluyen generalmente un campo, que tiene por objeto identificar el documento fuente. Si este nmero hace parte de la identificacin de la transaccin, entonces se convertir en una referencia cruzada que sirve para rastrear la informacin hacia delante y hacia atrs. En el registro de CxC, existe un campo para el nmero de la factura; esta referencia puede utilizarse para recuperar los documentos fuente cuando sea necesario. - LOG DE SECUENCIA: Normalmente se identifican las transacciones con nmeros de secuencia y lleva adems, un LOG interno de los nmeros de secuencia que sirve para asegurarse de que los datos de entrada estn completos, y como pista de auditora. - ACCESO RESTRINGIDO A LOS FORMULARIOS EN BLANCO: Los documentos y formularios en blanco deben estar adecuadamente controlados para evitar uso fraudulento, en la entrada de datos. Esta restriccin incluye los documentos negociables. - CUSTODIA DOBLE DE FORMULARIOS: Se acostumbra bsicamente para controlar formularios contables de alto nivel de criticidad. Se requiere que un miembro del Depto. De usuario y otro del Depto. De PED autoricen conjuntamente la entrega de formularios prenumerados. El control exige hacer seguimiento riguroso a los formularios en blanco para que sean devueltos y archivados oportunamente. - SEGREGACI?N FUNCIONAL: Este control en sistemas computarizados requiere por lo menos de: o Separacin del Depto. de PED de los Depto. Usuarios. o Segr