PROPUESTAS DE AUDITORA DE SISTEMAS

INTRODUCCION
En la actualidad existe un gran avance de la tecnologa de la informacin y con este un
nuevo concepto Auditora con Informtica. De ah la necesidad de un sistema de
acciones, conjunto de normas o procedimientos para regular la actividad de la
auditora con informtica y el papel del especialista de esta actividad.
on el auge de la revolucin tecnolgica dentro del mundo empresarial nacen nuevas
tecnologas informticas en la economa, desarrollndose !istemas informticos para
el procesamiento electrnico de la informacin, condicionando la existencia y el
desarrollo de un nuevo concepto Auditora con Informtica.
"ay especialistas #ue opinan #ue la auditora de gestin financiera con el uso de
recursos informticos, se denomina Auditora Informtica, sin em$argo otros opinan
#ue este t%rmino de$e ser exclusivo de las auditoras #ue se hacen a la funcin
informtica.
AUDITORIA DE SISTEMAS Pgina 1
PROPUESTAS DE AUDITORA DE SISTEMAS
AUDITORIA DE SISTEMAS
&'E()&! DE A*DI)&+,A DE !I!)E-A!
.a pala$ra auditora viene del latn auditorius y
de esta proviene auditor, #ue tiene la virtud de
oir y revisar cuentas, pero de$e estar
encaminado a un o$jetivo especfico #ue es el
de evaluar la eficiencia y eficacia con #ue se
est operando para #ue, por medio del
se/alamiento de cursos alternativos de accin,
se tomen decisiones #ue permitan corregir los
errores, en caso de #ue existan, o $ien mejorar
la forma de actuacin.
Algunos autores proporcionan otros conceptos pero todos coinciden en hacer %nfasis
en la revisin, evaluacin y ela$oracin de un informe para el ejecutivo encaminado a
un o$jetivo especfico en el am$iente computacional y los sistemas.
A continuacin se detallan algunos conceptos recogidos de algunos expertos en la
materia0
Auditora de !istemas es0
.a verificacin de controles en el procesamiento de la informacin, desarrollo
de sistemas e instalacin con el o$jetivo de evaluar su efectividad y presentar
recomendaciones a la 1erencia.
.a actividad dirigida a verificar y ju2gar informacin.
El examen y evaluacin de los procesos del Area de (rocesamiento automtico
de Datos 3(AD4 y de la utili2acin de los recursos #ue en ellos intervienen, para
llegar a esta$lecer el grado de eficiencia, efectividad y economa de los
sistemas computari2ados en una empresa y presentar conclusiones y
recomendaciones encaminadas a corregir las deficiencias existentes y
mejorarlas.
AUDITORIA DE SISTEMAS Pgina 2
PROPUESTAS DE AUDITORA DE SISTEMAS
&56E)I7&! 1E'E+A.E! DE *'A A*DI)&+,A DE !I!)E-A!
5uscar una mejor relacin costo8$eneficio de los sistemas automticos o
computari2ados dise/ados e implantados por el (AD
Incrementar la satisfaccin de los usuarios de los sistemas computari2ados
Asegurar una mayor integridad, confidencialidad y confia$ilidad de la
informacin mediante la recomendacin de seguridades y controles.
onocer la situacin actual del rea informtica y las actividades y esfuer2os
necesarios para lograr los o$jetivos propuestos.
!eguridad de personal, datos, hard9are, soft9are e instalaciones
Apoyo de funcin informtica a las metas y o$jetivos de la organi2acin
!eguridad, utilidad, confian2a, privacidad y disponi$ilidad en el am$iente
informtico
-inimi2ar existencias de riesgos en el uso de )ecnologa de informacin
Decisiones de inversin y gastos innecesarios
apacitacin y educacin so$re controles en los !istemas de Informacin
6*!)I:IA)I7&! (A+A E:E)*A+ *'A A*DI)&+,A DE !I!)E-A!
Aumento considera$le e injustificado del presupuesto del (AD 3Departamento
de (rocesamiento de Datos4
Desconocimiento en el nivel directivo de la situacin informtica de la empresa
:alta total o parcial de seguridades lgicas y fsicas #ue garanticen la
integridad del personal, e#uipos e informacin.
Descu$rimiento de fraudes efectuados con el computador
:alta de una planificacin informtica
&rgani2acin #ue no funciona correctamente, falta de polticas, o$jetivos,
normas, metodologa, asignacin de tareas y adecuada administracin del
+ecurso "umano
Descontento general de los usuarios por incumplimiento de pla2os y mala
calidad de los resultados
:alta de documentacin o documentacin incompleta de sistemas #ue revela la
dificultad de efectuar el mantenimiento de los sistemas en produccin

AUDITORIA DE SISTEMAS Pgina 3
PROPUESTAS DE AUDITORA DE SISTEMAS
&')+&.E!
onjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de
las empresas y para ello permite verificar si todo se reali2a conforme a los programas
adoptados, rdenes impartidas y principios admitidos.
.A!I:IAI;' 1E'E+A. DE .&! &')+&.E!
CONTROLES PREVENTIVOS
!on a#uellos #ue reducen la frecuencia con #ue ocurren las causas del riesgo,
permitiendo cierto margen de violaciones .
CONTROLES DETECTIVOS
!on a#uellos #ue no evitan #ue ocurran las causas del riesgo sino #ue los detecta
luego de ocurridos. !on los mas importantes para el auditor. En cierta forma sirven
para evaluar la eficiencia de los controles preventivos.
Ejemplo0 Archivos y procesos #ue sirvan como pistas de auditora
CONTROLES CORRECTIVOS
Ayudan a la investigacin y correccin de las causas del riesgo. .a correccin
adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de
controles defectivos so$re los controles correctivos, de$ido a #ue la correccin de
errores es en si una actividad altamente propensa a errores.
PRINCIPALES CONTROLES FSICOS Y LGICOS
ontroles particulares tanto en la parte fisica como en la lgica se detallan a
continuacin
A*)E')IIDAD
(ermiten verificar la identidad
<. (ass9ords
<. :irmas digitales
E=A)I)*D
AUDITORIA DE SISTEMAS Pgina 4
PROPUESTAS DE AUDITORA DE SISTEMAS
Aseguran la coherencia de los datos
<. 7alidacin de campos
<. 7alidacin de excesos
)&)A.IDAD
Evitan la omisin de registros as como garanti2an la conclusin de un proceso de
envi
<. onteo de registros
<. ifras de control
+ED*'DA'IA
Evitan la duplicidad de datos
<. ancelacin de lotes
<. 7erificacin de secuencias
(+I7AIDAD
Aseguran la proteccin de los datos
<. ompactacin
<. Encriptacin
Controls auto!"ti#os o l$%i#os
Priodi#idad d #a!&io d #la's d a##so
.os cam$ios de las claves de acceso a los programas se de$en reali2ar
peridicamente. 'ormalmente los usuarios se acostum$ran a conservar la misma
clave #ue le asignaron inicialmente.El no cam$iar las claves peridicamente aumenta
la posi$ilidad de #ue personas no autori2adas cono2can y utilicen claves de usuarios
del sistema de computacin.
UTILI(AR SOFT)ARE DE SEGURIDAD EN LOS MICROCOMPUTADORES
El soft9are de seguridad permite restringir el acceso al microcomputador, de tal modo
#ue solo el personal autori2ado pueda utili2arlo. Adicionalmente, este soft9are permite
AUDITORIA DE SISTEMAS Pgina 5
PROPUESTAS DE AUDITORA DE SISTEMAS
refor2ar la segregacin de funciones y la confidencialidad de la informacin mediante
controles para #ue los usuarios puedan accesar solo a los programas y datos para los
#ue estn autori2ados.
CONTROLES ADMINISTRATIVOS EN UN AM*IENTE DE PROCESAMIENTO DE
DATOS
.a mxima autoridad del >rea de Informtica de una empresa o institucin de$e
implantar los siguientes controles #ue se agruparan de la siguiente forma0
<.8 ontroles de (reinstalacin
?.8 ontroles de &rgani2acin y (lanificacin
@.8 ontroles de !istemas en Desarrollo y (roduccin
A.8 ontroles de (rocesamiento
B.8 ontroles de &peracin
C.8 ontroles de uso de -icrocomputadores
O*+ETIVOS,
1aranti2ar #ue el hard9are y soft9are se ad#uieran siempre y cuando tengan
la seguridad de #ue los sistemas computari2ados proporcionaran mayores
$eneficios #ue cual#uier otra alternativa.
1aranti2ar la seleccin adecuada de e#uipos y sistemas de computacin
Asegurar la ela$oracin de un plan de actividades previo a la instalacin
ACCIONES A SEGUIR,
Ela$oracin de un informe t%cnico en el #ue se justifi#ue la ad#uisicin del
e#uipo, soft9are y servicios de computacin, incluyendo un estudio costo8
$eneficio.
:ormacin de un comit% #ue coordine y se responsa$ilice de todo el proceso
de ad#uisicin e instalacin
AUDITORIA DE SISTEMAS Pgina 6
PROPUESTAS DE AUDITORA DE SISTEMAS
Ela$orar un plan de instalacin de e#uipo y soft9are 3fechas, actividades,
responsa$les4 el mismo #ue de$e contar con la apro$acin de los proveedores
del e#uipo.
Ela$orar un instructivo con procedimientos a seguir para la seleccin y
ad#uisicin de e#uipos, programas y servicios computacionales. Este proceso
de$e enmarcarse en normas y disposiciones legales.
Efectuar las acciones necesarias para una mayor participacin de proveedores.
Asegurar respaldo de mantenimiento y asistencia t%cnica.
CONTROLES DE ORGANI(ACIN Y PLANIFICACIN
!e refiere a la definicin clara de funciones, linea de autoridad y responsa$ilidad de las
diferentes unidades del rea (AD, en la$ores tales como0
<. Dise/ar un sistema
<. Ela$orar los programas
<. &perar el sistema
<. ontrol de calidad
!e de$e evitar #ue una misma persona tenga el control de toda una operacin.
Es importante la utili2acin ptima de recursos en el (AD mediante la preparacin de
planes a ser evaluados continuamente
METODOLOGA DE UNA AUDITORA DE SISTEMAS
Existen algunas metodologas de Auditoras de !istemas y todas depende de lo #ue
se pretenda revisar o anali2ar, pero como estndar anali2aremos las cuatro fases
$sicas de un proceso de revisin0
Estudio preliminar
+evisin y evaluacin de controles y seguridades
Examen detallado de reas criticas
omunicacin de resultados
Estudio -rli!inar.8 Incluye definir el grupo de tra$ajo, el programa de auditora,
efectuar visitas a la unidad informtica para conocer detalles de la misma, ela$orar un
cuestionario para la o$tencin de informacin para evaluar preliminarmente el control
AUDITORIA DE SISTEMAS Pgina 7
PROPUESTAS DE AUDITORA DE SISTEMAS
interno, solicitud de plan de actividades, -anuales de polticas, reglamentos,
Entrevistas con los principales funcionarios del (AD.
R'isi$n . 'alua#i$n d #ontrols . s%uridads/0 onsiste de la revisin de los
diagramas de flujo de procesos, reali2acin de prue$as de cumplimiento de las
seguridades, revisin de aplicaciones de las reas criticas, +evisin de procesos
histricos 3$acDups4, +evisin de documentacin y archivos, entre otras actividades.
E1a!n dtallado d "ras #riti#as/0on las fases anteriores el auditor descu$re las
reas criticas y so$re ellas hace un estudio y anlisis profundo en los #ue definir
concretamente su grupo de tra$ajo y la distri$ucin de carga del mismo, esta$lecer
los motivos, o$jetivos, alcance +ecursos #ue usara, definir la metodologa de tra$ajo,
la duracin de la auditora, (resentar el plan de tra$ajo y anali2ara detalladamente
cada pro$lema encontrado con todo lo anteriormente anali2ado en este folleto.
Co!uni#a#i$n d rsultados/0 !e ela$orara el $orrador del informe a ser discutido
con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara
es#uemticamente en forma de matri2, cuadros o redaccin simple y concisa #ue
desta#ue los pro$lemas encontrados, los efectos y las recomendaciones de la
Auditora.
El informe de$e contener lo siguiente0
-otivos de la Auditora
&$jetivos
Alcance
Estructura &rgnico8:uncional del rea Informtica
onfiguracin del "ard9are y !oft9are instalado
ontrol Interno
+esultados de la Auditora

REDACCIN Y PRESENTACIN DE LA PROPUESTA DEL SISTEMA
AUDITORIA DE SISTEMAS Pgina 8
PROPUESTAS DE AUDITORA DE SISTEMAS
M2TODOS DISPONI*LES
.a propuesta escrita es el resumen del tra$ajo #ue el ingeniero de sistemas ha
desarrollado hasta ese punto y, como tal, es fundamental #ue su redaccin y
presentacin tenga gran cuidado. El ingeniero puede crear una propuesta de sistemas
con %xito mediante el uso de tres m%todos. Estos m%todos comprenden la
organi2acin efica2 del contenido, un estilo profesional de redaccin, y la presentacin
oral de la propuesta de una manera informativa.
Or%ani3a#i$n d la -ro-usta dl sist!a
*na ve2 #ue ha recopilado el material #ue va a incluir en su propuesta de sistemas,
necesita integrar toda esta informacin de una manera lgica y visualmente atractiva.
Esto implica incluir como elementos fundamentales, un estilo efica2 de redaccin, el
uso complementario de figuras y otros detalles visuales del documento de la
propuesta.
4u in#luir n la -ro-usta d sist!as
Existen die2 secciones principales #ue integran el documento de la propuesta del sistema.
ada seccin cuenta con una funcin especialE y eventualmente, la propuesta de$e
apegarse al orden siguiente0
F arta de presentacin.
F (gina del ttulo del proyecto.
F ontenido.
F +esumen ejecutivo 3incluyendo recomendaciones4.
F Descripcin del estudio de sistemas con la documentacin apropiada.
F +esultados detallados del estudio de sistemas.
F Alternativas del sistema 3@ o A soluciones posi$les, si correspondieran4.
F +ecomendaciones del ingeniero de sistemas.
F +esumen.
F Ap%ndices
PROPUESTA DE CREACIN DEL 5REA DE AUDITORA INFORM5TICA
AUDITORIA DE SISTEMAS Pgina 9
PROPUESTAS DE AUDITORA DE SISTEMAS
.
Al#an#
.a auditora se reali2ar so$re los sistemas informticos en computadoras personales
#ue est%n conectados a la red interna de la empresa.
O&6ti'o
)ener un panorama actuali2ado de los sistemas de informacin en cuanto a la
seguridad fsica, las polticas de utili2acin, transferencia de datos y seguridad de los
activos.
R#ursos
El nGmero de personas #ue integraran el e#uipo de auditoria sera de tres, con un
tiempo mximo de ejecucin de @ a A semanas.
Eta-as d tra&a6o
<. R#o-ila#i$n d in7or!a#i$n &"si#a
*na semana antes del comien2o de la auditoria se enva un cuestionario a los
gerentes o responsa$les de las distintas reas de la empresa. El o$jetivo de este
cuestionario es sa$er los e#uipos #ue usan y los procesos #ue reali2an en ellos. .os
gerentes se encargaran de distri$uir este cuestionario a los distintos empleados con
acceso a los computadores, para #ue tam$i%n lo completen. De esta manera, se
o$tendrn visin ms glo$al del sistema. Es importante tam$i%n reconocer y
entrevistarse con los responsa$les del rea de sistemas de la empresa para conocer
con mayor profundidad el hard9are y el soft9are utili2ado.
En las ntr'istas in#luir"n,
FDirector H 1erente de Informtica
F!u$gerentes de informtica
FAsistentes de informtica
F)%cnicos de soporte externo
?. Idnti7i#a#i$n d ris%os -otn#ials
!e evaluara la forma de ad#uisicin de nuevos e#uipos o aplicativos de soft9are.
.os procedimientos para ad#uirirlos de$en estar regulados y apro$ados en $ase a los
estndares de la empresa y los re#uerimientos mnimos para ejecutar los
programas $ase.
8/ O&6ti'os d #ontrol
AUDITORIA DE SISTEMAS Pgina 10
PROPUESTAS DE AUDITORA DE SISTEMAS
!e evaluaran la existencia y la aplicacin correcta de las polticas de seguridad,
emergencia y disaster recovery de la empresa. !e har una revisin de los manuales
de poltica de la empresa, #ue los procedimientos de los mismos se encuentren
actuali2ados y #ue sean claros y #ue el personal los comprenda. De$e existir en la
Empresa un programa de seguridad, para la evaluacin de los
riesgos#ue puedan existir, respecto a la seguridad del mantenimiento de los e#uipos, p
rograma y datos.
A. Dtr!ina#i$n d los -ro#di!intos d #ontrol
!e determinaran los procedimientos adecuados para aplicar a cada uno de los
o$jetivos definidos en el paso anterior .&$jetivo ' <0 Existencia de normativa de
hard9are.
El hard9are de$e estar correctamente identificado y documentado.
!e de$e contar con todas las rdenes de compra y facturas con
el finde contar con el respaldo de las garantas ofrecidas por losfa$ricantes.
El acceso a los componentes del hard9are est% restringido al directo a las personas
#ue lo utili2an.
!e de$e contar con un plan de mantenimiento y registro de fechas, pro$lemas,
soluciones y prximo mantenimiento propuesto. &$jetivo ' ?0 (oltica de acceso a
e#uipos.
ada usuario de$er contar con su nom$re de usuario y contrase/a para acceder a
los e#uipos.
.as claves de$ern ser seguras 3mnimo I caracteres, alfa num%ricos alternando
mayGsculas y minGsculas4.
.os usuarios se des$lo#uearan despu%s de B minutos sin actividad.
.os nuevos usuarios de$ern ser autori2ados mediante contratos de confidencialidad
y de$en mantenerse luego de finali2ada la relacin la$oral.
*so restringido de medios removi$les 3*!5, D8+&-, discosexternos etc4.
B. Pru&as a rali3ar/
!on los procedimientos #ue se llevaran a ca$o a fin de verificar el cumplimiento de
loso$jetivos esta$lecidos. Entre ellas podemos mencionar las siguientes t%cnicas0
)omar <J ma#uinas al a2ar y evaluar la dificultad de acceso a lasmismas.
Intentar sacar datos con un dispositivo externo.
:acilidad para desarmar una pc.
:acilidad de accesos a informacin de confidencialidad 3usuarios y claves4.
AUDITORIA DE SISTEMAS Pgina 11
PROPUESTAS DE AUDITORA DE SISTEMAS
7erificacin de contratos.
9/ O&tn#i$n d los rsultados/
En esta etapa se o$tendrn los resultados #ue surjan de la aplicacin de los
procedimientos de control y las prue$as reali2adas a fin de poder determinar si se
cumple o no con
loso$jetivos de control antes definidos. .os datos o$tenidos se registrarn en planillasr
eali2adas a medida para cada procedimiento a fin de tener catalogado perfectamente
losresultados con el o$jetivo de facilitar la interpretacion de los mismos y evitar interpre
taciones errneas.
:/ Con#lusions . Co!ntarios,
En este paso se detallara el resumen de toda la informacin o$tenida, asi como lo #ue
se deriva de esa informacin, sean fallas de seguridad, organi2acin o estructura
empresarial. !e expondrn las fallas encontradas, en la seguridad fsica sean en
temas de resguardo de informacin 3asos de incendio, ro$o4, manejo y o$tencin de
copias de seguridad, en las normativas de seguridad como por ejemplo normativas de
uso de pass9ords, formularios de ad#uisicin de e#uipos, y estudios previos a las
ad#uisiciones para compro$ar el $eneficio #ue los mismos aportaran. :inalmente se
vern los temas de organi2acin empresarial, como son partes responsa$les de
seguridad, mantenimiento y supervisin de las otras reas.
;/ Rda##i$n dl &orrador dl in7or!
!e detalla de manera concisa y clara un informe de todos los pro$lemas encontrados,
anotando los datos t%cnicos de cada una de las ma#uinas auditadas0
-arca
-odelo
'umero de !erie
(ro$lema encontrado
!olucin recomendada
</ Prsnta#i$n dl &orrador dl in7or!= al rs-onsa&l d!i#roin7or!"ti#a
!e le presentara el informe $orrador a un responsa$le del rea informtica, como se
aclar en el punto anterior, con el mximo de detalle posi$le de todos los pro$lemas y
AUDITORIA DE SISTEMAS Pgina 12
PROPUESTAS DE AUDITORA DE SISTEMAS
soluciones posi$les recomendadas, este informe se pasara por escrito en original y
copia firmando un documento de conformidad del mismo para ad#uirir un compromiso
fuerte en la solucin de los mismos, de esta forma evitaremos posi$les confusiones
futuras.
>?/ Rda##i$n dl In7or! Rsu!n . Con#lusions/
Es en este paso es donde se muestran los verdaderos resultados a los responsa$les
de la empresa, el informe presentado dar a conocer todos los puntos evaluados
durante la auditoria, resultados, conclusiones, puntaje y posi$les soluciones.
.a conclusin tendr como temas los resultados, errores, puntos crticos y
o$servaciones delos auditores. -ientras #ue en el resumen se vern las posi$les
soluciones de esos puntos crticos y fallas, as como recomendaciones para el $uen
uso y tam$i%n recomendaciones so$re la forma incorrecta de reali2ar
algunos procedimientos.
>>/ Entr%a dl in7or! a los dir#ti'os d la !-rsa/
Esta es la Gltima parte de la auditoria y en una reunin se formali2a la entrega del
informe final con los resultados o$tenidos en la auditoria. )am$i%n se fijan los
parmetros si as se re#uieren para reali2ar el seguimientos de los puntos en los #ue
el resultado no haya sido satisfactorio o simplemente se #uiera verificar #ue los #ue
los o$jetivos de control se sigan cumpliendo a lo largo del tiempo
AUDITORIA DE SISTEMAS Pgina 13
PROPUESTAS DE AUDITORA DE SISTEMAS
*I*LIOGRAFIA
html.rincondelvago.comHpropuesta-del-sistema.html
999.monografias.com K omputacin K 1eneral
999.projusticia.org.peH...HPropuesta%20Sistema%20Informatico%20inte...

AUDITORIA DE SISTEMAS Pgina 14