Identificacion del entorno de auditoria

Identificación del entorno de auditoria

La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma.

Las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa.  Debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.

La palabra auditoría proviene del latín auditorio, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.

Conceptos de Auditoria Informática

Es un examen que se realiza con carácter objetivo, crítico, sistemático y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informáticos, de la gestión informática y si estas han brindado el soporte adecuado a los objetivos y metas del negocio. Estos son unos conceptos de la auditoria informática:

• La Auditoria de Tecnología de Información (T.I.) como se le conoce actualmente, (Auditoria informática o Auditoria de sistemas en nuestro medio), se ha consolidado en el mundo entero como cuerpo de conocimientos cierto y consistente, respondiendo a la acelerada evolución de la tecnología informática de los últimos 10 años.
• La INFORMACIÓN es considerada un activo tan o más importante que cualquier otro en una organización.

OBJETIVOS DE LA AUDITORIA  INFORMÁTICA

La Auditoria Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software.

Control de la función informática

Consiste en examinar los recursos, las operaciones, los beneficios y los gastos de las producciones (servicios y/o productos de los Sistemas Informáticos), de los Organismos sujetos a control, con al finalidad de evaluar la eficacia y eficiencia Administrativa Técnica y/u Operacional de los Organismos, en concordancia con los principios, normas, técnicas y procedimientos normalmente aceptados. Asimismo de los Sistemas (Planes, Programas y Presupuestos, Diseño,  Software, Hardware, Seguridad, Respaldos y otros) adoptados por la Organización para su dinámica de Gestión en salvaguarda de los Recursos del Estado.

Existe otra definición sobre el "control técnico" en materia de Sistemas e Informática, y esta se orienta a la revisión del Diseño de los Planes, Diseños de los Sistemas, la demostración de su eficacia, la Supervisión compulsa de rendimientos, Pruebas de Productividad de la Gestión - Demanda llamada "Pruebas intermedias", el análisis de resultados, niveles y medios de seguridad, respaldo, y el almacenamiento. Así mismo medición de la vida útil del Sistema Informático adoptado por la Organización bajo control.
Los Procedimientos Específicos Informáticos. Igualmente, se revisara su existencia en las áreas fundamentales. Así, Explotación no debería explotar una Aplicación sin haber exigido a Desarrollo la pertinente documentación. Del mismo modo, deberá comprobarse que los Procedimientos Específicos no se opongan a los Procedimientos Generales. En todos los casos anteriores, a su vez, deberá verificarse que no existe contradicción alguna con la Normativa y los Procedimientos Generales de la propia empresa, a los que la Informática debe estar sometida.

Análisis de la eficiencia de los sistemas informática

El sistema informático es considerado como un sistema con componentes (recursos) que acepta entradas, las procesa y produce salidas. el proceso de análisis examina la adecuación de las salidas a lo que son las entradas y el proceso.

El sistema informático es el objeto de análisis: se utilizan los datos del funcionamiento del s.i. para comprobar la correcta utilización del mismo, no la adecuación entre entradas y salidas, si no el uso de los recursos: la memoria central y virtual, los  discos, las comunicaciones, el procesador central, etc.

Verificación del cumplimiento de la normatividad  

Una definición que es correcta y a la cual representa el valor de la Función del Control es la de ayudar a los Funcionarios que tienen responsabilidad Administrativa, Técnica y/u Operacional a que no incurran en falta. Y es por ello que aquí el Control es Creativo - Inteligente, y Constructivo de asesoramiento oportuno a todas las Direcciones o Gerencias a fin de que la Toma de Decisiones sea acertada, segura y se logren los objetivos, con la máxima eficiencia. De que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas.

Revisión de la eficaz gestión de los recursos informáticos

También permiten detectar de forma sistemática eluso de los recursos y los flujos de informacióndentro de una organización y determinar qué información es critica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

La Auditoria Integral Informática consiste principalmente en estudiar los sistemas de información que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.

Mejora de características de la empresa de la auditoria

En la primera fase de los negocios, las empresas se veían enfrentadas a una demanda de productos y servicios superior a los ofrecidos por las empresas, con ello la principal preocupación de las empresas y sus auditorías internas era proteger la efectividad y eficiencia de las operaciones, la confiabilidad de la información financiera, el acatamiento de las leyes y regulaciones, y por sobre todas las cosas proteger los activos físicos y financieros de laempresa.

En la segunda fase, ante una oferta que supera la demanda de los consumidores, cuidar de activos tales como la clientela, la calidad, los niveles de satisfacción y ahora ante los problemas ambientales el cuidado de la ecología resultan cruciales.

Una forma de hacer auditoría que era propia de una era de escasos cambios se vió sacudida en primera instancia por la llegada de los procesos informáticos a la empresa, y luego, ante la competencia global, por la necesidad de reducir costos, afianzar la calidad, mejorar la prestación de servicios, aumentar los niveles de satisfacción de los clientes, reducir los tiempos de respuesta y mejorar de manera continua la performance en cada uno de los indicadores antes expuestos.

El salto de la Segunda Ola a lo que Alvin Tofler ha dado en llamar la Tercer Ola significó la aparición de nuevos activos. Los activos intangibles y lagestión del conocimiento poseen cada día mayor importancia y trascendencia, llevando con ello a la auditoría interna a nuevas y más sofisticadas líneas de acción.

  Auditoria de eficiencia

En la mayoría de las empresas existe la obligación de mantener en todo momento unos registros contables adecuados y el auditor tendrá que informar si no fuera así.

Lo más probable es que el estudio completo de la seguridad y la planificación de emergencia de los sistemas mecanizados se incluyan entre las atribuciones de la mayoría de los departamentos de auditoría interna. Por ello cuando se realice un análisis de seguridad informática y de planificación de emergencia, el auditor:

* Examinará sistemáticamente todos los riesgos que intervengan y acotarán las pérdidas probables en cada caso. -

* Considerará las maneras de aumentar la seguridad para reducir los riesgos.

* Recomendará todas las acciones necesarias de protección encaminadas a reducir el riesgo de que se produzca una interrupción, en caso de que se produzca.

* Cuando corresponda, estudiará la cobertura de seguros de la empresa.

Cuando se hable de eficiencia, los auditores tendrán que tener en cuenta las bases de referencia del grupo de auditoria, que considera lo siguiente:

* A que nivel informan los auditores.

* El apoyo que la dirección presta a los auditores.

* El respeto que tenga la unidad informática hacia el grupo de auditoría.

* La competencia técnica del equipo de auditoría.

Auditoria de eficacia 

También llamada auditoría de efectividad o de resultados de los programas, en una auditoría de eficacia se investiga si se han alcanzado los resultados deseados o se han cumplido los objetivos propuestos o impuestos por unaautoridad con facultades para ello, cuantificando las desviaciones y analizando sus posibles causas. En una auditoría de eficacia, a diferencia de una deeconomía y eficiencia, se presta mayor atención al grado de cumplimiento de losobjetivos y demás prescripciones del plan o programa que a la economía de losmedios utilizados para alcanzarlos.

Auditoria de rentabilidad

Una auditoria externa le dará información sobre la viabilidad técnica y/o económica de su explotación

Son muchas los factores a tener en cuenta en una correcta dirección agrícola, no deje ninguno al azar, controle su explotación.

Auditoría de seguridad

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Auditoria de seguridad física

 Se refiere a la protección de hardware y los soportes de datos, así también como la seguridad de los edificios y las instalaciones que lo albergan. Esto contempla situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc.

Consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial".

Objetivo Principal

Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.

Los objetivos de la seguridad física se basan en prioridades con el siguiente orden:

1.  Edificio
2.  Instalaciones
3. Equipamiento y Telecomunicaciones
4.  Datos y
5.  Personal

Auditoria de ofimatica y desarrollo de sistemas

Partiendo de la definición realizada por SCHILL acerca de la ofimática, que dice que, como el sistema informatizado que genera, procesa, almacena, recupera, comunica y presenta datos relacionados con el funcionamiento de la oficina.

Las primeras aplicaciones de la ofimática se realizan o se desarrollaron sobre los ordenadores centrales de las organizaciones.

La evolución sufrida en el entorno microinformático ha condicionado el desarrollo de los sistemas ofimáticos actuales.  El aumento de la potencia de calculo, la alta calidad de los productos y la reducción de costos de los ordenadores personales y las estaciones de trabajo; ha desplazado el desarrollo de aplicaciones ofimáticas a plataformas microinformáticas y redes de área local.

Auditoria de mantenimiento

El propósito de la Auditoria del Mantenimiento es determinar donde la organización creada para el mantenimiento del activo de la organización está bien implementada, a fin de fortalecer este aspecto y donde quedan áreas que deben ser mejoradas para que los servicios sean entregados con la calidad y oportunidad que son requeridos. Este instrumento provee una visión de la estructura, relaciones, procedimientos y personal, relativo a una buena práctica del mantenimiento. Este es el primer paso para decidir e implementar mejoramientos en la gestión del mantenimiento.

Auditoria de bases de datos

Solución para el Monitoreo y auditoria de las bases de datos en tiempo real, generando alertas, ofuscando los datos, generación de informes de cumplimiento, envío a cuarentena de usuarios y bloqueo de transacciones. Adicionalmente permite realizar un análisis de vulnerabilidades sobre las bases de datos.

Auditoria de tecnicas de sistemas

Los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa.

La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado la gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la auditoria Informática.

El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoria" como sinónimo de que, en dicha entidad, antes de realizarse la auditoria, ya se habían detectado fallas.

El concepto de auditoria es mucho más que esto.

La palabra auditoria proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.

Por otra parte, también se define como: Revisor de Cuentas colegiado. En un principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.

"La auditoria no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de carácter indudable", de esta manera es definido el termino auditor según las Normas de auditoria del Instituto mexicano de contadores.

Auditoria de calidad

La norma ISO 9000: 2000 define una Auditoría de Calidad como:
“Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el alcance al que se cumplen los criterios de auditoría”.
El objetivo de la auditoría es evaluar la suficiencia y efectividad de las disposiciones de calidad de una organizacion mediante la recolección y uso de evidencia objetiva, e identiricxar y registrar las instanancias de no cumplimiento con las disposiciones de calidad e indicar, donde sea posible, las razones.

Normalmente se realizan las auditorías para los siguientes propósitos:

- Determinar la conformidad o no conformidad del sistema de calidad con los requisitos especificados.

- Determinar la efectividad del sistema en el cumplimiento de objetivos.

- Identiricar el potencia para el mejoraminto del sistema de calidad.

Auditoria de redes informaticas

Desde el momento en que se realiza una acción que reúna las características que delimitan el concepto de delito, y sea llevada a cabo utilizando un elemento informático o vulnerando los derechos del titular de un elemento informático, ya sea de hardware o de software, estamos en presencia de un delito informático.

Estos delitos informáticos pueden adoptar alguna de las siguientes formas:

-Robos, hurtos, vaciamientos, desfalcos, estafas o fraudes cometidos mediante manipulación y uso de computadoras.

-Apropiación no autorizada de los datos de entrada o de salida.

-Cambios no autorizados en programas, que consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas.

-Sabotaje Informático.

-Falsificaciones informáticas.

-Violación de la privacidad.

-Interceptación de comunicaciones.

-Robo de servicios.- se alude a las conductas que tienen por objeto el acceso ilícito a los equipos físicos o a los programas informáticos, para utilizarlos en beneficio del delincuente.

-Hurto por transacciones electrónicas de fondos.- Hurto que se comete mediante la utilización de sistemas de transferencia electrónica de fondos, de la telemática en general, o también cuando se viola el empleo de claves secretas.

Auditoria jurídica de entornos informáticos

La Auditoría Jurídica es la revisión independiente del uso del material, de la información y de sus manipuladores desde la perspectiva de la normativa legal (civil, penal, laboral), efectuada por un jurista experto independiente con al finalidad de emitir un dictamen sobre su adecuación a la legalidad vigente.
La Auditoría jurídica comprende cuatro áreas: Auditoría del Entorno Informático, Auditoría de las personas que manipulan la información, Auditoría de la Información, auditoría de los archivos.

• AUDITORIA DEL ENTORNO

Definimos como entorno a los programas y soporte físico que sirven de receptáculo a la información y los datos objeto último de la auditoría jurídica. La auditoría jurídica del entrono se divide en tres partes
o Auditoria de los elementos del hardware: Comprobación de elementos del hardware como de los contratos que lo soportan. Es preciso el examen de los contratos (sea con transmisión de la propiedad o no), así como de los contratos de mantenimiento. Ejemplo: compraventa, alquiler, leasing, renting, reposición.
o Auditoria de los elementos del software: Incluye el control de las licencias de uso personalizado, licencias de uso no personalizadas, licencia de uso de código fuente, desarrollo de software y mantenimiento de los programas.

Mejora de características de la empresa de la auditoria.

Características.

- La auditoria informática sirve para mejorar ciertas características en la empresa como :

• Eficiencia.
• Eficacia.
• Rentabilidad.
• Seguridad.

- Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas.

• Gobierno corporativo.
• Administración del ciclo de vida de los sistemas.
• Servicios de entrega y soporte.
• Protección y seguridad.
• Planes de continuidad y recuperación de desastres. 

Controles Administrativos en un ambiente Informático

El control es una actividad trivial, que forma parte de la vida cotidiana del ser humano, consciente o inconscientemente. La finalidad básica del control es la modificación del comportamiento de la persona u objeto que se controla. En el caso del control administrativo, se mira básicamente el comportamiento humano. Esto significa que el control es una función dinámica, no sólo porque admite ajustes, sino también por estar presente en cada actividad humana, renovándose ciclo tras ciclo.

Función del Control: Su función es la de ayudar a los Funcionarios que tienen responsabilidad Administrativa, Técnica y/u Operacional a que no incurran en falta. Y es por ello que aquí el Control es Creativo, Inteligente, y Constructivo de asesoramiento, oportuno a todas las Direcciones o Gerencias a fin de que la Toma de Decisiones sea acertada, segura y se logren los objetivos, con la máxima eficiencia.

La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles:

CONTROLES DE PREINSTALACIÓN

Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes.

Objetivos:

• Garantizar que el hardware y software se adquieran, siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.
• Garantizar la selección adecuada de equipos y sistemas de computación
• Asegurar la elaboración de un plan de actividades previo a la instalación

Acciones a seguir:

·        Elaboración de un informe técnico en el que se justifique la adquisición del equipo, software y servicios de computación, incluyendo un estudio costo-beneficio.

·        Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación.

·        Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables), el mismo debe contar con la aprobación de los proveedores del equipo.

·        Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales.

·        Efectuar las acciones necesarias para una mayor participación de proveedores.

·        Asegurar respaldo de mantenimiento y asistencia técnica.

CONTROLES DE ORGANIZACIÓN Y PLANIFICACIÓN

Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como:

1. Diseñar un sistema
2. Elaborar los programas
3. Operar el sistema
4. Control de calidad

Se debe evitar que una misma persona tenga el control de toda una operación.

Es importante la utilización óptima de recursos en el PAD mediante la preparación de planes a ser evaluados continuamente.

Acciones a seguir

• La unidad informática debe estar al más alto nivel de la pirámide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva.
• Las funciones de operación, programación y diseño de sistemas deben estar claramente delimitadas.
• Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas.
• Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento.
• El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito.

·        Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluación y ajustes periódicos "Plan Maestro de Informática".

·        Debe existir una participación efectiva de directivos, usuarios y personal del PAD en la planificación y evaluación del cumplimiento del plan.

·        Las instrucciones deben impartirse por escrito.

CONTROLES DE SISTEMA EN DESARROLLO Y PRODUCCIÓN

Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información; que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados.

Acciones a seguir:

• Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio.
• El personal de auditoria interna/control debe formar parte del grupo de diseño para sugerir y solicitar la implantación de rutinas de control.
• El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos, metodologías estándares, procedimientos y en general a normatividad escrita y aprobada.
• Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores.
• Los programas antes de pasar a Producción deben ser probados con datos que agoten todas las excepciones posibles.
• Todos los sistemas deben estar debidamente documentados y actualizados. La documentación deberá contener:
1. Informe de factibilidad
2. Diagrama de bloque
3. Diagrama de lógica del programa
4. Objetivos del programa
5. Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobación de modificaciones
6. Formatos de salida
7. Resultados de pruebas realizadas

• Implantar procedimientos de solicitud, aprobación y ejecución de cambios a programas, formatos de los sistemas en desarrollo.

·        El sistema concluido será entregado al usuario previo entrenamiento y elaboración de los manuales de operación respectivos

CONTROLES DE PROCESAMIENTO

Los controles de procesamiento se refieren al ciclo que sigue la información; desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para:

1. Asegurar que todos los datos sean procesados
2. Garantizar la exactitud de los datos procesados
3. Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoria
4. Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.

Acciones a seguir:

·        Validación de datos de entrada, previo procesamiento, debe ser realizada en forma automática: clave, dígito autoverificador, totales de lotes, etc.

·        Preparación de datos de entrada debe ser responsabilidad de usuarios y consecuentemente su corrección.

·        Recepción de datos de entrada y distribución de información de salida debe obedecer a un horario elaborado en coordinación con el usuario, realizando un debido control de calidad.

·        Adoptar acciones necesarias para correcciones de errores.

·        Analizar conveniencia costo-beneficio de estandarización de formularios, fuente para agilitar la captura de datos y minimizar errores.

·        Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema.

·        Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios.

CONTROLES DE OPERACIÓN

Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento, la administración de la cintoteca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line.

Objetivos

• Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso
• Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD
• Garantizar la integridad de los recursos informáticos.
• Asegurar la utilización adecuada de equipos acorde a planes y objetivos.

Acciones a seguir:

• El acceso al centro de computo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado
• Implantar claves o password para garantizar operación de consola y equipo central (mainframe), a personal autorizado.
• Formular políticas respecto a seguridad, privacidad y protección de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violación y como responder ante esos eventos.
• Mantener un registro permanente (bitácora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de dichos procesos.
• Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en caso de destrucción de archivos.
• Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados, preferentemente en bóvedas de bancos.
• Se deben implantar calendarios de operación a fin de establecer prioridades de proceso.
• Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, etc.
• El proveedor de hardware y software deberá proporcionar lo siguiente:
1. Manual de operación de equipos
2. Manual de lenguaje de programación
3. Manual de utilitarios disponibles
4. Manual de Sistemas operativos

• Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, así como extintores de incendio, conexiones eléctricas seguras, entre otras.
• Instalar equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía.
• Contratar pólizas de seguros para proteger la información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación.

CONTROLES EN EL USO DEL MICROCOMPUTADOR

Es la tarea más difícil, pues son equipos más vulnerables, de fácil acceso, de fácil explotación, pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información.

Acciones a seguir:

• Adquisición de equipos de protección como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo.
• Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo.
• Establecer procedimientos para obtención de backups de paquetes y de archivos de datos.
• Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa.
• Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos.
• Propender a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas.

Caracteristicas de control de seguridad fisica y logica 

Para definir los controles que se utilizan en auditoria de sistemas primero se debe saber que es auditoria de sistemas y las características principales. 
La Auditoria de Sistemas consiste en evaluar la eficiencia y eficacia de los sistemas y procedimientos de informática utilizados en las empresas para detectar anomalías y deficiencias mediante controles, seguridad y obtención de información.
Los Controles son instrucciones metódicas con el fin de vigilar las funciones y actitudes de las organizaciones el cual permite verificar si todo se realiza eficazmente de acuerdo a las políticas y normas adoptadas por dicha organización protegiendo los recursos contra las amenazas a que están expuestos y contra los riesgos que éstas podrían generar. Los controles se clasifican en: 
* Controles Preventivos
Son los que reducen las causas de riesgo que se presenta con frecuencia, permitiendo algún margen de incumplimiento
* Controles Detectivos
Son los que detectan las causas del riesgo después de ocurridas en un momento dado. En ocasiones ayudan a evaluar la eficiencia de los controles preventivos como los Sistemas de claves de acceso.
* Controles Correctivos
Son los que ayudan a investigar y corregir las causas del riesgo. La corrección apropiada puede resultar difícil e ineficiente, teniendo en cuenta la implantación de controles detectivos sobre los controles correctivos ya que la corrección de errores no se realiza con los debidos proceso de validación y es propensa a errores. 

Exactitud

Todos nuestros capilares están preheparinizados con heparina sólida equilibrada electrolíticamente, lo que reduce significativamente el riesgo de coágulos y asegura la fiabilidad de los resultados sin causar sesgos en los electrólitos.

contabilidad

Los controles contables tienen como objetivos principales proporcionar a la dirección de la empresa la seguridad de que la información contable es veraz y digna de crédito.

Estos controles comprenden sistemas de autorizaciones y aprobaciones de transacciones, segregaciones de funciones en los diferentes departamentos, controles físicos sobre los activos, auditoría interna, manuales de políticas y procedimientos contables, etc.

Redundancia 

Protecciones, en ANSI B11.TR3 siempre y cuando la reducción de riesgos baja/intermedia incluya sistemas de control con redundancia que puedan ser revisados de manera manual para verificar el rendimiento del sistema de seguridad. Teniendo en cuenta los requisitos puros, el sistema emplea redundancia simple. No se requiere el uso de una función de revisión. Sin revisión, uno de los componentes de seguridad redundantes puede fallar, y el sistema de seguridad no lo notaría. Esto resultaría en un sistema de canal individual. Este nivel de reducción de riesgos concuerda mejor con la categoría 2 cuando se utiliza la revisión.

Privasidad

El método de doble compartimento: se utiliza cuando los materiales son económicos. Se trata de un método sencillo y de mínimo trabajo. Dentro de los almacenes se establecen dos compartimentos. En uno de ellos, se coloca la cantidad de materiales que se consumen entre un pedido y otro. En el segundo, se mantienen los materiales que se pueden consumir entre que se tramita una orden de compra hasta que el pedido se recibe más el stock de seguridad.

Protección de archivos contra destrucción de información o de hardware  

ANÁLISIS DE CASOS DE CONTROLES ADMINISTRATIVOS

A continuación se presentarán algunas situaciones hipotéticas planteadas como problemáticas en distintas empresas, con la finalidad de efectuar el análisis del caso e identificar las acciones que se deberían implementar.

  

Situación 1

Un empleado del grupo de control de datos obtuvo un formulario para modificaciones al archivo maestro de proveedores (en blanco) y lo completo con el código y nombre de un proveedor ficticio, asignándole como domicilio el número de una casilla de correo que previamente había abierto a su nombre.

Su objetivo era que el sistema emitiera cheques a la orden del referido proveedor, y fueran luego remitidos a la citada casilla de correo.

Cuando el listado de modificaciones al archivo maestro de proveedores (impreso por esta única modificación procesada en la oportunidad) le fue enviado para su verificación con los datos de entrada, procedió a destruirlo.

Alternativas de Solución

• Los formularios para modificarse a los archivos maestros deberían ser prenumerados; el departamento usuario respectivo debería controlar su secuencia numérica.
• Los listados de modificaciones a los archivos maestros no sólo deberían listar los cambios recientemente procesados, sino también contener totales de control de los campos importantes,(número de registros, suma de campos importantes, fecha de la última modificación ,etc.) que deberían ser reconciliados por los departamentos usuarios con los listados anteriores.

 Situación 2

Al realizar una prueba de facturación los auditores observaron que los precios facturados en algunos casos no coincidían con los indicados en las listas de precios vigentes. Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido procesados, razón por la cual el archivo maestro de precios estaba desactualizado.

Alternativas de Solución

• Uso de formularios prenumerados para modificaciones y controles programados diseñado para detectar alteraciones en la secuencia numérica de los mismos.
• Creación de totales de control por lotes de formularios de modificaciones y su posterior reconciliación con un listado de las modificaciones procesadas.
• Conciliación de totales de control de campos significativos con los acumulados por el computador.
• Generación y revisión de los listados de modificaciones procesadas por un delegado responsable.
• Revisión de listados periódicos del contenido del archivo maestro de precios.

Situación 3

El operador del turno de la noche, cuyos conocimientos de programación eran mayores de los que los demás suponían, modifico (por consola) al archivo maestro de remuneraciones a efectos de lograr que se abonara a una remuneración más elevada a un operario del área de producción con el cual estaba emparentado. El fraude fue descubierto accidentalmente varios meses después.

Alternativas de Solución

• Preparación de totales de control del usuario y reconciliación con los acumulados del campo remuneraciones, por el computador.
• Aplicación de control de límites de razonabilidad.

Situación 4

Un empleado del almacén de productos terminados, ingresó al computador órdenes de despacho ficticias, como resultado de las cuales se despacharon mercaderías a clientes inexistentes.

Esta situación no fue descubierta hasta que los auditores realizaron pruebas de cumplimientos y comprobaron que existían algunos despachos no autorizados.

Alternativas de Solución

• Un empleado independiente de la custodia de los inventarios, debería reconciliar diariamente la información sobre despachos, generada como resultado del procesamiento de las órdenes de despacho, con documentación procesada independientemente, por ejemplo, notas de pedido aprobadas por la gerencia de ventas. De esta manera se detectarían los despachos ficticios.

 Situación 5

Al realizar una prueba de facturación, los auditores observaron que los precios facturados en algunos casos no coincidían con los indicados en las listas de precios vigentes. Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido procesados, razón por la cual el archivo maestro de precios estaba desactualizado.

Alternativas de Solución

• Creación de totales de control por lotes de formularios de modificaciones y su posterior reconciliación con un listado de las modificaciones procesadas.
• Conciliación de totales de control con los acumulados por el computador referentes al contenido de campos significativos.
• Generación y revisión, por un funcionario responsable, de los listados de modificaciones procesadas.
• Generación y revisión de listados periódicos del contenido del archivo maestro de precios.

CONTROL DE SISTEMAS E INFORMÁTICA

Este control consiste en examinar los recursos, las operaciones, los beneficios y los gastos de las producciones (servicios y/o productos de los Sistemas Informáticos), de los organismos sujetos a control, con la finalidad de evaluar la eficacia y eficiencia Administrativa Técnica y/u Operacional de los organismos, en concordancia con los principios, normas, técnicas y procedimientos normalmente aceptados. Asimismo de los Sistemas (Planes, Programas y Presupuestos, Diseño, Software, Hardware, Seguridad, Respaldos y otros) adoptados por la Organización para su dinámica de gestión en salvaguarda de los Recursos del Estado.

Existe otra definición sobre el "control técnico" en materia de Sistemas e Informática, y esta se orienta a la revisión del diseño de los planes, diseños de los sistemas, la demostración de su eficacia, la supervisión de rendimientos, pruebas de productividad de la gestión - Demanda llamada "Pruebas intermedias", el análisis de resultados, niveles y medios de seguridad, respaldo, y el almacenamiento. Así mismo medición de la vida útil del Sistema Informático adoptado por la Organización bajo control.

  

Objetivos

• El control de la función informática (Sistema de Información - SI y la Tecnología de la Información - TI).
• El análisis de la eficiencia de los SI y la TI.
• La verificación del cumplimiento de la Normativa General de la Organización.
• La verificación de los Planes, Programas y Presupuestos de los Sistemas Informáticos.
• La revisión de la eficaz gestión de los recursos materiales y humanos informáticos.
• La revisión y verificación de Controles Técnicos Generales y Específicos de Operatividad.
• La revisión y verificación de las Seguridades.
1. De Cumplimiento de normas y estándares.
2. De Sistema Operativo.
3. De Seguridad de Software.
4. De Seguridad de Comunicaciones.
5. De Seguridad de Base de Datos.
6. De Seguridad de Proceso.
7. De Seguridad de Aplicaciones.
8. De Seguridad Física.
9. De Suministros y Reposiciones.
10. De Contingencias.

• El análisis del control de resultados.
• El análisis de verificación y de exposición de debilidades y disfunciones.
• 
  

CONTROL DE PROYECTOS

Permite al usuario tener un control total de los diferentes proyectos en los que está trabajando la empresa. Se activa a partir de la aceptación de una oferta, momento en el que se transfiere a los departamentos productivos implicados.

Las áreas de trabajo que recoge son:

• Planificación de los proyectos en tiempo y recursos.
• Seguimiento del proyecto por parte de los coordinadores de la empresa y el cliente.
• Control de desarrollo.
• Seguimiento post-venta.

Teniendo en cuenta que, dentro de las funciones del gerente de proyectos se encuentra la de dirigir y controlar las operaciones de ejecución de tal modo que el conjunto de acciones ejecutadas se ajusten (en tiempo, costo y calidad) a lo especificado en el proyecto, es de vital importancia para el cabal desarrollo de cualquier proyecto, que el gerente tenga la autoridad, capacidad (de liderazgo, de adaptación), sentido de equilibrio, ingenio (improvisación) y una gran facilidad de comunicación y rapidez para tomar decisiones y para controlar las tareas, teniendo presente la dificultad que esto implica, tratándose de proyectos.

Tipos de Control de proyectos

a) Control direccional

El mecanismo de control actúa antes de que la actividad este totalmente concluida. En este caso el control se realiza de modo continuo y no en puntos determinados, de modo que cada elemento de la acción sea el resultado de la rectificación casi instantánea de la acción anterior.   

En proyectos, este tipo de control se puede realizar cuando se tiene estructurado un sistema, que permita controlar los diferentes factores de manera continua.

b) Control aprobado - reprobado

En este caso, el receptor del control se somete a un examen después de concluidas determinadas actividades. En caso de aprobación se permite la realización de la actividad siguiente. Si hubiera una rectificación, el proceso se interrumpe definitivamente o hasta que se subsanen las irregularidades.

En proyectos, si se realiza este control y, se detectan fallas en alguna de las actividades, lo más recomendable es encaminarla(s) correctamente, para que no se presenten problemas posteriores.

c) Control postoperacional

El mecanismo de control sólo se pone en funcionamiento después de concluida toda la operación. La información para la acción correctiva en este tipo de control, solo se utilizara en un periodo (proyecto) futuro cuando se inicie la planificación para un nuevo ciclo de actividades. Este tipo de control se utiliza también con la finalidad de dar premios e incentivos a los agentes que participaron en la actividad.

Estos controles se pueden hacer al interior del proyecto (control por dentro) o por intermedio de firmas, externas al proyecto, especializadas en control (control por fuera). 

Vale la pena mencionar que estos tres tipos de control no son mutuamente excluyentes, sino que más bien, deben ser complementarios. La decisión de emplear un tipo aislado de control o una combinación de los tipos antes mencionados, esta en función del carácter del sistema que se desea controlar y del nivel de complejidad que se intenta introducir en los mecanismos de control.  En algunos casos, los contratistas exigen que se haga un control externo al proyecto, para asegurarse de la buena marcha del mismo.

El Mecanismo de Control (Seguimiento)

El mecanismo de control se propone permitir el seguimiento de la ejecución del Proyecto Integral y la introducción de las correcciones que resultarán de la experiencia adquirida a lo largo del mismo. Comprende: control físico, financiero, de tiempo, institucional, de objetivos.

Para la implementación, de un perfecto sistema de control, existen limitaciones, tales como:

a) Personal: Dificultad en disponer del personal entrenado, lo que obliga muchas veces a evitar un mayor grado de sofisticación en el sistema que se diseña.

b) Instalaciones: No siempre se dispone de instalaciones adecuadas, como, por ejemplo, una oficina de procesamiento de datos.

c) Tiempo: Un sistema de control perfecto exige tiempo para su implementación, lo cual no siempre se consigue. Se dispone, en general, de muy poco tiempo para programar las diferentes fases de un proyecto.

d) Costo: El costo del control es un factor limitante en lo que refiere al sistema que se va a diseñar. El costo tiende a bajar en los proyectos grandes y con el uso de programas cada vez más eficientes.

Metodología

El Control Físico: El instrumento básico del control físico es la técnica de redes.  Entre ellas tenemos:

• Red PERT/CPM/ROY integrada: Para el caso que tenga que hacer una integración (varias áreas, varios subproyectos, varios proyectos, etc.) se emplea de preferencia el ROY (red de bloques).  
• Cronograma de Gantt: Contendrá además de las duraciones de las actividades, las holguras total y libre correspondientes a cada una de ellas.

Las anteriores son sólo algunas de las herramientas utilizadas para el seguimiento en los proyectos, actualmente, existen diferentes paquetes de software para elaborar, controlar y manejar de una manera más eficiente los proyectos.

El Control Financiero: En él, se deben tener en cuenta aspectos tales como: inversiones, presupuesto, pagos, etc. Es importante tener un seguimiento detallado de las finanzas del proyecto, al fin y al cabo el perjudicado directo si se presentan desviaciones negativas,  en la mayoría de los casos, es el ejecutor de la obra.

La Evaluación de Objetivos: Se hace teniendo en cuenta el corto y el largo plazo, en este sentido, se tiene como herramienta clave el uso de indicadores de gestión a nivel financiero, tecnológico y social.   

Control Institucional: Para realizar el seguimiento en términos institucionales, por lo general, se contrata una empresa externa, para que dictamine objetivamente y no se presenten evaluaciones subjetivas. El control institucional consiste fundamentalmente en la formulación de medidas que permitan una coordinación eficiente y operativa entre los diversos organismos, para la consecución del objetivo final. Las principales medidas que se siguen son mejoramiento de los manuales básicos de normas y procedimientos, operaciones, código de servicio, entre otros.

El Equilibrio Meta/Costo o Tiempo/Costo: Para desarrollar este control, se deben diseñar indicadores, que establezcan relaciones entre los tiempos empleados en la consecución de una actividad (o las metas alcanzadas) y los gastos realmente efectuados.

El Status Index es uno de los más utilizados en este control, éste suministra información acerca de: relación tiempo/costo para una fecha determinada, tiempo y costo para la terminación del programa, áreas que presentan condiciones críticas, entre otras.

El hecho de realizar un buen control en los proyectos, conduce a una mejor utilización y a un mayor aprovechamiento tanto de los recursos físicos, como financieros, pasando por los humanos. Lo cual indica la importancia que debe tener esta parte del management en cualquier tipo de proyecto, por lo cual se debe procurar la implementación de una estructura orientada a mejorar el seguimiento y control, con miras a optimizar recursos y minimizar pérdidas.

CONCLUCION.

Concepto de Auditoria.

Examen metódico de una situación relativa a un producto, proceso u organización  en materia de calidad, realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la educación al objetivo buscado.
actividad para determinar, por medio de la investigación, la adecuación de los prometidos establecidos, instrucciones, especificaciones, codificaciones y estándares u otros requisitos, la adhesión a los mismos y la eficiencia de su implantación.

Tipos de Auditoria.

• Auditoria Financiera.
• Auditoria Organizativa.
• Auditoria de gestión.
• Auditoria Informática. 

Auditoria Informática:

Es el conjunto de técnicas  actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación  control eficacia  seguridad y adecuación del servicio informático en la empresa, por lo que comprende un examen metódico puntual y discontinuar del servicio informático  con vistas a mejor en:

• Rentabilidad.
• Seguridad.
• Eficacia.

Requisitos de Auditoria Informática.

- Debe seguir una metodología preestablecida.
- Se realiza en una fecha precisa y fija.
- Sera personal extraño al servicio de informática.

Objetivos Auditoria Interna.

• Revisión y evaluación de controles contables, financieros y operativos.
• Determinación de la utilidad de políticas, planes y procedimientos así como nivel de su cumplimiento.
• Custodia y contabilización de activos.
• Examen de la fiabilidad de los datos.
• Divulgación de políticas y procedimientos establecidos.
• Información exacta a la gerencia. 

Objetivos Auditoria Externa.

• Obtención de elementos de juicio fundamentados en la naturaleza de los echos examinados.
• Medición de la magnitud de un error ya conocido.
• Detención de errores supuestos o confirmación de la ausencia de errores.
• Propuesta de sugerencias, en tono constructivo, para ayudar a la gerencia.
• Detección de los echos importantes ocurridos tras el cierre del ejercicio.
• Control de las actividades de investigación y desarrollo. 

Metodología.

- Toma de contacto.

• Organización.
• Organigrama.
• volumen.
• Situación en el mercado.
• Estructura del departamento.
• Relaciones funcionales y jerárquicas.
• Recursos.
• Aplicaciones en desarrollo.
• Aplicaciones en producción.
• Sistema de explotación.

Metodología 2.

- Planificación.

• Concentración de objetivos.
• Área que cubrirá.
• Personas de la organización que se involucraran en el proceso de auditoria.

- Plan de trabajo.

• Tareas.
• Calendario.
• Resultados parciales.
• Presupuestos.
• Equipo auditor necesario.

Metodología 3.

- Desarrollo de la auditoria.

• Entrevistas.
• Cuestionarios.
• Observaciones de las situaciones deficientes.
• Observaciones de los procedimientos.

- Fase de diagnostico. 

• Meditación sin contacto con la empresa auditada.
• Factor decisivo sera la experiencia de equipo auditor.
• Se debe definir los puntos débiles y fuertes, los riesgos eventuales y posibles tipos de solución y mejora.

Metodología 4.

- Presentación de conclusiones.

• Se han de argumentar lo suficiente para que no puedan ser refutadas durante la discucion.
• Es especialmente delicada para el rechazo que puede provocar en la organización auditada. se debe esmerar el tacto.
• En ocasiones serán necesarias tomar decisiones desagradables, pero es misión del auditor informar ala dirección de la forma mas objetiva posible.

Metodología 5.

- Formación de plan de mejoras.

• Resumen de las deficiencias encontradas.
• Las recomendaciones encaminadas apalear las deficiencias detectadas.

- Medidas a corto plazo:

• Mejoras en plazo, calidad, planificación o formación.

- Medidas a mediano plazo:

• Mayor necesidad de recursos, optimizacion de programas o documentación o aspecto de diseño. 

- Medidas a largo plazo:

• Cambios de políticas.
• Medios y estructuras de servicio. 

- Área de planificación.

• Toda la organización se ordena mediante:

                        a) Plan estratejico.

                        b) Plan táctico.

                        c) Planes operacionales. 

- Objetivo de la auditoria informática.

• Que planes del CPD están coordinados.
• Revisar los planes de informática.
• Contrastar su nivel de realización.
• Determinar el grado de participación y responsabilidad de directivos de usuarios en la planificación.
• Participar en el poseso de planificación.
• Revisar los planes de desarrollo de software de aplicaciones.
• Revisar los procedimientos de planificación del software de base.
• Comprobar la ejecución del plan de cualquiera de sus niveles.

AREA DE ORGANIZACIÓN Y ADMINISTRACION.

OBJETOS.

Revisión del organigrama del departamento y en general de la empresa.

Comparar la estructura actual con la definida

Verificar los estándares  en documentación

Determinar los procedimientos  de dirección para hacer cumplir los criterios de documentación en procesamiento de datos

Confrontar las directrices  sobre documentos con la realidad.

Colaborar en la elaboración de nuevos documentos

REVISAR LA POLITICA PERSONAL

Grado de cumplimiento  de procedimientos generales y nivel de sometimiento a la política personal

Evaluar la distribución de funciones.

Examinar las políticas retributivas y los planes de formación

Verificar los métodos de  análisis identificación de los mismos costos

Confrontar de manera periódica presupuesto y realidad

Revisar todos los tipos de contrato que ofrecen directamente a un centro de procesamiento de datos.

DEBEMOS DE EXAMINAR LOS MODELOS DE TRABAJO:

Análisis programación, pruebas

Evaluar el grado de participación de los usuarios

Evaluar el rendimiento de los consultores externos

Conocer el grado de aceptación o satisfacción general con respecto al servicio informático

Revisar la documentación del usuario

Examinar los procedimientos usados para actualizar la documentación

Determinar el impacto de servicio de proceso de datos recibo desde fuentes externas.

Evaluar  el grado de conocimientos de los usuarios sobre los sistemas autorizados

Referencias:
Libro de auditoria

pagina web