tecnicas utilizadas en auditoria

8/22/2019 Tecnicas Utilizadas en Auditoria

1/39

AUDITORIA

Introduccion

Concepto de Auditar, es controlar una determinada accin. Control: esuna actividad o accin o un grupo de actividades o accionesrealizadas por uno o varios elementos (personas o mquinas), con elfin de prevenir, detectar o corregir errores o irregularidades queafecten al funcionamiento del sistema, o a cualquiera de sus partes.

Auditora: es el examen de la informacin por terceras partes,distintas de quienes la generan y quienes la utilizan, con la intencinde establecer su suficiencia y adecuacin e informar de los resultadosdel examen con objeto de mejorar su utilidad.

La Auditora informtica comprende: la revisin, anlisis y evaluacinindependiente y objetiva por parte de personas independientes ytcnicamente competentes de: un entorno informtico de unaentidad, abarcando todas o algunas de sus reas como:

equipos sistemas operativos y paquetes aplicaciones y el proceso de su desarrollo organizacin y funciones -las comunicaciones la propia gestin de los recursos informticos.

Las polticas, estndares y procedimientos en vigor de la entidad, suidoneidad, as como el cumplimiento de: dichas polticas, estndaresy procedimientos:

los objetivos fijados los planes los presupuestos los controles y las normas legales aplicables.

Conclusin: Como consecuencia de la revisin y examen ha deemitirse un informe escrito que resuma la situacin desde un puntode vista independiente y objetivo, y en su caso dicho informe ha deincluir sealamiento de deficiencias e indicacin de mejoras.

Para realizar las actividades de Auditora informtica existen:Mtodos, Tcnicas y Herramientas.

TTIPOSIPOSDEDEAUDITORAAUDITORAENENCUANTOCUANTOOBJETIVOSOBJETIVOS


2/39

Interna Externa

Tipos de auditora informtica

Evaluacin del sistema de control interno por parte de laauditora interna o evaluacin de la auditora interna por partede la auditora externa.

Auditora de cumplimiento de polticas, estndares yprocedimientos de la propia entidad, de normas legalesaplicables, de acuerdos interempresas

Auditora de seguridad (fsica y/o lgica) Auditora operativa, que para algunos es lo mismo que auditora

de gestin.

Relacin entre Auditoria interna y externa

Ambas auditoras son compatibles y recomendables. Su cometido escomplementario nunca excluyente.

La auditora externa debe ser el seguimiento de la auditora interna.

Los auditores externos pueden apoyarse en las internas, siempre ycuando esto no suponga una prdida de la objetividad y de laindependencia en:

sus informes sus indicaciones

Los auditores externos pueden aporta a los internos nuevas tcnicasy mtodos.

La auditora interna puede crearse muchas veces por recomendacinde la externa.

El auditor informtico: Cualidades y requisitos que debe poseer

Formacin (buen profesional, conocimientos completos) Experiencia Independencia (actitud mental - actuar libremente con respecto

a su juicio profesional) Objetividad (actitud imparcial - no dejarse influenciar) Madurez Integridad (rectitud intachable, honestidad) Capacidad de anlisis y sntesis Responsabilidad Inters


3/39

Perfil especfico segn: nivel del puesto entorno de trabajo reas a auditar

Puesta al da de los conocimientos.

FUENTES:

Es necesario requerir la documentacin sobre todo lo que se haauditar, se incluye todo aquello que tenga que ver con:

el hardware el software las instalaciones procedimientos, etc.

REVISION DEL HARDWAREREVISION DEL HARDWARE

Listar todo el hardware Especificar su utilizacin Hacer estadsticas de uso y personas Sistemas claves Mapa de conexiones Prioridades Modificaciones (cada equipo debe tener una bitcora de su

vida) Probar el hardware: pruebas en paralelo y benchmarks. Comprobar su vida real, etc.

REVISIN DEL SOFTWARE:REVISIN DEL SOFTWARE:

Solicitar los planos del software Solicitar programas operativos Solicitar programas de aplicacin Solicitar bases de datos Hacer las pruebas del S.O con expertos, y con los operadores

(observar las reacciones) Revisin de la vida til del software Responsables del proyecto Diseadores Probadores Fundamentos de aplicacin Analizar su uso.


4/39

AUDITORA INFORMTICAAUDITORA INFORMTICA

En la actualidad el costo de los equipos de cmputo ha disminuidoconsiderablemente, mientras que sus capacidades y posibilidades de

utilizacin han aumentado en forma inversa a la reduccin de suscostos. Aunque los costos unitarios han disminuido (el de unacomputadora personal, "microcomputadora"), los costos totales de lacomputacin (de equipos, sistemas, paquetes, recursos humanos,consumibles, etc. ) se han incrementado considerablemente. Ello sedebe a que, si bien la relacin precio / memoria es menor, el tamaode la memoria de los equipos y sus capacidades son mucho mayores,con procesadores y dispositivos que permiten acceso de ms datosen mucho menos tiempo y que procesan la informacin en forma msrpida (memorias RAM y ROM, discos fijos, etc. ). Esto hace que,aunque se han reducido los costos, al aumentar sus capacidades y

facilidades se ha incrementado el costo total, lo que ha tenido comoconsecuencia que los costos totales del uso no hayan disminuido entodos los casos. Las nuevas herramientas con que se cuenta(Internet, Extranet, comunicacin, bases de datos, multimedia, etc. )hacen que tambin se pueda tener acceso a mayor informacin,aunque el costo total de los sistemas, as como la confiabilidad yseguridad con que se debe trabajar, sean muy altos.

En algunas ocasiones ha disminuido el costo de las aplicaciones, perose tiene poca productividad en relacin con la informacin y uso que

se da a stas. Tambin se tiene poco control sobre la utilizacin delos equipos, existe un deficiente sistema de seguridad tanto fsicacomo lgica y se presenta una falta de confidencialidad de lainformacin. Lo que se debe incrementar es la productividad, elcontrol, la seguridad y la confidencialidad, para tener la informacinnecesaria en el tiempo y en el lugar adecuados para poder tomar lasmejores decisiones.Los siguientes puntos de la tecnologa de informacin sonparticularmente notables:

Una gran disponibilidad de hardware de computadoras muy

poderosos y baratos, incluyendo la incorporacin, a travs de laminiaturizacin de poderosas capacidades, en diferentesdispositivos diseados para usos personales y profesionales.

Una gran disponibilidad de software poderoso, barato yrelativamente accesible, con interfases de uso grfico.

A la medida del cliente, cambio de sistemas a softwarepreempacado. Cambio de computadoras principales(mainframe) a computadoras de uso individual o aumentadascomo parte de redes dedicadas a compartir informacin, ascomo computadoras corporativas con los correspondientes

cambios en la naturaleza, organizacin y localizacin de


5/39

actividades de los sistemas de informacin, como el cambio acomputadoras de usuario final.

Incremento en la habilidad de las computadoras para accesardatos en tiempo real o demorado, ambos en forma local o atravs de acceso a facilidades remotas, incluyendo va Internet.

Captura de nuevos datos y el liderazgo en tecnologa enalmacenamiento mximo para incrementar la computarizacin,datos/informacin en textos, grficas y video, con nfasis en laadministracin, presentacin y comunicacin de informacin,utilizando aproximaciones de multimedia.

La cobertura de informacin y las tecnologas de comunicacinafectan la forma en que se trabaja y se compra.

.Incremento del uso de Internet para unir individuos,intraorganizaciones, a travs de sistemas tales como correoelectrnico (E-mail), Internet, incluyendo world y wide web.

El incremento en el uso de Internet para conducir comunicacinentre organizaciones e individuos, a travs de sistemas decomercio electrnico, tales como intercambio electrnico dedatos (EDI) y sistema de transferencia electrnica de fondos(EFTS).

Mercadeo masivo y distribucin de productos de tecnologa deinformacin y servicios, tales como computadoras, softwarepreempacado, servicio de recuperacin de datos en lnea,correo electrnico y servicios financieros.

Reduccin de barreras de uso de sistemas, estimulando una

gran penetracin de sistemas de informacin dentro deorganizaciones de todos los tamaos, de lucro o no lucrativas,para contadores y consejos de administracin, y para propsitosestratgicos e incremento de papeles del usuario final decomputadoras.

Una amplia penetracin de tecnologa de informacin, tal comodiseo de manufactura por medio de asistencia computarizada(CAD/CAM), sistema de imgenes por computadora, sistemasde informacin para ejecutivos (EIS) y sistemas de reuniones enforma electrnica (EMS).

Nuevas tcnicas de desarrollo de sistemas, basados entecnologas de informacin, tales como software de ingenierade asistencia computarizada (CASE), programacin orientada aobjetos y tecnologa de flujos (WORK- FLOW).

Desarrollo continuo de soporte de sistemas inteligentes,incorporando sistemas expertos, redes neuronales, agentesinteligentes y otras ayudas de solucin de problemas.

Acceso a reingeniera de nuevos negocios, basado en laintegracin efectiva de tecnologa de informacin y procesos denegocios.

Uno de los problemas ms frecuentes en los centros de informtica esla falta de una adecuada organizacin, que permita avanzar al ritmo


6/39

de las exigencias de las organizaciones. A esto hay que agregar lasituacin que presentan los nuevos equipos en cuanto al uso de basesde datos, redes y sistemas de informacin. Lo anterior, combinadocon la necesidad de la eficiente planeacin estratgica y corporativade las organizaciones, y con una descentralizacin de equipos y

centralizacin de la informacin, ha provocado que la complejidad delas decisiones, y las dimensiones de los problemas en cuanto a lamejor forma de organizar el rea de cmputo, requieran aplicartcnicas modernas de control y administracin.

En muchos centros de informtica tambin se desconoce el adecuadoempleo de herramientas administrativas, contables / financieras, talescomo presupuestos, finanzas, costos, recursos humanos,organizacin, control, etc. Esto repercute en una inadecuada rea deinformtica que no permite tomar decisiones con las caractersticasque deben tener las organizaciones actuales, lo cual hace que no secuente con los controles para asegurar que esas decisiones no sedesven de los objetivos.

La proliferacin de la tecnologa de informacin ha incrementado lademanda de control de los sistemas de informacin, como el controlsobre la privacidad de la informacin y su integridad, y sobre loscambios de los sistemas. Adems, hay una preocupacin sobre lacada de los sistemas y sobre la seguridad de la continuidad delprocesamiento de la informacin, en caso de que los sistemas secaigan. Otra rea de preocupacin es la proliferacin de subsistemas

incompatibles y el ineficiente uso de los recursos de sistemas.

Los sistemas tienen diferentes etapas, y una de ellas puede ser lautilizacin de las herramientas que nos proporcionan los mismossistemas electrnicos. Para poder evaluar un sistema de informacines necesario conocerlo y controlarlo desde su inicio, siguiendo suproceso, que puede ser manual, mecnico, electrnico, o bien lacombinacin de stos, hasta llegar a su almacenamiento, respaldos,seguridad y eficiencia en el uso de la informacin que proporcionan.No basta, pues, conocer una parte o fase del sistema, como puedenser los equipos de cmputo, que tan slo vienen a ser una

herramienta dentro de un sistema total de informacin.

La informtica ha sido un rea que ha cambiado drsticamente en losltimos aos. En una generacin, la tecnologa ha cambiado tanto quelo que sorprendi hace algunos aos, como la llegada del hombre a laLuna, o bien la creacin del horno de microondas, hoy nos parecealgo muy familiar. En una dcada hemos visto el cambio en laorganizacin de la informtica: si hace poco era algo comn la tarjetaperforada, hoy la vemos como algo de un pasado muy remoto, yconsideramos como algo normal el uso de microcomputadoras y deredes. Esto ha provocado que se tengan especialistas dentro del reade la informtica. Ya no podemos pensar en el personal deinformtica que poda trabajar con microcomputadores y con grandes


7/39

computadoras, o bien en la persona que conoca en detalle sobrebases de datos y de comunicaciones. Ahora se deben de tenerespecialistas en cada una de las reas. Una de stas es la auditoraen informtica, y en ella debemos de tener especialistas para cadauna de las diferentes funciones que se realizarn. Esto sin duda

depende del tamao del rea de la informtica y de la organizacin.

El principal objetivo del libro es evaluar la funcin de la informticadesde los siguientes puntos de vista:

La parte administrativa del departamento de informtica. Los recursos materiales y tcnicos del rea de informtica. Los sistemas y procedimientos, y la eficiencia de su uso y su

relacin con las necesidades de la organizacin.

Es conveniente precisar y aclarar que la funcin de la auditora en

informtica se ubica dentro del contexto de la organizacin,dependiendo de su tamao y caractersticas. La profundidad con laque se realice, depender tambin de las caractersticas y del nmerode equipos de cmputo con que se cuente. El presente libro seala unpanorama general, pero habr que adecuar ste y profundizar deacuerdo a la organizacin de que se trate y de los equipos, software ycomunicacin que se auditen.

Para cualquier comentario sobre esta obra, los lectores puedendirigirse a la direccin del autor en Internet: [email protected]

CONCEPTO DE AUDITORIA Y CONCEPTO DE INFORMATICA

Auditora. Con frecuencia la palabra auditora se ha empleadoincorrectamente y se le ha considerado como una evaluacin cuyonico fin es detectar errores y sealar fallas. Por eso se ha llegado ausar la frase "tiene auditora" como sinnimo de que, desde antes derealizarse, ya se encontraron fallas y por lo tanto se est haciendo laauditora. El concepto de auditora es ms amplio; no slo detectaerrores: es un examen crtico que se realiza con objeto de evaluar laeficiencia y eficacia de una seccin o de un organismo, y determinar

cursos alternativos de accin para mejorar la organizacin, y lograrlos objetivos propuestos.


8/39

La palabra auditora viene del latn auditorius, y de sta proviene"auditor", el que tiene la virtud de or; el diccionario lo define como"revisor de cuentas colegiado". El auditor tiene la virtud de or yrevisar cuentas, pero debe estar encaminado a un objetivo especfico,que es el de evaluar la eficiencia y eficacia con que se est operando

para que, por medio del sealamiento de cursos alternativos deaccin, se tomen decisiones que permitan corregir los errores, encaso de que existan, o bien mejorar la forma de actuacin.

Si consultamos nuevamente el diccionario encontramos que eficaciaes: "virtud, actividad, fuerza, para poder obrar"; mientras queeficiencia es: "virtud y facultad para lograr un efecto determinado",es decir, es el poder lograr lo planeado con los menores recursosposibles, mientras que eficacia es lograr los objetivos.

El Boletn C de normas de auditora del Instituto Mexicano deContadores nos dice:

La auditora no es una actividad meramente mecnica que implique laaplicacin de ciertos procedimientos cuyos resultados, una vezllevados a cabo, son de carcter indudable. La auditora requiere elejercicio de un juicio profesional, slido y maduro, para juzgar losprocedimientos que deben de seguirse y estimar los resultadosobtenidos.

As como existen normas y procedimientos especficos para larealizacin de auditoras contables, debe haber tambin normas yprocedimientos para la realizacin de auditoras en informtica comoparte de una profesin. stas pueden estar basadas en lasexperiencias de otras profesiones, pero con algunas caractersticaspropias y siempre guindose por el concepto de que la auditora debeser ms amplia que la simple deteccin de errores, y que adems laauditora debe evaluar para mejorar lo existente, corregir errores yproponer alternativas de solucin.

Informtica. El concepto de informtica es ms amplio que el simple

uso de equipos de cmputos o bien de procesos electrnicos. Veamoslo que se dijo en la conferencia presentada del 5 al 9 de diciembre de1983 en el Centro de Informtica de la Facultad de Contadura yAdministracin (CIFCA) de la Universidad Nacional Autnoma deMxico:

No existe una sola concepcin acerca de qu es informtica;etimolgicamente, la palabra informtica deriva del francsnformatque. Este neologismo proviene de la conjuncin denformaton (informacin) y automatque (automtica). Su creacin

fue estimulada por la intencin de dar una alternativa menostecnocrtica y menos mecanicista al concepto de "proceso de datos".


9/39

En 1966, la Academia Francesa reconoci este nuevo concepto y lodefini del modo siguiente:

Ciencia del tratamiento sistemtico y eficaz, realizado especialmente

mediante mquinas automticas, de la informacin contempladacomo vehculo del saber humano y de la comunicacin en los mbitostcnico, econmico y social.

Hacia principios de los setenta ya eran claras las limitaciones de estadefinicin, sobre todo por el hincapi en el uso de las mquinas. Elprincipal esfuerzo por redefinir el concepto de informtica lo realizen esa poca la Oficina Intergubernamental de Informtica (IBI), enaquel tiempo rgano asociado a la UNESCO. Este organismo, a travsde los comits expertos convocados para ello, formul en 1975 esta

definicin:Aplicacin racional, sistemtica de la informacin para el desarrolloeconmico, social y poltico.

La IBI tambin dio en esa poca una descripcin del concepto deinformtica que, aunque no constituye una definicin formal, resultamuy descriptiva:

Ciencia de la poltica de la informacin.

En 1977, con la intencin de actualizar y afinar el concepto, laAcademia Mexicana de Informtica propuso la siguiente definicin:

Ciencia de los sistemas inteligentes de informacin.

En algunas ocasiones se han empleado como sinnimos los conceptosde proceso electrnico, computadora e informtica. El concepto deinformtica es ms amplio, ya que considera el total del sistema y elmanejo de la informacin, la cual puede usar los equipos electrnicoscomo una de sus herramientas.

Tambin es comn confundir el concepto de dato con el deinformacin. La informacin es una serie de datos clasificados yordenados con un objetivo comn. El dato se refiere nicamente a unsmbolo, signo o a una serie de letras o nmeros, sin un objetivo qued un significado a esa serie de smbolos, signos, letras o nmeros.

La informacin est orientada a reducir la incertidumbre del receptory tiene la caracterstica de poder duplicarse prcticamente sin costo,no se gasta. Adems no existe por s misma, sino que debeexpresarse en algn objeto (papel, cinta, etc. ); de otra manera puededesaparecer o deformarse, como sucede con la comunicacin oral, lo

cual hace que la informacin deba ser controlada debidamente por


10/39

medio de adecuados sistemas de seguridad, confidencialidad yrespaldo.

La informacin puede comunicarse, y para ello hay que lograr que losmedios de seguridad sean llevados a cabo despus de un adecuado

examen de la forma de transmisin, de la eficiencia de los canales decomunicacin: el transmisor, el receptor, el contenido de lacomunicacin, la redundancia y el ruido.

La informacin ha sido dividida en varios niveles. El primero es elnivel tcnico, que considera los aspectos de eficiencia y capacidad delos canales de transmisin; el segundo es el nivel semntico, que seocupa de la informacin desde el punto de vista de su significado; eltercero es el pragmtico, el cual considera al receptor en un contextodado, y el cuarto nivel analiza la informacin desde el punto de vistanormativo y de la parte tica, o sea considera cundo, dnde yaquin se destina la informacin o la difusin que se le d.

La informtica debe abarcar los cuatro niveles de informacin.. En elcuarto nivel tenemos una serie de aspectos importantes, como laparte legal del uso de la informacin, los estudios que se han hechosobre la parte jurdica de la informtica y la creacin de la tica eninformtica, que no slo debe incluir a los profesionales tcnicos yespecialistas en informtica, sino tambin a los usuarios tanto degrandes computadoras como de computadoras personales..

La informacin tradicional (oral y escrita) se ve afectada dentro de lainformtica cuando se introduce el manejo de medios electrnicos, locual la hace fcilmente modificable y adaptable a las caractersticasde cada receptor. La informacin tambin tiene la capacidad demanejarse en forma rpida y en grandes volmenes, lo cual permitegenerar, localizar, duplicar y distribuir la informacin de modosorprendente, a travs de mtodos, tcnicas y herramientas comomicrocomputadoras, procesos distribuidos, redes de comunicacin,bases de datos, etctera.

La nueva tecnologa permite que el usuario disponga de la

informacin en cualquier momento, ya sea para su acceso,actualizacin, cambio o explotacin o para que pueda distribuirse eintercambiarse entre tantos usuarios como se desee. Aunque almismo tiempo se plantea un gran problema en cuanto al cuarto nivelde la informacin, que es su parte tica y el estudio de lasposibilidades del buen o mal uso de la informacin por parte depersonas no autorizadas.

La planeacin y control de la informacin nos ofrece nuevos aspectosimportantes a considerar, entre los que estn la teora de sistemas,

las bases de datos, los sistemas de comunicacin y los sistemas de


11/39

informacin, que van a complementar el concepto de informtica y sucampo de accin.

DIVERSOS TIPOS DE AUDITORIA Y SU RELACION CON LADIVERSOS TIPOS DE AUDITORIA Y SU RELACION CON LA AUDITORIA EN INFORMATICAAUDITORIA EN INFORMATICA

AUDITORIA INTERNA/EXTERNA Y AUDITORIAAUDITORIA INTERNA/EXTERNA Y AUDITORIACONTABLE/FINANCIERACONTABLE/FINANCIERA

El Boletn E-O2 del Instituto Mexicano de Contadores seala respectoal control interno:

El estudio y evaluacin del control interno se efecta con el objeto decumplir con la norma de ejecucin del trabajo que requiere que: el

auditor debe efectuar un estudio y evaluacin adecuados del controlinterno existente, que le sirvan de base para determinar el grado deconfianza que va a depositar en l, as mismo, que le permitandeterminar la naturaleza, extensin y oportunidad que va a dar a losprocedimientos de auditora.

El control interno comprende el plan de organizacin y todos losmtodos y procedimientos que en forma coordinada se adoptan en unnegocio para salvaguardar sus activos, verificar la razonabilidad yconfiabilidad de su informacin financiera, promover la eficienciaoperacional y provocar la adherencia a las polticas prescritas por la

administracin.

Objetivos bsicos del control interno. De lo anterior se desprende quelos cuatro objetivos bsicos del control interno son:

La proteccin de los activos de la empresa. La obtencin de informacin financiera veraz, confiable y

oportuna. La promocin de la eficiencia en la operacin del negocio. Lograr que en la ejecucin de las operaciones se cumplan las

po1ticas establecidas por los administradores de la empresa.

Se ha establecido que los dos primeros objetivos abarcan el aspectode controles internos contables y los dos ltimos se refieren acontroles internos administrativos.

Objetivos generales del control interno. El control internocontable comprende el plan de organizacin y los procedimientos yregistros que se refieren a la proteccin de los activos y a laconfiabilidad de los registros financieros. Por lo tanto, est diseadoen funcin de los objetivos de la organizacin para ofrecer seguridadrazonable de que las operaciones se realizan de acuerdo con lasnormas y polticas sealadas por la administracin.


12/39

Cuando hablamos de los objetivos de los controles contables internospodemos identificar dos niveles:

A) Objetivos generales de control interno aplicables a todos lossistemas.

B) Objetivos de control interno aplicables a ciclos de

transacciones.Los objetivos generales de control aplicables a todos los sistemas sedesarrollan a partir de los objetivos bsicos enumeradosanteriormente, y son ms especficos, para facilitar su aplicacin. Losobjetivos de control de ciclos se desarrollan a partir de los objetivosgenerales de control de sistemas, para que se apliquen a lasdiferentes clases de transacciones agrupadas en un ciclo.

Los objetivos generales de control interno de sistemas puedenresumirse a continuacin.

Objetivos de autorizacin

Todas las operaciones deben realizarse de acuerdo conautorizaciones generales o especificaciones de la administracin.

Las autorizaciones deben estar de acuerdo con criterios establecidospor el nivel apropiado de la administracin.

Las transacciones deben ser vlidas para conocerse y ser sometidas

oportunamente a su aceptacin. Todas aquellas que renan losrequisitos establecidos por la administracin deben reconocerse comotales y procesarse a tiempo.

Los resultados del procesamiento de transacciones debencomunicarse oportunamente y estar respaldados por archivosadecuados.

Objetivos del procesamiento y clasificacin de transacciones

Todas las operaciones deben registrarse para permitir la preparacin

de estados financieros en conformidad con los principios decontabilidad generalmente aceptados, o con cualquier otro criterioaplicable a los estados y para mantener en archivos apropiados losdatos relativos a los activos sujetos a custodia.

Las transacciones deben clasificarse en forma tal que permitan lapreparacin de estados financieros en conformidad con los principiosde contabilidad generalmente aceptados segn el criterio de laadministracin.


13/39

Las transacciones deben quedar registradas en el mismo periodocontable, cuidando de manera especfica que se registren aquellasque afectan ms de un ciclo.

Objetivo de salvaguarda fsica

El acceso a los activos slo debe permitirse de acuerdo conautorizaciones de la administracin.

Objetivo de verificacin y evaluacin

Los datos registrados relativos a los activos sujetos a custodia debencompararse con los activos existentes a intervalos razonables, y sedeben tomar las medidas apropiadas respecto a las diferencias queexistan.

Asimismo, deben existir controles relativos a la verificacin yevaluacin peridica de los saldos que se incluyen en los estadosfinancieros, ya que este objetivo complementa en forma importantelos mencionados anteriormente.Estos objetivos generales del control interno de sistemas sonaplicables a todos los ciclos. No se trata de que se usen directamentepara evaluar las tcnicas de control interno de una organizacin, perorepresentan una base para desarrollar objetivos especficos de controlinterno por ciclos de transacciones que sean aplicables a unaempresa individual.

El rea de informtica puede interactuar de dos maneras en el controlinterno. La primera es servir de herramienta para llevar acabo unadecuado control interno, y la segunda es tener un control interno delrea y del departamento de informtica.

En el primer caso se lleva el control interno por medio de laevaluacin de una organizacin, utilizando la computadora comoherramienta que auxiliar en el logro de los objetivos, lo cual sepuede hacer por medio de paquetes de auditora. Esto debe serconsiderado como parte del control interno con informtica. En el

segundo caso se lleva a cabo el control interno de informtica. Esdecir, como se seala en los objetivos del control interno, se debenproteger adecuadamente los activos de la organizacin por medio delcontrol, para que se obtenga la informacin en forma veraz, oportunay confiable, para que se mejore la eficiencia de la operacin de laorganizacin mediante la informtica, y para que en la ejecucin delas operaciones de informtica se cumplan las polticas establecidaspor la administracin: todo ello debe ser considerado como controlinterno de informtica.

Al estudiar los objetivos del control interno podemos ver en primerlugar que, aunque en auditora en informtica el objetivo es ms


14/39

amplio, se deben tener en cuenta los objetivos generales del controlinterno aplicables a todo ciclo de transacciones.

La auditora en informtica debe tener presentes los objetivos deautorizacin, procesamiento y clasificacin de transacciones, as

como los de salvaguarda fsica, verificacin y evaluacin de losequipos y de la informacin. La diferencia entre los objetivos decontrol interno desde un punto de vista contable financiero es que,mientras stos estn enfocados a la evaluacin de una organizacinmediante la revisin contable financiera y de otras operaciones, losobjetivos del control interno en informtica estn orientados a todoslos sistemas en general, al equipo de cmputo y al departamento deinformtica, para lo cual se requieren conocimientos de contabilidad,finanzas, recursos humanos, administracin, etc., as como deexperiencia y un saber profundo en informtica.

La auditora interna debe estar presente en todas y cada una de laspartes de la organizacin. Ahora bien, la pregunta que normalmentese plantea es: cul debe ser su participacin dentro del rea deinformtica?

La informtica es en primer lugar una herramienta muy valiosa quedebe tener un adecuado control y es un auxiliar de la auditorainterna. Pero, segn este concepto, la auditora interna puedeconsiderarse como un usuario del rea de informtica.

Se ha estudiado que los objetivos generales del control interno son: Autorizacin. Procesamiento y clasificacin de las transacciones. Salvaguarda fsica. Verificacin y evaluacin.

Con base en los objetivos y responsabilidades del control internopodemos hacer otras dos preguntas: De qu manera puedeparticipar el personal de control interno en el diseo de los sistemas?Qu conocimientos debe tener el personal de control interno parapoder cumplir adecuadamente sus funciones dentro del rea deinformtica?

Las respuestas a estas preguntas dependern del nivel que tenga elcontrol interno dentro de la organizacin. Sin embargo, en el diseogeneral y detallado de 1os sistemas se debe incluir a personal de lacontralora interna (que habr de tener conocimientos de informtica,aunque no se requerir que sean especialistas, ya que slointervendrn en el diseo general del sistema, en el diseo decontroles, en los sistemas de seguridad, en el respaldo y

confidencialidad del sistema y en los sistemas de verificacin. Sehabrn de comprobar las frmulas de obtencin del impuesto sobre el


15/39

producto del trabajo, el clculo del pago del seguro social, etc., perono debern intervenir en la elaboracin de los sistemas, bases dedatos o programacin. Tendrn que comprobar que lo sealado en eldiseo general sea igual a lo obtenido en el momento deimplantacin, para que puedan dar su autorizacin a la corrida en

paralelo.

El auditor interno, en el momento en que se estn elaborando lossistemas, debe participar en estas etapas:

Asegurarse de verificar que los requerimientos de seguridad yde auditora sean incorporados, y participar en la revisin depuntos de verificacin.

Revisar la aplicacin de los sistemas y de control tanto con elusuario como en el centro de informtica.

Verificar que las polticas de seguridad y los procedimientos

estn incorporados al plan en caso de desastre. Incorporar tcnicas avanzadas de auditora en los sistemas de

cmputo.

Los sistemas de seguridad no pueden llevarse acabo a menos queexistan procedimientos de control y un adecuado plan en caso dedesastre, elaborados desde el momento en el que se disea elsistema. El auditor interno desempea una importante funcin alparticipar en los planes a largo plazo y en el diseo detallado de lossistemas y su implantacin, de tal manera que se asegure que losprocedimientos de auditora y de seguridad sean incorporados atodas y cada una de las fases del sistema.

AUDITORIA ADMINISTRATIVA/OPERACIONALAUDITORIA ADMINISTRATIVA/OPERACIONAL

La tecnologa en informacin est afectando la forma en que lasorganizaciones estn estructuradas, administradas y operadas. Enalgunos casos, los cambios son dramticos. Cuando existe lanecesidad de un nuevo diseo de sistemas administrativos paralograr una efectiva administracin y control financiero, la planeacin

administrativa y el proceso de diseo y los requerimientos de controlinterno debern cambiar o necesariamente se modificarn con loscambios de la tecnologa de informacin. El incremento de latecnologa de informacin est soportado por una reestructuracinorganizacional alrededor de esta tecnologa.

William P. Leonard define la auditora administrativa como:

El examen global y constructivo de la estructura de una empresa, deuna institucin, una seccin del gobierno o cualquier parte de unorganismo, en cuanto a sus planes y objetivos, sus mtodos y

controles, su forma de operacin y sus facilidades humanas y fsica.


16/39

Se lleva a cabo una revisin y consideracin de la organizacin deuna empresa con el fin de precisar:

Prdidas y deficiencias. Mejores mtodos. Mejores formas de control. Operaciones ms eficientes. Mejor uso de los recursos fsicos y humanos.

La auditora administrativa debe llevarse a cabo como parte de laauditora del rea de informtica; se ha de considerar dentro delprograma de trabajo de auditora en informtica, tomando principiosde la auditora administrativa para aplicarlos al rea de informtica.

El departamento de informtica se deber evaluar de acuerdo con: Objetivos, metas, planes, polticas y procedimientos. Organizacin. Estructura orgnica. Funciones y niveles de autoridad y responsabilidad.

Adems, es importante tener en cuenta los siguientes factores: Elemento humano. Organizacin (manual de organizacin). Integracin. Direccin. Supervisin. Comunicacin y coordinacin. Delegacin. Recursos materiales. Recursos tcnicos. Recursos financieros. Control.

AUDITORIA CON INFORMATICA

Concepto de auditora con informtica

Los procedimientos de auditora con informtica varan de acuerdocon la filosofa y tcnica de cada organizacin y departamento deauditora en particular. Sin embargo, existen ciertas tcnicas y/oprocedimientos que son compatibles en la mayora de los ambientesde informtica. Estas tcnicas caen en dos categoras: mtodosmanuales y mtodos asistidos por computadora.

Utilizacin de las tcnicas de auditoras asistidas por

computadora


17/39

En general, el auditor debe utilizar la computadora en la ejecucin dela auditora, ya que esta herramienta permitir ampliar la coberturadel examen, reduciendo el tiempo/costo de las pruebas yprocedimientos de muestreo, que de otra manera tendran queefectuarse manualmente. Existen paquetes de computadora

(software) que permiten elaborar auditoras a sistemas financieros ycontables que se encuentran en medios informticos. Adems, elempleo de la computadora por el auditor le permite familiarizarse conla operacin del equipo en el centro de cmputo de la institucin. Unacomputadora puede ser empleada por el auditor en:

Transmisin de informacin de la contabilidad de laorganizacin a la computadora del auditor, para ser trabajadapor ste, o bien acceso al sistema en red para que el auditorelabore las pruebas.

Verificacin de cifras totales y clculos para comprobar la

exactitud de los reportes de salida producidos por eldepartamento de informtica, de la informacin enviada pormedios de comunicacin y de la informacin almacenada.

Pruebas de los registros de los archivos para verificar laconsistencia lgica la validacin de condiciones y larazonabilidad de los montos de las operaciones.

Clasificacin de datos y anlisis de la ejecucin deprocedimientos.

Seleccin e impresin de datos mediante tcnicas de muestreoy confirmaciones.

Llevar acabo en forma independiente una simulacin delproceso de transacciones para verificar la conexin yconsistencia de los programas de computadora.

Con fines de auditora, el auditor interno puede emplear lacomputadora para:

Utilizacin de paquetes para auditora; por ejemplo, paquetesprovenientes del fabricante de equipos, firmas de contadorespblicos o compaas de software.

Supervisar la elaboracin de programas que permitan eldesarrollo de la auditora interna.

Utilizacin de programas de auditora desarrollados porproveedores de equipo, que bsicamente verifican la eficienciaen el empleo del computador o miden la eficiencia de losprogramas, su operacin o ambas cosas.

Todos los programas o paquetes empleados en la auditora debenpermanecer bajo estricto control del departamento de auditora. Poresto, toda la documentacin, material de pruebas, listados fuente,

programas fuente y objeto, adems de los cambios que se les hagan,sern responsabilidad del auditor .


18/39

En aquellas instalaciones que cuentan con bibliotecas de programascatalogados, los programas de auditora pueden ser guardadosutilizando contraseas de proteccin, situacin que sera aceptable entanto se tenga el control de las instrucciones necesarias para la

recuperacin y ejecucin de los programas desde la biblioteca dondeestn almacenados. Los programas desarrollados con objeto de hacerauditora deben estar cuidadosamente documentados para definir suspropsitos y objetivos y asegurar una ejecucin continua.

Cuando los programas de auditora estn siendo procesados, losauditores internos debern asegurarse de la integridad delprocesamiento mediante controles adecuados como:

Mantener el control bsico sobre los programas que seencuentren catalogados en el sistema y llevar a cabo

protecciones apropiadas. Observar directamente el procesamiento de la aplicacin de

auditora. Desarrollar programas independientes de control que

monitoreen el procesamiento del programa de auditora. Mantener el control sobre las especificaciones de los

programas, documentacin y comandos de control. Controlar la integridad de los archivos que se estn procesando

y las salidas generadas.

Tcnicas avanzadas de auditora con informtica

Cuando en una instalacin se encuentren operando sistemasavanzados de computacin, como procesamiento en lnea, bases dedatos y procesamiento distribuido, se podra evaluar el sistemaempleando tcnicas avanzadas de auditora. Estos mtodos requierenun experto y, por lo tanto, pueden no ser apropiados si eldepartamento de auditora no cuenta con el entrenamiento adecuado.Otra limitante, incluyendo el costo, puede ser la sobrecarga delsistema y la degradacin en el tiempo de respuesta. Sin embargo,cuando se usan apropiadamente, estos mtodos superan la utilizacin

en una auditora tradicional.

Pruebas integrales.

Consisten en el procesamiento de datos de un departamento ficticio,comparando estos resultados con resultados predeterminados. Enotras palabras, las transacciones iniciadas por el auditor sonindependientes de la aplicacin normal, pero son procesadas almismo tiempo. Se debe tener especial cuidado con las particionesque se estn utilizando en el sistema para prueba de la contabilidad obalances, a fin de evitar situaciones anormales.

Simulacin.


19/39

Consiste en desarrollar programas de aplicacin para determinadaprueba y comparar los resultados de la simulacin con la aplicacinreal.

Revisiones de acceso.

Se conserva un registro computarizado de todos los accesos adeterminados archivos; por ejemplo, informacin de la identificacintanto de la terminal como del usuario.

Operaciones en paralelo.

Consiste en verificar la exactitud de la informacin sobre losresultados que produce un sistema nuevo que sustituye a uno yaauditado.

Evaluacin de un sistema con datos de prueba.

Esta verificacin consiste en probar los resultados producidos en laaplicacin con datos de prueba contra los resultados que fueronobtenidos inicialmente en las pruebas del programa (solamenteaplicable cuando se hacen modificaciones a un sistema).

Registros extendidos.

Consisten en agregar un campo de controla un registro determinado,como un campo especial a un registro extra, que pueda incluir datosde todos los programas de aplicacin que forman parte delprocesamiento de determinada transaccin, como en los siguientescasos.

Totales aleatorios de ciertos programas.

Se consiguen totales en algunas partes del sistema para ir verificandosu exactitud en forma parcial.

Seleccin de determinado tipo de transacciones como auxiliaren el anlisis de un archivo histrico.

Por medio de este mtodo podemos analizar en forma parcial elarchivo histrico de un sistema, el cual sera casi imposible deverificar en forma total.Resultados de ciertos clculos para comparacionesposteriores.

Con ellos podemos comparar en el futuro los totales en diferentesfechas.


20/39

Las tcnicas anteriormente descritas ayudan al auditor interno aestablecer una metodologa para la revisin de los sistemas deaplicacin de una institucin, empleando como herramienta el mismoequipo de cmputo. Sin embargo, actualmente se han desarrolladoprogramas y sistemas de auditora que eliminan los problemas de

responsabilidad del departamento de auditora, al intervenir en lasactividades e informacin cuyo control corresponde estrictamente aldepartamento de informtica, lo cual proporciona una verdaderaindependencia al auditor en la revisin de los datos del sistema. En laactualidad, el auditor puede estar desarrollando algunas de susfunciones al intervenir en las redes de comunicacin interna.

El empleo de la microcomputadora en la auditora constituye unaherramienta que facilita la realizacin de actividades de revisincomo:

Trasladar los datos del sistema a un ambiente de control delauditor.

Llevar a cabo la seleccin de datos. Verificar la exactitud de los clculos: muestreo estadstico. Visualizacin de datos. Ordenamiento de la informacin. Produccin de reportes e histogramas.

El auditor interno debe participar en el diseo general y especfico delos sistemas, con el fin de asegurar que se tengan todos los controlesde acuerdo con las polticas internas antes de que se comience laprogramacin del sistema.A continuacin se muestran ejemplos de las formas tradicionales deevidencia que existen en un proceso manual y las maneras en que lacomputadora puede cambiarlas:

Transacciones originadas por personas y accesadas a unsistema para su proceso.

En las aplicaciones computarizadas, pueden generarse

automticamente. Por ejemplo, el sistema puede emitirautomticamente una orden de reposicin cuando el inventario est aun nivel por debajo del punto de reorden. Sin la computadora serequera que una persona estuviera revisando y elaborara la orden dereposicin cuando el inventario estuviera abajo del mnimo yaestablecido.

El registro manual de la informacin necesaria para originaruna transaccin.

En las aplicaciones computarizadas no se producen documentos

impresos cuando la informacin es accesada. Por ejemplo, un cambiohecho a las tarifas de nmina puede ser accesado a un archivo


21/39

maestro de nminas computarizado a travs de la red interna, sindejar registro impreso del cambio, aunque se debe tener una clave deseguridad para poder accesarlo y llevar un registro histrico en el quese tenga la informacin sobre la persona y terminal en la que seacces la informacin.

La revisin de transacciones por el personal, que dejaconstancia con sus firmas, iniciales o sellos en losdocumentos para indicar la autorizacin del proceso.

En las aplicaciones computarizadas la autorizacin puede serautomtica. Por ejemplo, una venta a crdito puede serautomticamente aprobada si el lmite de crdito previamentedeterminado no est excedido. Otros mtodos de autorizacinelectrnica incluyen el acceso mediante claves de seguridad.

Anteriormente se tenan firmas en donde ahora slo se tiene unaclave o llave de acceso, que es equivalente a la autorizacin, dejandonicamente un registro (en el mejor de los casos) de la llave deacceso utilizada, el lugar donde se tuvo acceso y la hora y da en quefue autorizada.

El transporte de documentos de una estacin de trabajo aotra por personas, correo o servicios similares de un lugar delnegocio a otro sitio completamente distinto.

Por estos medios se moviliza un documento fsicamente. Enaplicaciones computarizadas, los datos pueden ser enviadoselectrnicamente. La informacin es transcrita, codificada,frecuentemente condensada y entonces enviada electrnicamentepor lneas de comunicaciones, y al final queda un registro de cundorecibi la informacin el receptor.


22/39

Procesamiento manual.

Generalmente, los documentos de las transacciones contienenespacio de trabajo para ejecutar el proceso necesario. En lasaplicaciones computarizadas, el proceso se efecta electrnicamente

dentro de la memoria del computador mediante procedimientosprogramados y siguiendo reglas predeterminadas.

Proceso simplificado que facilita las ejecuciones repetitivassin alta probabilidad de error.

En las aplicaciones computarizadas, el proceso puede serextremadamente complejo debido a la velocidad y exactitud delcomputador. Por ejemplo, una compaa puede utilizar sucomputadora para calcular la efectividad de cientos de posibles

horarios o cdulas de produccin a fin de seleccionar el msadecuado, mientras que en los mtodos manuales esto sera casiimposible.

Mantenimiento en manuales de informacin de naturaleza fijaque es necesaria para el proceso, como tarifas de nminas oprecios de productos.

En las aplicaciones computarizadas, esta informacin se almacena enmedios computarizados o bien por medio de catlogos; en los

mtodos manuales es difcil tener catlogos muy amplios y conactualizacin inmediata.

Listado de los resultados del proceso en documentosimpresos, como cheques y reportes.

Frecuentemente, estos documentos contienen resultados de procesosintermedios. En las aplicaciones computarizadas el proceso puede nodar por resultado documentos impresos. Por ejemplo, los fondospueden ser transferidos electrnicamente. En algunos sistemas, la

informacin rutinaria es retenida de manera que slo se recibe noticiade aquellas partidas que requieren accin.

Almacenamiento de documentos de entrada, proceso y salidaen registro de archivo o similares.

Cuando la informacin es necesaria, puede localizarse y recobrarsemanualmente del rea de almacenamiento fsico. En las aplicacionescomputarizadas, la mayora de los archivos estn en mediosmagnticos. Deben utilizarse programas extractivos para recobrar lainformacin de tales medios, los cuales son normalmente muyrpidos y exactos, por ejemplo, en el caso de bases de datos.


23/39

Uso de documentos impresos para construir el proceso.

En los procesos manuales estos documentos contienen informacinfuente, firmas de autorizacin, mtodos de proceso y resultados desalida. Esta informacin usualmente es suficiente para construir la

transaccin y rastrearla hacia totales de control o, a partir de stos,hasta el documento fuente. En las aplicaciones computarizadas, laspistas de auditora pueden verse fragmentadas, comofrecuentemente ocurre en un ambiente de base de datos. Adems,gran parte de la informacin que servira de pista de auditora puedeestar almacenada en medios computarizados. Las pistas de auditoracomputarizadas a menudo requieren entender las reglas del procesodel sistema y no siempre es obvio cules pasos del proceso seejecutaron, en especial cuando el proceso computacional escomplejo.

Uno o ms manuales de procedimientos que contieneninformacin relativa a las transacciones del sistema.

Estos manuales guan a la gente en la circulacin y proceso de lastransacciones. En las aplicaciones computarizadas, pueden serincluidos en los sistemas mediante ayudas (help).

Revisin de procesos por personas, generalmentesupervisores, para determinar su razonabilidad, exactitud,

totalidad y autorizacin.

En las aplicaciones computarizadas, gran parte de este monitoreo esejecutado automticamente mediante una lgica de programapredeterminada. Cada vez es ms difcil para la gente monitorear losprocesos, conforme los sistemas computacionales estn msintegrados y son ms complejos y el ciclo del proceso se acorta; almismo tiempo, el nmero de usuarios y responsables de lainformacin es mayor .

La divisin de tareas entre los empleados.

En las aplicaciones computarizadas, la distribucin de deberes implicano slo la divisin de tareas entre los empleados, sino tambin ladivisin de tareas entre los pasos del proceso automatizado. Porejemplo, los programas computarizados pueden procesar diferentespartes de una transaccin en diversos lugares, y en ocasiones serequiere que tengan sistemas de seguridad de acceso a nivel sistema,dato o programa, como en el caso de los sistemas bancarios.

Proceso de grandes cantidades de datos que pueden requerir

la repeticin o cruzamiento de diversos elementos de lainformacin.


24/39

Esto es frecuentemente difcil y costoso en un sistema manual y slose realiza cuando es necesario. En las aplicaciones computarizadas,grandes cantidades de datos pueden ser almacenadas en una basede datos. La velocidad y capacidades de proceso del computador

hacen que esta informacin est disponible en el formato deseado. Enun ambiente computarizado, son posibles los ms complejos anlisisy los usos secundarios de los datos.

Planeacin de los procedimientos de auditora coninformtica.

El propsito principal de la planeacin de las medidas de auditora esincluir dentro de las aplicaciones las facilidades que permitan realizarlas actividades de auditora de la manera ms fluida.

La planeacin de los servicios establece las facilidades tanto actualescomo futuras que ofrece la direccin de informtica. El auditor debeexaminar este plan para establecer los requerimientos de auditoranecesarios.

Para el funcionamiento de dichos procedimientos se requieren dentrode los programas rutinas que permitan accesar la informacin ysistemas independientes para la seleccin, sumarizacin,comparacin y emisin de reportes.

El poder planear y realizar estas tareas implica un trabajo complicadopero que es necesario hacer. La computarizacin de lasorganizaciones ha dado por resultado una concentracin de datos yfunciones, que son seleccionados, correlacionados, resumidos ydiseminados. En un ambiente computarizado tpico, normalmente undato puede actualizar muchos archivos. Es necesario que el auditorcuente con las herramientas adecuadas para poder seguir el rastrodel mismo y tambin verificar que el sistema est realizando lasfunciones que supuestamente debe ejecutar; estas herramientascomputarizadas le deben permitir detectar los errores y corregirlos

posteriormente.

Es comprensible pensar que el auditor no es un programadorespecializado, por lo que es obligacin de este grupo de procesoplanear el desarrollo de estas herramientas de cmputo, atendiendolas solicitudes y recomendaciones de los auditores y aportando supropia experiencia.

Tambin debe participar en las pruebas en paralelo y en laimplantacin del sistema, para asegurarse de que todos losprocedimientos, entradas y salidas son los solicitados por el usuarioen el momento del diseo detallado, as como para evaluar que losclculos realizados sean los correctos y, en general, para dar la


25/39

aprobacin del sistema una vez verificado que cumpla con losobjetivos, flujo de informacin, controles y polticas del usuario y de laorganizacin.

La participacin del auditor interno en el diseo e implementacin de

un sistema es de suma importancia. Por ejemplo, la clasificacin de laevidencia que se vena utilizando tradicionalmente, como la firma delfuncionario para autorizar una transaccin, se ve reemplazada poruna clave de seguridad de acceso o la firma electrnica, aunque laintroduccin de un computador no necesariamente cambia las formasde la evidencia de auditora.

El auditor interno debe estar presente en el desarrollo del sistemapara evaluar que la informacin requerida por el usuario quedecubierta y se cumpla con el grado de control que necesita lainformacin procesada por el sistema, de acuerdo con los objetivos ypolticas de la organizacin.

Existen ciertas habilidades fundamentales que deben serconsideradas como las mnimas que todo auditor de informtica debetener:

Habilidad para manejar paquetes de procesadores de texto. Habilidades para manejo de hojas de clculo. Habilidad para el uso del E-mail y conocimiento de Internet. Habilidad para manejo de bases de datos. Habilidad para el uso de al menos un paquete bsico de

contabilidad.

Como evaluador, el auditor de informtica debe ser capaz dedistinguir entre los procesos de evaluacin de sistemas y lasaproximaciones que son apropiadas para encauzar los propsitosespecficos de evaluacin relevante para el rea de trabajo. En estesentido, el auditor en informtica debe tener los conocimientos de lospasos requeridos para aplicar una evaluacin particular en el contextode la tecnologa de la informacin. Debe poseer estndaresrelevantes y prcticas que gobiernen la conduccin de una evaluacin

particular. Su contribucin potencial a una evaluacin particularpuede ser hecha en un contexto especfico.

Las habilidades tcnicas requeridas por el auditor en informtica sonlas de implantar, ejecutar y comunicar los resultados de la evaluacinen el contexto de la tecnologa de informacin, de acuerdo conestndares profesionales que gobiernen el objetivo de la auditora.

DEFINICION DE AUDITORIA EN INFORMATICADEFINICION DE AUDITORIA EN INFORMATICA

CONCEPTO DE AUDITORIA EN INFORMATICA


26/39

Despus de analizar los conceptos de auditora y de informtica, losdiferentes tipos de auditoria, as como su interrelacin con lainformtica, debemos responder las siguientes preguntas: Qu esauditora en informtica? Cul es su campo de accin?

sta es la definicin de Ron Weber en Auditing ConceptualFoundations and Practice sobre auditora informtica:

Es una funcin que ha sido desarrollada para asegurar la salvaguardade los activos de los sistemas de computadoras, mantener laintegridad de los datos y lograr los objetivos de la organizacin enforma eficaz y eficiente.

Mientras que la definicin de Mair William es la siguiente:

Auditora en informtica es la verificacin de los controles en lassiguientes tres reas de la organizacin (informtica):

- Aplicaciones (programa de produccin).- Desarrollo de sistemas.- Instalacin del centro de proceso.

Por tanto, podemos decir que auditora en informtica es la revisin yevaluacin de los controles, sistemas y procedimientos de lainformtica; de los equipos de cmputo, su utilizacin, eficiencia yseguridad; de la organizacin que participa en el procesamiento de lainformacin, a fin de que por medio del sealamiento de cursos

alternativos se logre una utilizacin ms eficiente, confiable y segurade la informacin que servir para una adecuada toma de decisiones.La informacin contenida depende de la habilidad de reducir laincertidumbre alrededor de las decisiones. El valor de la reduccin dela incertidumbre depende del pago asociado con la decisin que serealiza.

Los factores que pueden influir en una organizacin a travs delcontrol y la auditora en informtica son:

- Necesidad de controlar el uso evolucionado de las

computadoras.- Controlar el uso de la computadora, que cada da se vuelve ms

importante y costosa.- Los altos costos que producen los errores en una organizacin.- Abuso en las computadoras.- Posibilidad de prdida de capacidades de procesamiento de

datos.- Posibilidad de decisiones incorrectas.- Valor del hardware, software y personal.- Necesidad de mantener la privacidad individual.-

Posibilidad de prdida de informacin o de mal uso de lamisma.


27/39

- Toma de decisiones incorrectas.- Necesidad de mantener la privacidad de la organizacin.

La informacin es un recurso necesario para la organizacin y para lacontinuidad de las operaciones, ya que provee de una imagen de su

ambiente actual, su pasado y su futuro. Si la imagen de laorganizacin es apropiada, sta crecer adaptndose a los cambiosde su entorno.

En el proceso de la informacin se deben detectar sus errores uomisiones, y evitar su destruccin por causas naturales (temblores,inundaciones) o cualquier contingencia que pudiera suscitarse.

La toma de decisiones incorrectas, producto de datos errneosproporcionados por los sistemas, trae como consecuencia efectossignificativos, que afectan directamente a la organizacin.

El mayor estmulo para el desarrollo de la auditora en informticadentro de la organizacin normalmente est dado por el abuso en eluso de las computadoras. El abuso en computadoras es cualquierincidente asociado con la tecnologa en computacin, en el cual lavctima sufra o pueda sufrir una prdida y un dao hechosintencionalmente o para obtener una ganancia. El problema ms serioest en los errores u omisiones que causan prdidas a laorganizacin. En seguida est el desastre de las computadoras debidoa causas naturales, tales como fuego, agua o fallas en el suministro

de energa. Las tcnicas de control que manejan estos dos tipos deproblemas han sido mejor desarrolladas que aquellas que serelacionan con el abuso en las computadoras.

El control en el abuso de las computadoras es normalmente msdifcil debido a lo inadecuado de las leyes. Es ms difcil condenar aalguien que hizo un inadecuado uso del tiempo de las computadoras,o copias ilegales de programas, debido a que las leyes no considerana las computadoras como una persona, y slo las personas puedenser declaradas como culpables, o bien considerar a la informacincomo un bien tangible y un determinado costo.

El abuso tiene una importante influencia en el desarrollo de laauditora en informtica, ya que en la mayora de las ocasiones elpropio personal de la organizacin es el principal factor que puedeprovocar las prdidas dentro del rea de informtica. Los abusos msfrecuentes por parte del personal son la utilizacin del equipo entrabajos distintos a los de la organizacin, la obtencin deinformacin para fines personales (Internet), los juegos opasatiempos, y los robos hormiga, adems de los delitos informticosque en muchas ocasiones tambin son llevados a cabo por el propio

personal de la organizacin.


28/39

La auditora en informtica deber comprender no slo la evaluacinde los equipos de cmputo o de un sistema o procedimientoespecfico, sino que adems habr de evaluar los sistemas deinformacin en general desde sus entradas, procedimientos,comunicacin, controles, archivos, seguridad, personal (desarrollador,

operador, usuarios) y obtencin de informacin. En esto se debenincluir los equipos de cmputo, por ser la herramienta que permiteobtener una informacin adecuada y una organizacin especfica(departamento de cmputo, departamento de informtica, gerenciade procesos electrnicos, etc.), y el personal que har posible el usode los equipos de cmputo.

Adems de los datos, el hardware de computadora, el software ypersonal son recursos crticos de las organizaciones. Algunasorganizaciones tienen inversiones en equipo de hardware con unvalor multimillonario. Aun con un seguro adecuado, las prdidasintencionales o no intencionales pueden causar daos considerables.En forma similar, el software muchas veces constituye una inversinimportante. Si el software es corrompido o destruido, es posible quela organizacin no pueda continuar con sus operaciones, si no esprontamente recobrado. Si el software es robado, se puedeproporcionar informacin confidencial a la competencia, y si elsoftware es de su propiedad, pueden tenerse prdidas en ganancias obien en juicios legales. Finalmente, el personal es siempre un recursovalioso, sobre todo ante la falta de personal de informtica bienestrenado.

Las computadoras ejecutan automticamente muchas funcionescrticas en nuestra sociedad. Consecuentemente, las prdidas puedenser muy altas y pueden ir desde prdidas multimillonarias en loeconmico, hasta prdidas de libertad o de la vida en el caso deerrores en laboratorios mdicos o en hospitales.

Adems de los aspectos constitucionales y legales, muchos paseshan considerado la privacidad como parte de los derechos humanos.Consideran que es responsabilidad de las personas que estn con lascomputadoras y con las redes de comunicacin, asegurar que el uso

de la informacin sea recolectada, integrada y entregadarpidamente y con la privacidad y confidencialidad requeridas. Existeuna responsabilidad adicional en el sentido de asegurarse de que lainformacin sea usada solamente para los propsitos que fueelaborada.

En este caso se encuentran las bases de datos, las cuales pueden serusadas para fines ajenos para los que fueron diseadas o bien entraren la privacidad de las personas.

La tecnologa es neutral, no es buena ni mala. El uso de la tecnologaes lo que puede producir problemas sociales. Por ejemplo, el mal uso


29/39

de la tecnologa en Internet no es problema de la tecnologa, sino dela forma y caractersticas sobre las cuales se usa esa tecnologa. Esuna funcin del gobierno, de las asociaciones profesionales y de losgrupos depresin evaluar el uso de la tecnologa; pero es bienaceptado el que las organizaciones en lo individual tengan una

conciencia social, que incluya el uso de la tecnologa en informtica.

Deber de existir una legislacin ms estricta en el uso de latecnologa, en la que se considere el anlisis y la investigacin paraevitar el mal uso de Internet y otras tecnologas, para evitarsituaciones como el suicidio colectivo de sectas religiosas, comosucedi en Estados Unidos. Tambin se requiere de una tica porparte de las organizaciones y de los individuos que tienen en susmanos todo tipo de tecnologa, no slo la de informtica.

CAMPO DE LA AUDITORIA EN INFORMATICA

El campo de accin de la auditora en informtica es:- La evaluacin administrativa del rea de informtica.- La evaluacin de los sistemas y procedimientos, y de la

eficiencia que se tiene en el uso de la informacin. Laevaluacin de la eficiencia y eficacia con la que se trabaja.

- La evaluacin del proceso de datos, de los sistemas y de losequipos de cmputo (software, hardware, redes, bases dedatos, comunicaciones).

- Seguridad y confidencialidad de la informacin.

- Aspectos legales de los sistemas y de la informacin.

Para lograr los puntos antes sealados se necesita:

A) Evaluacin administrativa del departamento de informtica.Esto comprende la evaluacin de:

- Los objetivos del departamento, direccin o gerencia.- Metas, planes, polticas y procedimientos de procesos

electrnicos estndares.- Organizacin del rea y su estructura orgnica.

- Funciones y niveles de autoridad y responsabilidad del rea deprocesos electrnicos.- Integracin de los recursos materiales y tcnicos.- Direccin.- Costos y controles presupuestales.- Controles administrativos del rea de procesos electrnicos.

B) Evaluacin de los sistemas y procedimientos, y de la eficienciay eficacia que se tienen en el uso de la informacin, lo cualcomprende:

- Evaluacin del anlisis de los sistemas y sus diferentes etapas.

- Evaluacin del diseo lgico del sistema.- Evaluacin del desarrollo fsico del sistema.


30/39

- Facilidades para la elaboracin de los sistemas.- Control de proyectos.- Control de sistemas y programacin.- Instructivos y documentacin.- Formas de implantacin.

- Seguridad fsica y lgica de los sistemas.- Confidencialidad de los sistemas.- Controles de mantenimiento y forma de respaldo de los

sistemas.- Utilizacin de los sistemas.- Prevencin de factores que puedan causar contingencias;

seguros y recuperacin en caso de desastre.- Productividad.- Derechos de autor y secretos industriales.

C) Evaluacin del proceso de datos y de los equipos de cmputoque comprende:

- Controles de los datos fuente y manejo de cifras de control.- Control de operacin.- Control de salida.- Control de asignacin de trabajo.- Control de medios de almacenamiento masivos.- Control de otros elementos de cmputo.- Control de medios de comunicacin.- Orden en el centro de cmputo.


31/39

D) Seguridad:- Seguridad fsica y lgica.- Confidencialidad.- Respaldos.- Seguridad del personal.

- Seguros.- Seguridad en la utilizacin de los equipos.- Plan de contingencia y procedimiento de respaldo para casos de

desastre.- Restauracin de equipo y de sistemas.

Los principales objetivos de la auditora en informtica son lossiguientes:

- Salvaguardar los activos. Se refiere a la proteccin delhardware, software y recursos humanos.

- Integridad de datos. Los datos deben mantener consistencia yno duplicarse.

- Efectividad de sistemas. Los sistemas deben cumplir con losobjetivos de la organizacin.

- Eficiencia de sistemas. Que se cumplan los objetivos con losmenores recursos.

- Seguridad y confidencialidad.

Para que sea eficiente la auditora en informtica, sta se deberealizar tambin durante el proceso de diseo del sistema. Los

diseadores de sistemas tienen la difcil tarea de asegurarse queinterpretan las necesidades de los usuarios, que disean los controlesrequeridos por los auditores y que aceptan y entienden los diseospropuestos.

La interrelacin que debe existir entre la auditora en informtica ylos diferentes tipos de auditora es la siguiente: el ncleo o centro dela informtica son los programas, los cuales pueden ser auditados pormedio de la auditora de programas. Estos programas se usan en lascomputadoras de acuerdo con la organizacin del centro de cmputo(personal).

La auditora en informtica debe evaluar todo (informtica,organizacin del centro de cmputo, computadoras, comunicacin yprogramas), con auxilio de los principios de auditora administrativa,auditora interna, auditora contable/financiera y, a su vez, puedeproporcionar informacin a esos tipos de auditora. Las computadorasdeben ser una herramienta para la realizacin de cualquiera de lasauditoras.

La adecuada salvaguarda de los activos, la integridad de los datos yla eficiencia de los sistemas solamente se pueden lograr si la


32/39

administracin de la organizacin desarrolla un adecuado sistema decontrol interno.

El tipo y caractersticas del control interno dependern de una seriede factores, por ejemplo, si se trata de un medio ambiente de

minicomputadoras o macrocomputadoras, si estn conectadas enserie o trabajan en forma individual, si se tiene Internet y Extranet.Sin embargo, la divisin de responsabilidades y la delegacin deautoridad es cada vez ms difcil debido a que muchos usuarioscomparten recursos, lo que dificulta el proceso de control interno.

Como se ve, la evaluacin que se debe desarrollar para la realizacinde la auditora en informtica debe ser hecha por personas con unalto grado de conocimiento en informtica y con mucha experienciaen el rea.

La informacin proporcionada debe ser confiable, oportuna, verdica,y debe manejarse en forma segura y con la suficienteconfidencialidad, pero debe estar contenida dentro de parmetroslegales y ticos.

AUDITORIA DE PROGRAMAS

La auditora de programas es la evaluacin de la eficiencia tcnica,del uso de diversos recursos (cantidad de memoria) y del tiempoque utilizan los programas, su seguridad y confiabilidad, con elobjetivo de optimizarlos y evaluar el riesgo que tienen para laorganizacin.

La auditora de programas tiene un mayor grado de profundidad y dedetalle que la auditora en informtica, ya que analiza y evala laparte central del uso de las computadoras, que es el programa,aunque se puede considerar como parte de la auditora eninformtica.

Para lograr que la auditora de programas sea eficiente, las personasque la realicen han de poseer conocimientos profundos sobresistemas operativos, sistemas de administracin de base de datos,lenguajes de programacin, utileras, bases de datos, medios decomunicacin y acerca del equipo en que fue escrito el programa.Asimismo, se deber comenzar con la revisin de la documentacindel mismo. Para poder llevar a cabo una auditora adecuada de losprogramas se necesita que los sistemas estn trabajandocorrectamente, y que se obtengan los resultados requeridos, ya queal cambiar el proceso del sistema en general se cambiarnposiblemente los programas. Sera absurdo intentar optimizar unprograma de un sistema que no est funcionando correctamente.


33/39

Para optimizar los programas se deber tener pleno conocimiento yaceptacin del sistema o sistemas que usan ese programa, y disponerde toda la documentacin detallada del sistema total.


34/39

SEGURIDAD

La computadora es un instrumento que estructura gran cantidad deinformacin, la cul puede ser confidencial para individuos, empresaso instituciones, y puede ser mal utilizada o divulgada a personas que

hagan mal uso de sta. Tambin pueden ocurrir robos, fraudes osabotajes que provoquen la destruccin total o parcial de la actividadcomputacional. Esta informacin puede ser de suma importancia y alno tenerla en el momento apropiado puede provocar retrasossumamente costosos.

Entre los fraudes ms conocidos (muchos de ellos no se divulgan),estn el del Banco Wells Fargo, con 21.000 millones de dlares, elcaso de 2 alemanes que entraron a los archivos confidenciales de laNASA. Otro de los delitos que se han cometido en los bancos estn eninsertar mensajes fraudulentos o bien transferir dinero de una cuenta

a otra, con la consiguiente ganancia de intereses.

En la actualidad, y principalmente en las computadoras personales(PC), se ha dado otro factor que hay que considerar: el llamado virusde las computadoras, el cul aunque tiene diferentes intenciones, seencuentra principalmente para paquetes que son copiados sinautorizacin (piratas), y borra toda la informacin que se tiene en undisco. Se trata de pequeas subrutinas escondidas en los programasque se activan cuando se cumple alguna condicin por ejemplo,haber obtenido una copia en forma ilegal y puede ejecutarse en una

fecha o situacin predeterminada. El virus normalmente los proveenlos diseadores de algn tipo de programa (software), para castigar aquienes lo roban o copian sin autorizacin, o bien por alguna actitudde venganza en contra de la Organizacin. Existen varios tipos devirus y se cura con los antivirus correspondiente.

Unos de los ejemplos es la destruccin de la informacin en unacompaa de prestigio en los Estados Unidos, que ocurri cuandodejaron cesante a un programador, este virus les destruamensualmente la informacin de las ventas de la firma. Este incidenteprovoc el primer juicio, contra una persona por sabotaje a la

computadora.

Otro caso es el virus de Navidad, en el cul un empleado de unacompaa multinacional elabor un programa que automticamenteentraba al correo electrnico y dejaba un mensaje de felicidades. Almomento en que la persona que reciba el mensaje entraba a sucorreo, encontraba el mensaje de felicidades, automticamente elprograma tomaba el directorio del usuario, enviaba mensajesidnticos a todas las personas que se encontraban en el directorio,generando como consecuencia bloqueo a toda la red internacional dela compaa (por suerte sin perjuicios mayores). Y como estosmuchos casos ms.


35/39

Al auditar los sistemas se debe tener cuidado que no se tengancopias piratas o bin que al conectarnos en red con otrascomputadoras, no exista la posibilidad de transmisin del virus.El crecimiento de fraudes por computadora ha hecho patente que lapotencialidad de los crmenes crece en formas ms rpida que en los

sistemas de seguridad.

Los motivos de delitos por computadoras normalmente son por:

Beneficio personal Beneficio para la Organizacin Beneficio para otras personas Beneficio para la competencia Etc..

Se considera que hay cuatro factores que han permitido elincremento en los crmenes por computadora stos son:

1- El aumento del nmero de personas que se encuentranestudiando computacin.

2- El aumento del nmero de empleados que tienen acceso alos equipos.

3- La facilidad en el uso de los equipos de cmputo.4- El incremento en la concentracin del nmero de

aplicaciones y , consecuentemente de la informacin.5- El uso inadecuado de la computadora comienza desde la

utilizacin de tiempo de mquina, para usos ajenos a laOrganizacin, la copia de programas para fines decomercializacin sin reportar los derechos de autor hasta elacceso por va telefnica a bases de datos a fin de modificar lainformacin con propsitos fraudulentos.

Hay algunas compaas que cuentan con grandes dispositivos paraseguridad fsica de las computadoras (contra incendio o robo), y seolvidan del uso de las terminales de sistemas remotos de teleproceso.

Otros piensan que los programas son tan complejos y largos quenadie fuera de su Organizacin, los v a poder entender grave error-

En la actualidad por motivo de gran aumento de fraudes hechos a lossistemas computadorizados, se han perfeccionado los sistemas deseguridad lgica al igual que la fsica, pero la gran desventaja en laseguridad lgica es que requiere consumir un nmero mayor derecursos de cmputos para lograr tener una adecuada seguridad,provocando por ende mayores costos.

El tipo de seguridad puede comenzar desde una simple clave de

acceso (contrasea o pasword) hasta, sistemas ms complicados,pero se debe evaluar qu, cuando ms complicados sean los


36/39

dispositivos de seguridad, resultan ms costosos. Por lo tanto se debemantener una adecuada relacin de seguridad-costo en los sistemasde informacin. Adems hay que evitar la dependencia con ciertosindividuos sobre todo los programadores que tienen un alto niveltcnico, y son los nicos que conocen el sistema y por los general no

lo documentan.

Un mtodo eficaz para proteger sistema de computacin es elsoftware de control de acceso, que protegen contra el acceso noautorizado, pues piden al usuario una contrasea antes de permitirleel acceso a informacin confidencial.Sin embargo, los paquetes de control basados en contraseas puedenser eludidos por los delincuentes en computacin.

El sistema integral de seguridad debe comprender:

1- Elementos administrativos2- Definicin de una poltica de seguridad3- Organizacin y divisin de responsabilidades4- Seguridad fsica contra catstrofes (incendios, terremoto, etc.)5- Prcticas de seguridad del personal6- Plizas de seguro7- Elementos tcnicos y procedimientos8- Sistemas de seguridad (de equipos y de sistemas incluyendo

todos los elementos, tanto redes como terminales)9- Aplicacin de los sistemas de seguridad, incluyendo datos y

archivos10- Auditorias tanto externas como internas11- Planeacin de programas de desastres y su prueba.-

Uno de los puntos que se debe auditar con ms detalle es el de tenerlas cifras de control y el medio adecuado que nos permita conocer enel momento que se produce un cambio o un fraude en el sistema. Losaccidentes pueden ocurrir desde un mal manejo de la administracinpor negligencia hasta un ataque deliberado hechos por ladrones. Porlo tanto hay que trabajar pensando en la posibilidad de que ocurranestos accidentes, y como hacer para evitarlos planeando de

antemano medidas en caso de que esto ocurra.

Algunas instalaciones tienen alto grado de riesgo, con un granimpacto en la Organizacin o en la Comunidad, si el servicio seinterrumpe por fallas, deberan continuarlo a travs de mtodosmanuales.

Al momento de evaluar la relacin costo-beneficio hay que tener encuenta, el alto riesgo que puede tener la informacin y que costo setendra en caso de prdida de la misma.

Hay que considerar lo siguiente:


37/39

1- Clasificar la instalacin en trminos de riesgo (alto, mediano,pequeo)

2- Identificar aquellas aplicaciones que tengan un alto riesgo3- Cuantificar el impacto en el caso de suspensin del servicio en

aquellas aplicaciones con un alto riesgo

4- Formular las medidas de seguridad necesarias dependiendodel nivel de seguridad que se requiera5- La justificacin del costo de implantar las medidas de

seguridad

Para poder clasificar el riesgo e identificar las aplicaciones dealto riesgo debemos preguntarnos lo siguiente:

1- Qu sucedera si no se puede usar el sistema?, si larespuesta es que no se podra seguir trabajando, estamos anteuna situacin de alto riesgo.

2- Cules son las implicaciones de no tener el sistema y porcunto no lo podremos utilizar? En el caso de reservaciones nose puede trabajar sin sistema por lo tanto no podemos estar sil por mucho tiempo.

3- Existe un camino alterno , y que implicaciones nosocasionara?, en el caso de las reservaciones no se podrautilizar otro procedimiento ajeno a la Compaa, debido a lasredes y a los Bancos de datos. Lo que se podra hacer es que sereciban las reservaciones en una oficina personalmente o porva telefnica; de todas maneras ello provocara un mal

servicio.

Lo ms eficiente en esto casos es tener sistemas simultneos(o en paralelo),que permitan pasar de un equipo a otro enforma simultnea; disponer de sistemas de energa nointerrumpibles, pues debido a su alto de riesgo son los quedeben tener mayor seguridad.

Una vez definido el grado de riesgo, hay que elaborar una lista de lossistemas con las medidas preventivas que se deben tomar, as comolas correctivas en caso de desastres, sealndole a cada uno su

prioridad.

Los planes de seguridad deben asegurar la integridad y exactitud delos datos, permitir identificar la informacin que sea confidencial, deuso exclusivo, proteger y conservar los activos de desastresprovocados por la mano del hombre y de actos abiertamente hostiles,asegurar la capacidad de la Organizacin para sobrevivir accidentes,proteger a los empleados contra tentaciones o sospechasinnecesarias y la administracin contra cargos por imprudencia.

Divisin del trabajo

Se deben tomar las siguientes precauciones:


38/39

El personal que prepara la informacin no debe tener acceso ala operacin

Los analistas y programadores no deben tener acceso al reade operacin y viceversa

Los operadores no deben tener acceso inrrestringido a laslibreras ni a los lugares donde se tengan los archivosalmacenados, es importante separar las funciones de librera yde operacin

Los operadores no deben ser los nicos que tengan el controlsobre los trabajos procesados y no deben hacer correcciones alos errores detectados.

Al implantar sistemas de seguridad, puede reducirse la factibilidadlaboral pero no la eficiencia.

Seguridad en el Personal

Un centro de Cmputo, depende en gran medida de la integridad,estabilidad y lealtad del personal, por lo que al momento de tomarlopara el trabajo es conveniente hacerle exmenes psicolgicos,mdicos y tener muy en cuenta sus antecedentes laborales.

Hay que hacer rotar el personal para disminuir la posibilidad defraude. Esto debera hacerse aunque implique un alto costo. Hay quemantener motivado al personal pues la motivacin trae aparejado la

lealtad del personal hacia la organizacin, disminuyendo la posibilidadde fraude.

Seguridad Fsica

El objetivos es establecer polticas, procedimientos y prcticas paraevitar las interrupciones prolongadas del servicio de procesamientode datos, informacin debido a contingencias como incendio,inundacin, huelas, disturbios, sabotajes, etc. Y continuar en unmedio de emergencia hasta que sea restaurado el servicio completo.

Se debe tener en cuenta tambin, la orientacin del Centro deCmputos ( por ejemplo centros sumamente calurosos, en donde elsol d todo el da), y se debe evitar en lo posible los grandesventanales, los cules adems que permiten la entrada del solpueden ser arriesgados para la seguridad del Centro de Cmputo.

Entre las precauciones a tener en cuenta estn: Los ductos de los aires acondicionados deben estar limpios,

para evitar el polvo. Los exintores deben estar en perfectas condiciones (cargados). Ensear al personal a utilizar los equipos contra incendios. Se debe restringir al acceso a los programas y a los archivos.


39/39

Los operadores deben trabajar sin la participacin de losprogramadores.

Se debe asegurar en todo momento que los datos y archivosusados sean los adecuados, procurando no usar respaldosinadecuados (que en el momento de capturar informacin no se

la est cambiando). No debe permitirse la entrada a la red a personas no

autorizadas, ni a usar las terminales. En los casos de informacin confidencial debe usarse, de ser

posible, en forma codificada o criptografiada. Se debe realizar peridicamente una verificacin fsica del uso

de las terminales y de los reportes obtenidos. Se deben hacer auditorias peridicas. Debe existir una perfecta divisin de responsabilidades entre

los capturistas de datos y los operadores de las computadoras,

y entre los operadores y las personas responsables de laslibreras. Se deben realizar copias (backup) de los archivos y programas

en lugares ajenos al Centro de Cmputo. Se deben controlar e identificar perfectamente los archivos. En el caso de programas, se debe asignar a cada uno de ellas

una clave que identifique el sistema, subsistema, programa yversin. Esto nos permitir verificar la cantidad de veces que seha compilado o corrido un programa y nos permitir costear enel momento que se encuentre un sistema en produccin.

Hay que tener sumo cuidado en el manejo de la informacin pues sesta es errnea e introducida a la mquina, nos dar informacinincorrecta, ocasionando prdida de dinero y de tiempo entre otrascosas. Adems si se trata de informacin confidencial evitar que seobtengan fotocopias sin la debida autorizacin y que solo el personalautorizado tenga acceso a la misma.

tecnicas utilizadas en auditoria

Documents