(ERP CRM SAP) - Monografia Conceptos de Auditoria en Sistemas

Auditoría de Sistemas
www.monografias.com
CONCEPTOS DE LA AUDITORÍA DE SISTEMAS
auditoria de sistemas
Autor: Ing. Alice Naranjo S.

Prof. Universidad de Guayaquil
Facultad Filosofía-Especialidad Informática
Guayaquil-Ecuador
1
TABLA DE CONTENIDO
INTRODUCCIÓN 3
CONCEPTOS DE AUDITORÍA DE SISTEMAS........................................................................................3

TIPOS DE AUDITORÍA...................................................................................................................7
OBJETIVOS GENERALES DE UNA AUDITORÍA DE SISTEMAS................................................................10
JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORÍA DE SISTEMAS.........................................................13
CONTROLES 15
CLASIFICACIÓN GENERAL DE LOS CONTROLES.................................................................................15

CONTROLES PREVENTIVOS...........................................................................................................15
CONTROLES DETECTIVOS.............................................................................................................16
CONTROLES CORRECTIVOS..........................................................................................................17
PRINCIPALES CONTROLES FÍSICOS Y LÓGICOS.................................................................................17
CONTROLES AUTOMÁTICOS O LÓGICOS..........................................................................................22
CONTROLES ADMINISTRATIVOS EN UN AMBIENTE DE PROCESAMIENTO DE DATOS..................................28
CONTROLES DE PREINSTALACIÓN...................................................................................................29
CONTROLES DE ORGANIZACIÓN Y PLANIFICACIÓN..............................................................................32
CONTROLES DE SISTEMA EN DESARROLLO Y PRODUCCIÓN..................................................................36
CONTROLES DE PROCESAMIENTO...................................................................................................40
CONTROLES DE OPERACIÓN.........................................................................................................42
CONTROLES EN EL USO DEL MICROCOMPUTADOR..............................................................................47
ANÁLISIS DE CASOS DE CONTROLES ADMINISTRATIVOS......................................................................51
Alternativas de Solución........................................................................................ .....................53
METODOLOGÍA DE UNA AUDITORÍA DE SISTEMAS............................................................................66
CASO PRÁCTICO........................................................................................................................70
2
Introducción
Conceptos de Auditoría de Sistemas
La palabra auditoría viene del latín auditorius y de
esta proviene auditor, que tiene la virtud de oir y
revisar cuentas, pero debe estar encaminado a un
objetivo específico que es el de evaluar la eficiencia
y eficacia con que se está operando para que, por
medio del señalamiento de cursos alternativos de
acción, se tomen decisiones que permitan corregir
los errores, en caso de que existan, o bien mejorar
la forma de actuación.
Algunos autores proporcionan otros conceptos pero
todos coinciden en hacer énfasis en la revisión,
evaluación y elaboración de un informe para el
3
ejecutivo encaminado a un objetivo específico en el
ambiente computacional y los sistemas.
A continuación se detallan algunos conceptos
recogidos de algunos expertos en la materia:
Auditoría de Sistemas es:
• La verificación de controles en el procesamiento
de la información, desarrollo de sistemas e
instalación con el objetivo de evaluar su
efectividad y presentar recomendaciones a la
Gerencia.
• La actividad dirigida a verificar y juzgar
información.
• El examen y evaluación de los procesos del Area
de Procesamiento automático de Datos (PAD) y
de la utilización de los recursos que en ellos
4
intervienen, para llegar a establecer el grado de
eficiencia, efectividad y economía de los sistemas
computarizados en una empresa y presentar
conclusiones y recomendaciones encaminadas a
corregir las deficiencias existentes y mejorarlas.
• El proceso de recolección y evaluación de
evidencia para determinar si un sistema
automatizado:
Daños
Salvaguarda activos Destrucción
Uso no autorizado
Robo
Mantiene Integridad de Información Precisa,
los datos Completa
Oportuna
5
Confiable
Alcanza metas Contribución de la
organizacionales función informática
Consume recursos Utiliza los recursos
adecuadamente
eficientemente en el procesamiento de la
información
• Es el examen o revisión de carácter objetivo
(independiente), crítico(evidencia), sistemático
(normas), selectivo (muestras) de las políticas,
normas, prácticas, funciones, procesos,
procedimientos e informes relacionados con los
sistemas de información computarizados, con el
6
fin de emitir una opinión profesional (imparcial)
con respecto a:
 Eficiencia en el uso de los recursos
informáticos
 Validez de la información
 Efectividad de los controles establecidos
Tipos de Auditoría
Existen algunos tipos de auditoría entre las que la
Auditoría de Sistemas integra un mundo paralelo
pero diferente y peculiar resaltando su enfoque a la
función informática.
Es necesario recalcar como análisis de este cuadro
que Auditoría de Sistemas no es lo mismo que
Auditoría Financiera.
7
Entre los principales enfoques de Auditoría tenemos
los siguientes:
Financiera Veracidad de estados financieros
Preparación de informes de acuerdo a
principios contables
Evalúa la eficiencia,
Operacional Eficacia
Economía
de los métodos y procedimientos que rigen
un proceso de una empresa
Sistemas Se preocupa de la función informática
Fiscal Se dedica a observar el cumplimiento
de
8
las leyes fiscales
Administrativa Analiza:
Logros de los objetivos de la
Administración
Desempeño de funciones
administrativas
Evalúa:
Calidad Métodos
Mediciones
Controles
de los bienes y servicios
Revisa la contribución a la sociedad
Social así como la participación en
actividades
9
socialmente orientadas
Objetivos Generales de una Auditoría de

Sistemas
 Buscar una mejor relación costo-beneficio de los
sistemas automáticos o computarizados
diseñados e implantados por el PAD
 Incrementar la satisfacción de los usuarios de los
sistemas computarizados
 Asegurar una mayor integridad, confidencialidad y
confiabilidad de la información mediante la
recomendación de seguridades y controles.
10
 Conocer la situación actual del área informática y
las actividades y esfuerzos necesarios para lograr
los objetivos propuestos.
 Seguridad de personal, datos, hardware, software
e instalaciones
 Apoyo de función informática a las metas y
objetivos de la organización
 Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informático
 Minimizar existencias de riesgos en el uso de
Tecnología de información
 Decisiones de inversión y gastos innecesarios
11
 Capacitación y educación sobre controles en los
Sistemas de Información
12
Justificativos para efectuar una Auditoría de

Sistemas
 Aumento considerable e injustificado del
presupuesto del PAD (Departamento de
Procesamiento de Datos)
 Desconocimiento en el nivel directivo de la
situación informática de la empresa
 Falta total o parcial de seguridades lógicas y
fisicas que garanticen la integridad del personal,
equipos e información.
 Descubrimiento de fraudes efectuados con el
computador
13
 Falta de una planificación informática
 Organización que no funciona correctamente, falta
de políticas, objetivos, normas, metodología,
asignación de tareas y adecuada administración
del Recurso Humano
 Descontento general de los usuarios por
incumplimiento de plazos y mala calidad de los
resultados
 Falta de documentación o documentación
incompleta de sistemas que revela la dificultad de
efectuar el mantenimiento de los sistemas en
producción
14
Controles
Conjunto de disposiciones metódicas, cuyo fin es
vigilar las funciones y actitudes de las empresas y
para ello permite verificar si todo se realiza
conforme a los programas adoptados, ordenes
impartidas y principios admitidos.
Clasificación general de los controles
• Controles Preventivos
Son aquellos que reducen la frecuencia con que
ocurren las causas del riesgo, permitiendo cierto
margen de violaciones .
15
Ejemplos: Letrero “No fumar” para salvaguardar
las instalaciones
Sistemas de claves de acceso
• Controles detectivos
Son aquellos que no evitan que ocurran las causas
del riesgo sino que los detecta luego de ocurridos.
Son los mas importantes para el auditor. En cierta
forma sirven para evaluar la eficiencia de los
controles preventivos.
Ejemplo:Archivos y procesos que sirvan como pistas
de auditoría
Procedimientos de validación
16
• Controles Correctivos
Ayudan a la investigación y corrección de las causas
del riesgo. La corrección adecuada puede resultar
dificil e ineficiente, siendo necesaria la implantación
de controles detectivos sobre los controles
correctivos, debido a que la corrección de errores es
en si una actividad altamente propensa a errores.
Principales Controles físicos y lógicos
Controles particulares tanto en la parte fisica como
en la lógica se detallan a continuación
Autenticidad
Permiten verificar la identidad
1. Passwords
17
2. Firmas digitales
Exactitud
Aseguran la coherencia de los datos
1. Validación de campos
2. Validación de excesos
Totalidad
Evitan la omisión de registros así como garantizan la
conclusión de un proceso de envio
1. Conteo de regitros
2. Cifras de control
Redundancia
Evitan la duplicidad de datos
18
1. Cancelación de lotes
2. Verificación de secuencias
Privacidad
Aseguran la protección de los datos
1. Compactación
2. Encriptación
Existencia
Aseguran la disponibilidad de los datos
1. Bitácora de estados
2. Mantenimiento de activos
Protección de Activos
19
Destrucción o corrupción de información o del
hardware
1. Extintores
2. Passwords
Efectividad
Aseguran el logro de los objetivos
1. Encuestas de satisfacción
2. Medición de niveles de servicio
Eficiencia
Aseguran el uso óptimo de los recursos
1. Programas monitores
20
2. Análisis costo-beneficio
21
Controles automáticos o lógicos
Periodicidad de cambio de claves de acceso
Los cambios de las claves de acceso a los
programas se deben realizar periódicamente.
Normalmente los usuarios se acostumbran a
conservar la misma clave que le asignaron
inicialmente.
El no cambiar las claves periódicamente aumenta la
posibilidad de que personas no autorizadas
conozcan y utilicen claves de usuarios del sistema
de computación.
Por lo tanto se recomienda cambiar claves por lo
menos trimestralmente.
22
Combinación de alfanuméricos en claves de
acceso
No es conveniente que la clave este compuesta por
códigos de empleados, ya que una persona no
autorizada a través de pruebas simples o de
deducciones puede dar con dicha clave.
Para redefinir claves es necesario considerar los
tipos de claves que existen:
Individuales
Pertenecen a un solo usuario, por tanto es individual
y personal. Esta clave permite al momento de
efectuar las transacciones registrar a los
responsables de cualquier cambio.
23
Confidenciales
De forma confidencial los usuarios deberán ser
instruidos formalmente respecto al uso de las
claves.
No significativas
Las claves no deben corresponder a números
secuenciales ni a nombres o fechas.
Verificación de datos de entrada
Incluir rutinas que verifiquen la compatibilidad de los
datos mas no su exactitud o precisión; tal es el caso
de la validación del tipo de datos que contienen los
24
campos o verificar si se encuentran dentro de un
rango.
Conteo de registros
Consiste en crear campos de memoria para ir
acumulando cada registro que se ingresa y verificar
con los totales ya registrados.
Totales de Control
Se realiza mediante la creación de totales de linea,
columnas, cantidad de formularios, cifras de control,
etc. , y automáticamente verificar con un campo en
el cual se van acumulando los registros, separando
solo aquellos formularios o registros con diferencias.
25
Verficación de limites
Consiste en la verificación automática de tablas,
códigos, limites mínimos y máximos o bajo
determinadas condiciones dadas previamente.
Verificación de secuencias
En ciertos procesos los registros deben observar
cierta secuencia numerica o alfabetica, ascendente
o descendente, esta verificacion debe hacerse
mediante rutinas independientes del programa en si.
Dígito autoerificador
Consiste en incluir un dígito adicional a una
codificación, el mismo que es resultado de la
aplicación de un algoritmo o formula, conocido como
26
MODULOS, que detecta la corrección o no del
código. Tal es el caso por ejemplo del decimo dígito
de la cédula de identidad, calculado con el modulo
10 o el ultimo dígito del RUC calculado con el
módulo 11.
Utilizar software de seguridad en los
microcomputadores
El software de seguridad permite restringir el acceso
al microcomputador, de tal modo que solo el
personal autorizado pueda utilizarlo.
Adicionalmente, este software permite reforzar la
segregación de funciones y la confidencialidad de la
información mediante controles para que los
27
usuarios puedan accesar solo a los programas y
datos para los que están autorizados.
Programas de este tipo son: WACHDOG,
LATTICE,SECRET DISK, entre otros.
Controles administrativos en un ambiente de

Procesamiento de Datos
La máxima autoridad del Area de Informática de una
empresa o institución debe implantar los siguientes
controles que se agruparan de la siguiente forma:
1.- Controles de Preinstalación
2.- Controles de Organización y Planificación
3.- Controles de Sistemas en Desarrollo y
Producción
4.- Controles de Procesamiento
28
5.- Controles de Operación
6.- Controles de uso de Microcomputadores
• Controles de Preinstalación
Hacen referencia a procesos y actividades previas a
la adquisición e instalación de un equipo de
computación y obviamente a la automatización de
los sistemas existentes.
29
Objetivos:
Garantizar que el hardware y software se
adquieran siempre y cuando tengan la seguridad
de que los sistemas computarizados
proporcionaran mayores beneficios que cualquier
otra alternativa.
Garantizar la selección adecuada de equipos y
sistemas de computación
Asegurar la elaboración de un plan de actividades
previo a la instalación
Acciones a seguir:
30
Elaboración de un informe técnico en el que se
justifique la adquisición del equipo, software y
servicios de computación, incluyendo un estudio
costo-beneficio.
Formación de un comité que coordine y se
responsabilice de todo el proceso de adquisición e
instalación
Elaborar un plan de instalación de equipo y
software (fechas, actividades, responsables) el
mismo que debe contar con la aprobación de los
proveedores del equipo.
Elaborar un instructivo con procedimientos a
seguir para la selección y adquisición de equipos,
programas y servicios computacionales. Este
31
proceso debe enmarcarse en normas y
disposiciones legales.
Efectuar las acciones necesarias para una mayor
participación de proveedores.
Asegurar respaldo de mantenimiento y asistencia
técnica.
• Controles de organización y Planificación
Se refiere a la definición clara de funciones, linea de
autoridad y responsabilidad de las diferentes
unidades del área PAD, en labores tales como:
1. Diseñar un sistema
32
2. Elaborar los programas
3. Operar el sistema
4. Control de calidad
Se debe evitar que una misma persona tenga el
control de toda una operación.
Es importante la utilización óptima de recursos en el
PAD mediante la preparación de planes a ser
evaluados continuamente
33
Acciones a seguir
La unidad informática debe estar al mas alto nivel
de la pirámide administrativa de manera que
cumpla con sus objetivos, cuente con el apoyo
necesario y la dirección efectiva.
Las funciones de operación, programación y
diseño de sistemas deben estar claramente
delimitadas.
Deben existir mecanismos necesarios a fin de
asegurar que los programadores y analistas no
tengan acceso a la operación del computador y
los operadores a su vez no conozcan la
documentación de programas y sistemas.
34
Debe existir una unidad de control de calidad,
tanto de datos de entrada como de los resultado
del procesamiento.
El manejo y custodia de dispositivos y archivos
magnéticos deben estar expresamente definidos
por escrito.
Las actividades del PAD deben obedecer a
planificaciones a corto, mediano y largo plazo
sujetos a evaluación y ajustes periódicos “Plan
Maestro de Informática”
Debe existir una participación efectiva de
directivos, usuarios y personal del PAD en la
35
planificación y evaluación del cumplimiento del
plan.
Las instrucciones deben impartirse por escrito.
• Controles de Sistema en Desarrollo y

Producción
Se debe justificar que los sistemas han sido la mejor
opción para la empresa, bajo una relación costo-
beneficio que proporcionen oportuna y efectiva
información, que los sistemas se han desarrollado
bajo un proceso planificado y se encuentren
debidamente documentados.
Acciones a seguir:
36
Los usuarios deben participar en el diseño e
implantación de los sistemas pues aportan
conocimiento y experiencia de su área y esta
actividad facilita el proceso de cambio
El personal de auditoría interna/control debe
formar parte del grupo de diseño para sugerir y
solicitar la implantación de rutinas de control
El desarrollo, diseño y mantenimiento de sistemas
obedece a planes específicos, metodologías
estándares, procedimientos y en general a
normatividad escrita y aprobada.
Cada fase concluida debe ser aprobada
documentadamente por los usuarios mediante
37
actas u otros mecanismos a fin de evitar reclamos
posteriores.
Los programas antes de pasar a Producción
deben ser probados con datos que agoten todas
las excepciones posibles.
Todos los sistemas deben estar debidamente
documentados y actualizados. La documentación
deberá contener:
Informe de factibilidad
Diagrama de bloque
Diagrama de lógica del programa
Objetivos del programa
Listado original del programa y versiones que
incluyan los cambios efectuados con
38
antecedentes de pedido y aprobación de
modificaciones
Formatos de salida
Resultados de pruebas realizadas
Implantar procedimientos de solicitud, aprobación
y ejecución de cambios a programas, formatos de
los sistemas en desarrollo.
El sistema concluido sera entregado al usuario
previo entrenamiento y elaboración de los
manuales de operación respectivos
39
• Controles de Procesamiento
Los controles de procesamiento se refieren al ciclo
que sigue la información desde la entrada hasta la
salida de la información, lo que conlleva al
establecimiento de una serie de seguridades para:
Asegurar que todos los datos sean procesados
Garantizar la exactitud de los datos procesados
Garantizar que se grabe un archivo para uso de la
gerencia y con fines de auditoría
Asegurar que los resultados sean entregados a
los usuarios en forma oportuna y en las mejores
condiciones.
Acciones a seguir:
40
Validación de datos de entrada previo
procesamiento debe ser realizada en forma
automática: clave, dígito autoverificador, totales
de lotes, etc.
Preparación de datos de entrada debe ser
responsabilidad de usuarios y consecuentemente
su corrección.
Recepción de datos de entrada y distribución de
información de salida debe obedecer a un horario
elaborado en coordinación con el usuario,
realizando un debido control de calidad.
Adoptar acciones necesaria para correcciones de
errores.
41
Analizar conveniencia costo-beneficio de
estandarización de formularios, fuente para
agilitar la captura de datos y minimizar errores.
Los procesos interactivos deben garantizar una
adecuada interrelación entre usuario y sistema.
Planificar el mantenimiento del hardware y
software, tomando todas las seguridades para
garantizar la integridad de la información y el buen
servicio a usuarios.
• Controles de Operación
Abarcan todo el ambiente de la operación del equipo
central de computación y dispositivos de
42
almacenamiento, la administración de la cintoteca y
la operación de terminales y equipos de
comunicación por parte de los usuarios de sistemas
on line.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que
puedan ocurrir en el Centro de Cómputo durante
un proceso
Evitar o detectar el manejo de datos con fines
fraudulentos por parte de funcionarios del PAD
Garantizar la integridad de los recursos
informáticos.
Asegurar la utilización adecuada de equipos
acorde a planes y objetivos.
Personal
Hardware
43
Recursos Software
Informáticos Datos
Instalaciones
Acciones a seguir:
El acceso al centro de computo debe contar con
las seguridades necesarias para reservar el
ingreso al personal autorizado
Implantar claves o password para garantizar
operación de consola y equipo central
(mainframe), a personal autorizado.
44
Formular políticas respecto a seguridad,
privacidad y protección de las facilidades de
procesamiento ante eventos como: incendio,
vandalismo, robo y uso indebido, intentos de
violación y como responder ante esos eventos.
Mantener un registro permanente (bitácora) de
todos los procesos realizados, dejando constancia
de suspensiones o cancelaciones de procesos.
Los operadores del equipo central deben estar
entrenados para recuperar o restaurar información
en caso de destrucción de archivos.
Los backups no deben ser menores de dos
(padres e hijos) y deben guardarse en lugares
45
seguros y adecuados, preferentemente en
bóvedas de bancos.
Se deben implantar calendarios de operación a fin
de establecer prioridades de proceso.
Todas las actividades del Centro de Computo
deben normarse mediante manuales, instructivos,
normas, reglamentos, etc.
El proveedor de hardware y software deberá
proporcionar lo siguiente:
Manual de operación de equipos
Manual de lenguaje de programación
Manual de utilitarios disponibles
Manual de Sistemas operativos
46
Las instalaciones deben contar con sistema de
alarma por presencia de fuego, humo, asi como
extintores de incendio, conexiones eléctricas
seguras, entre otras.
Instalar equipos que protejan la información y los
dispositivos en caso de variación de voltaje como:
reguladores de voltaje, supresores pico, UPS,
generadores de energía.
Contratar pólizas de seguros para proteger la
información, equipos, personal y todo riesgo que
se produzca por casos fortuitos o mala operación.
• Controles en el uso del Microcomputador
47
Es la tarea mas difícil pues son equipos mas
vulnerables, de fácil acceso, de fácil explotación
pero los controles que se implanten ayudaran a
garantizar la integridad y confidencialidad de la
información.
Acciones a seguir:
Adquisicion de equipos de protección como
supresores de pico, reguladores de voltaje y de
ser posible UPS previo a la adquisición del equipo
Vencida la garantía de mantenimiento del
proveedor se debe contratar mantenimiento
preventivo y correctivo.
48
Establecer procedimientos para obtención de
backups de paquetes y de archivos de datos.
Revisión periódica y sorpresiva del contenido del
disco para verificar la instalación de aplicaciones
no relacionadas a la gestión de la empresa.
Mantener programas y procedimientos de
detección e inmunización de virus en copias no
autorizadas o datos procesados en otros equipos.
Propender a la estandarización del Sistema
Operativo, software utilizado como procesadores
de palabras, hojas electrónicas, manejadores de
base de datos y mantener actualizadas las
versiones y la capacitación sobre modificaciones
incluidas.
49
Analizados los distintos tipos de controles que se
aplican en la Auditoría de Sistemas efectuaremos a
continuación el análisis de casos de situaciones
hipotéticas planteadas como problemáticas en
distintas empresas , con la finalidad de efectuar el
análisis del caso e identificar las acciones que se
deberían implementar .
50
• Análisis de Casos de Controles Administrativos
Controles sobre datos fijos
Lea cada situación atentamente y
1.- Enuncie un control que hubiera prevenido el
problema o posibilitado su detección.
2.- Identifique uno o más controles alternativos que
hubieran ayudado a prevenir o a detectar el
problema.
51
Situación 1
Un empleado del grupo de control de datos obtuvo
un formulario para modificaciones al archivo
maestro de proveedores (en blanco) y lo completo
con el código y nombre de un proveedor ficticio,
asignándole como domicilio el numero de una casilla
de correo que previamente había abierto a su
nombre.
Su objetivo era que el sistema emitiera cheques a la
orden del referido proveedor, y fueran luego
remitidos a la citada casilla de correo.
52
Cuando el listado de modificaciones al archivo
maestro de proveedores (impreso por esta única
modificación procesada en la oportunidad ) le fue
enviado para su verificación con los datos de
entrada, procedió a destruirlo.
Alternativas de Solución
Los formularios para modificarse a los archivos

maestros deberían ser prenumerados; el
departamento usuario respectivo debería
controlar su secuencia numérica.
Los listados de modificaciones a los archivos

maestros no sólo deberían listar los cambios
recientemente procesados, sino también contener
totales de control de los campos
importantes,(número de registros, suma de
campos importantes, fecha de la última
modificación ,etc.) que deberían ser reconciliados
por los departamentos usuarios con los listados
anteriores.
53
Situación 2
Al realizar una prueba de facturación los auditores
observaron que los precios facturados en algunos
casos no coincidían con los indicados en las listas
de precios vigente. Posteriormente se comprobó
que ciertos cambios en las listas de precios no
habían sido procesados, razón por la cual el archivo
maestro de precios estaba desactualizado.
 Uso de formularios prenumerados para

modificaciones y controles programados
diseñado para detectar alteraciones en la
secuencia numérica de los mismos.
54
Creación de totales de control por lotes de

formularios de modificaciones y su posterior
reconciliación con un listado de las modificaciones
procesadas.
Conciliación de totales de control de campos

significativos con los acumulados por el
computador.
Generación y revisión de los listados de

modificaciones procesadas por un delegado
responsable.
Revisión de listados periódicos del contenido del

archivo maestro de precios.
55
Situación 3
El operador del turno de la noche, cuyos
conocimientos de programación eran mayores de
los que los demás suponían, modifico (por consola)
al archivo maestro de remuneraciones a efectos de
lograr que se abonara a una remuneración más
elevada a un operario del área de producción con el
cual estaba emparentado. El fraude fue descubierto
accidentalmente varios meses después.
Preparación de totales de control del usuario y

reconciliación con los acumulados del campo
remuneraciones, por el computador.
Aplicación de control de límites de razonabilidad.
56
Situación 4
XX Inc. Es un mayorista de equipos de radio que

comercializa sus equipos a través de una vasta red
de representantes. Sus clientes son minoristas
locales y del exterior; algunos son considerados “
clientes especiales”, debido al volumen de sus
compras, y los mismos son atendidos directamente
por los supervisores de ventas. Los clientes
especiales no se incrementan por lo general, en la
misma proporción que aquellas facturadas a los
clientes especiales.
Al incrementarse los precios, el archivo maestro de

precios y condiciones de venta a clientes especiales
no es automáticamente actualizado; los propios
supervisores estipulan qué porción del incremento
se aplica a cada uno de los clientes especiales.
El 2 de mayo de 1983 la compañía incrementó sus

precios de venta en un 23%; el archivo maestro de
57
precios y condiciones de venta a clientes comunes

fue actualizado en dicho porcentaje.
En lo que atañe a los clientes especiales, algunos

supervisores incrementaron los precios en el
referido porcentaje, en tanto que otros -por razones
comerciales- recomendaron incrementos inferiores
que oscilaron entre un 10% y un 20%. Estos nuevos
precios de venta fueron informados a la oficina
central por medio de formularios de datos de
entrada, diseñados al efecto, procediéndose a la
actualización del archivo maestro.
En la oportunidad, uno de los supervisores acordó

con uno de sus clientes especiales no incrementar
los precios de venta (omitió remitir el citado
formulario para su procesamiento) a cambio de una
“comisión’’ del 5% de las ventas.
Ningún funcionario en la oficina central detectó la no

actualización de los precios facturados a referido
cliente razón por la cual la compañía se vio
perjudicada por el equivalente a US$ 50.000. El
58
fraude fue descubierto accidentalmente,

despidiéndose al involucrado, pero no se
interrumpió la relación comercial.
La empresa debería actualizar el archivo

maestro de precios y condiciones de venta
aplicando la totalidad del porcentaje de
incremento.
Los supervisores de venta deberían remitir

formularios de entrada de datos transcribiendo
los descuentos propuestos para clientes
especiales.
Los formularios deberían ser prenumerados,

controlados y aprobados, antes de su
procesamiento, por funcionarios competentes en
la oficina central.
Debe realizarse una revisión critica de listados de

excepción emitidos con la nómina de aquellos
clientes cuyos precios de venta se hubiesen
incrementado en menos de un determinado
porcentaje.
59
Situación 5
Un empleado del almacén de productos terminados
ingresos al computador ordenes de despacho
ficticias, como resultado de las cuales se
despacharon mercaderías a clientes inexistentes.
Esta situación fue descubierta hasta que los
auditores realizaron pruebas de cumplimientos y
comprobaron que existían algunos despachos no
autorizados.
Un empleado independiente de la custodia de los

inventarios debería reconciliar diariamente la
información sobre despachos generada como
resultado del procesamiento de las órdenes de
60
despacho, con documentación procesada

independientemente, por ejemplo, notas de
pedido aprobadas por la gerencia de ventas.
De esta manera se detectarían los despachos

ficticios.
61
Situación 6
Al realizar una prueba de facturación, los auditores
observaron que los precios facturados en algunos
casos no coincidían con los indicados en las listas
de precios vigentes. Posteriormente se comprobó
que ciertos cambios en las listas de precios no
habían sido procesados, razón por la cual el archivo
maestro de precios estaba desactualizado.
Creación de totales de control por lotes de

formularios de modificaciones y su posterior
reconciliación con un listado de las modificaciones
procesadas.
62
Conciliación de totales de control con los

acumulados por el computador referentes al
contenido de campos significativos.
Generación y revisión, por un funcionario

responsable, de los listados de modificaciones
procesadas.
Generación y revisión de listados periódicos del

contenido del archivo maestro de precios.
63
Situación 7
Una cobranza en efectivo a un cliente registrada
claramente en el correspondiente recibo como de $
18,01, fue ingresada al computador por $ 1.801
según surge del listado diario de cobranzas en
efectivo.
Contraloría/Auditoría debería preparar y conservar

totales de control de los lotes de recibos por
cobranzas en efectivo. Estos totales deberian ser
luego comparados con los totales según el
listado diario de cobranzas en efectivo.
Un test de razonabilidad asumiendo que un pago

de $361.300 está definido como no razonable.
Comparación automática de los pagos recibidos

con las facturas pendientes por el número de
factura y rechazar o imprimir aquellas
discrepancias significativas o no razonables.
64
Efectuar la Doble digitación de campos criticos

tales como valor o importe.
65
Metodología de una Auditoría de Sistemas
Existen algunas metodologías de Auditorías de
Sistemas y todas depende de lo que se pretenda
revisar o analizar, pero como estándar analizaremos
las cuatro fases básicas de un proceso de revisión:
• Estudio preliminar
• Revisión y evaluación de controles y seguridades
• Examen detallado de áreas criticas
• Comunicación de resultados
Estudio preliminar.- Incluye definir el grupo de
trabajo, el programa de auditoría, efectuar visitas a
la unidad informática para conocer detalles de la
misma, elaborar un cuestionario para la obtención
66
de información para evaluar preliminarmente el
control interno, solicitud de plan de actividades,
Manuales de políticas, reglamentos, Entrevistas con
los principales funcionarios del PAD.
Revisión y evaluación de controles y
seguridades.- Consiste de la revisión de los
diagramas de flujo de procesos, realización de
pruebas de cumplimiento de las seguridades,
revisión de aplicaciones de las áreas criticas,
Revisión de procesos históricos (backups), Revisión
de documentación y archivos, entre otras
actividades.
Examen detallado de áreas criticas.-Con las fases
anteriores el auditor descubre las áreas criticas y
sobre ellas hace un estudio y análisis profundo en
67
los que definirá concretamente su grupo de trabajo y
la distribución de carga del mismo, establecerá los
motivos, objetivos, alcance Recursos que usara,
definirá la metodología de trabajo, la duración de la
auditoría, Presentará el plan de trabajo y analizara
detalladamente cada problema encontrado con todo
lo anteriormente analizado en este folleto.
Comunicación de resultados.- Se elaborara el
borrador del informe a ser discutido con los
ejecutivos de la empresa hasta llegar al informe
definitivo, el cual presentara esquemáticamente en
forma de matriz, cuadros o redacción simple y
concisa que destaque los problemas encontrados ,
los efectos y las recomendaciones de la Auditoría.
El informe debe contener lo siguiente:
68
• Motivos de la Auditoría
• Objetivos
• Alcance
• Estructura Orgánico-Funcional del área
Informática
• Configuración del Hardware y Software instalado
• Control Interno
• Resultados de la Auditoría
69
• Caso Práctico
A continuación se presenta una política en

Informática establecida como propuesta a fin de
ilustrar el trabajo realizado de una auditoría de
sistemas enfocada en los controles de Organización
y planificación.
Esta política fue creada con la finalidad de que

satisfaga a un grupo de empresas jurídicamente
establecidas con una estructura departamental del
Area de Sistemas integrada por: Dirección ,
Subdirección, Jefes Departamentales del Area de
Sistemas en cada una de las empresas que
pertenecen al grupo.
Así mismo los Departamentos que la componen

son: Departamento de Desarrollo de Sistemas y
Producción, Departamento de Soporte Técnico y
Departamento de Redes/ Comunicaciones,
Departamento de Desarrollo de Proyectos.
Para el efecto se ha creado una Administración de

Sistemas que efectúa reuniones periódicas a fin de
regular y normar el funcionamiento del área de
Sistemas y un Comité en el que participan personal
del área de Sistemas y personal administrativo.
70
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Fecha de Vigencia Ultima Revisión Vto. Bno. Vto. Bno.
Cargo Cargo
POLÍTICAS EN INFORMÁTICA
TITULO I
DISPOSICIONES GENERALES
ARTICULO 1°.- El presente ordenamiento tiene por

objeto estandarizar y contribuir al desarrollo
informático de las diferentes unidades administrativas
de la Empresa NN.
ARTICULO 2°.- Para los efectos de este instrumento

se entenderá por:
Comité: Al equipo integrado por la Dirección ,

Subdirección, los Jefes departamentales y el
personal administrativo de las diferentes unidades
administrativas (Ocasionalmente) convocado para
fines específicos como:
Adquisiciones de Hardware y software

Establecimiento de estándares de la Empresa
NN tanto de hardware como de software
Establecimiento de la Arquitectura tecnológica de
grupo.
1
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
Establecimiento de lineamientos para concursos

de ofertas
Administración de Informática: Está integrada

por la Dirección, Subdirección y Jefes
Departamentales, las cuales son responsables de:
Velar por el funcionamiento de la tecnología

informática que se utilice en las diferentes
unidades administrativas
Elaborar y efectuar seguimiento del Plan Maestro
de Informática
Definir estrategias y objetivos a corto, mediano y
largo plazo
Mantener la Arquitectura tecnológica
Controlar la calidad del servicio brindado
Mantener el Inventario actualizado de los
recursos informáticos
Velar por el cumplimiento de las Políticas y
Procedimientos establecidos.
ARTICULO 3°.- Para los efectos de este documento,

se entiende por Políticas en Informática, al conjunto
de reglas obligatorias, que deben observar los Jefes
de Sistemas responsables del hardware y software
2
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
existente en la Empresa NN, siendo responsabilidad

de la Administración de Informática, vigilar su estricta
observancia en el ámbito de su competencia,
tomando las medidas preventivas y correctivas para
que se cumplan.
ARTICULO 4°.- Las Políticas en Informática son el

conjunto de ordenamientos y lineamientos
enmarcados en el ámbito jurídico y administrativo de
la Empresa NN. Estas normas inciden en la
adquisición y el uso de los Bienes y Servicios
Informáticos en la Empresa NN, las cuales se
deberán de acatar invariablemente, por aquellas
instancias que intervengan directa y/o indirectamente
en ello.
ARTICULO 5°.- La instancia rectora de los sistemas

de informática de la Empresa NN es la
Administración, y el organismo competente para la
aplicación de este ordenamiento, es el Comité.
3
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
ARTICULO 6°.- Las presentes Políticas aquí

contenidas, son de observancia para la adquisición y
uso de bienes y servicios informáticos, en la
Empresa NN, cuyo incumplimiento generará que se
incurra en responsabilidad administrativa;
sujetándose a lo dispuesto en la sección
Responsabilidades Administrativas de Sistemas.
ARTICULO 7°.- Las empresas de la Empresa NN

deberán contar con un Jefe o responsable del Area
de Sistemas, en el que recaiga la administración de
los Bienes y Servicios, que vigilará la correcta
aplicación de los ordenamientos establecidos por el
Comité y demás disposiciones aplicables.
TITULO II
LINEAMIENTOS PARA LA ADQUISICION DE

BIENES DE INFORMATICA
ARTICULO 8°.- Toda adquisición de tecnología

informática se efectúa a través del Comité, que está
conformado por el personal de la Administración de
Informática y Gerente Administrativo de la unidad
solicitante de bienes o servicios informáticos.
4
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
ARTICULO 9°.- La adquisición de Bienes de

Informática en la Empresa NN, quedará sujeta a los
lineamientos establecidos en este documento.
ARTICULO 10°.- La Administración de Informática, al

planear las operaciones relativas a la adquisición de
Bienes informáticos, establecerá prioridades y en su
selección deberá tomar en cuenta: estudio técnico,
precio, calidad, experiencia, desarrollo tecnológico,
estándares y capacidad, entendiéndose por:
 Precio.- Costo inicial, costo de mantenimiento y

consumibles por el período estimado de uso de los
equipos;
 Calidad.- Parámetro cualitativo que especifica las
características técnicas de los recursos
informáticos.
 Experiencia.- Presencia en el mercado nacional e
internacional, estructura de servicio, la
confiabilidad de los bienes y certificados de calidad
con los que se cuente;
 Desarrollo Tecnológico.- Se deberá analizar su
grado de obsolescencia, su nivel tecnológico con
respecto a la oferta existente y su permanencia en
el mercado;
5
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
 Estándares.- Toda adquisición se basa en los

estándares, es decir la arquitectura de grupo
empresarial establecida por el Comité. Esta
arquitectura tiene una permanencia mínima de dos
a cinco años.
 Capacidades.- Se deberá analizar si satisface la
demanda actual con un margen de holgura y
capacidad de crecimiento para soportar la carga de
trabajo del área.
ARTICULO 11°.- Para la adquisición de Hardware se

observará lo siguiente:
a) El equipo que se desee adquirir deberá estar

dentro de las listas de ventas vigentes de los
fabricantes y/o distribuidores del mismo y dentro de
los estándares de la Empresa NN.
b) Deberán tener un año de garantía como mínimo
c) Deberán ser equipos integrados de fábrica o
ensamblados con componentes previamente
evaluados por el Comité.
d) La marca de los equipos o componentes deberá
contar con presencia y permanencia demostrada
en el mercado nacional e internacional, así como
con asistencia técnica y refaccionaria local.
6
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
e) Tratándose de equipos microcomputadoras, a fin

de mantener actualizado la arquitectura
informático de la Empresa NN, el Comité emitirá
periódicamente las especificaciones técnicas
mínimas para su adquisición.
f) Los dispositivos de almacenamiento, así como
las interfaces de entrada/salida, deberán estar
acordes con la tecnología de punta vigente, tanto
en velocidad de transferencia de datos, como en el
ciclo del proceso.
g) Las impresoras deberán apegarse a los
estándares de Hardware y Software vigentes en el
mercado y la Empresa NN, corroborando que los
suministros (cintas, papel, etc.) se consigan
fácilmente en el mercado y no estén sujetas a un
solo proveedor.
h) Conjuntamente con los equipos, se deberá
adquirir el equipo complementario adecuado para
su correcto funcionamiento de acuerdo con las
especificaciones de los fabricantes, y que esta
adquisición se manifieste en el costo de la partida
inicial.
i)Los equipos complementarios deberán tener una
garantía mínima de un año y deberán contar con el
servicio técnico correspondiente en el país.
7
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
j) Los equipos adquiridos deben contar, de

preferencia con asistencia técnica durante la
instalación de los mismos.
k) En lo que se refiere a los computadores
denominados servidores, equipo de
comunicaciones como enrutadores y
concentradores de medios, y otros que se
justifiquen por ser de operación crítica y/o de alto
costo; al vencer su período de garantía, deben de
contar con un programa de mantenimiento
preventivo y correctivo que incluya el suministro de
refacciones.
l) En lo que se refiere a los computadores
denominados personales, al vencer su garantía por
adquisición, deben de contar por lo menos con un
programa de servicio de mantenimiento correctivo
que incluya el suministro de refacciones.
Todo proyecto de adquisición de bienes de

informática, debe sujetarse al análisis, aprobación y
autorización del Comité.
ARTICULO 12°: En la adquisición de Equipo de

cómputo se deberá incluir el Software vigente
precargado con su licencia correspondiente
considerando las disposiciones del artículo siguiente.
8
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
ARTICULO 13°.- Para la adquisición de Software

base y utilitarios, el Comité dará a conocer
periódicamente las tendencias con tecnología de
punta vigente, siendo la lista de productos
autorizados la siguiente:
a) Plataformas de Sistemas Operativos:
MS-DOS, MS- Windows 95 Español, Windows

NT, Novell Netware, Unix(Automotriz).
b) Bases de Datos:
Foxpro, Informix
c) Manejadores de bases de datos:
Foxpro para DOS, VisualFox, Access
d) Lenguajes de programación:
Los lenguajes de programación que se utilicen

deben ser compatibles con las plataformas
enlistadas.
9
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
SQL Windows
Visual Basic
VisualFox
CenturaWeb
Notes Designer
e) Hojas de cálculo:
Excel
f) Procesadores de palabras:
Word
g) Diseño Gráfico:
Page Maker, Corel Draw
h) Programas antivirus.
F-prot, Command Antivirus, Norton Antivirus
i) Correo electrónico
10
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
Notes Mail
j) Browser de Internet
Netscape
En la generalidad de los casos, sólo se adquirirán

las últimas versiones liberadas de los productos
seleccionados, salvo situaciones específicas que
se deberán justificar ante el Comité. Todos los
productos de Software que se adquieran deberán
contar con su licencia de uso, documentación y
garantía respectivas.
ARTICULO 14°.- Todos los productos de Software

que se utilicen a partir de la fecha en que entre en
vigor el presente ordenamiento, deberán contar con
su licencia de uso respectiva; por lo que se
promoverá la regularización o eliminación de los
productos ya instalados que no cuenten con la
licencia respectiva.
ARTICULO 15°.- Para la operación del software de

red se debe tener en consideración lo siguiente:
11
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
a) Toda la información institucional debe

invariablemente ser operada a través de un mismo
tipo de sistema manejador de base de datos para
beneficiarse de los mecanismos de integridad,
seguridad y recuperación de información en caso de
falla del sistema de cómputo.
b) El acceso a los sistemas de información, debe

contar con los privilegios ó niveles de seguridad de
acceso suficientes para garantizar la seguridad total
de la información institucional. Los niveles de
seguridad de acceso deberán controlarse por un
administrador único y poder ser manipulado por
software. Se deben delimitar las responsabilidades
en cuanto a quién está autorizado a consultar y/o
modificar en cada caso la información, tomando las
medidas de seguridad pertinentes para cada caso.
c) El titular de la unidad administrativa responsable

del sistema de información debe autorizar y solicitar
la asignación de clave de acceso al titular de la
Unidad de Informática.
d) Los datos de los sistemas de información, deben

ser respaldados de acuerdo a la frecuencia de
actualización de sus datos, rotando los dispositivos
de respaldo y guardando respaldos históricos
12
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
periódicamente. Es indispensable llevar una bitácora

oficial de los respaldos realizados, asimismo, las
cintas de respaldo deberán guardarse en un lugar de
acceso restringido con condiciones ambientales
suficientes para garantizar su conservación. Detalle
explicativo se aprecia en la Política de respaldos en
vigencia.
e) En cuanto a la información de los equipos de

cómputo personales, la Unidad de Informática
recomienda a los usuarios que realicen sus propios
respaldos en la red o en medios de almacenamiento
alternos.
f) Todos los sistemas de información que se tengan

en operación, deben contar con sus respectivos
manuales actualizados. Uno técnico que describa la
estructura interna del sistema así como los
programas,
catálogos y archivos que lo conforman y otro que

describa a los usuarios del sistema, los
procedimientos para su utilización.
h) Los sistemas de información, deben contemplar el

registro histórico de las transacciones sobre datos
13
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
relevantes, así como la clave del usuario y fecha en

que se realizó (Normas Básicas de Auditoría y
Control).
i )Se deben implantar rutinas periódicas de auditoría

a la integridad de los datos y de los programas de
cómputo, para garantizar su confiabilidad.
ARTICULO 16°.- Para la contratación del servicio de

desarrollo o construcción de Software aplicativo se
observará lo siguiente:
Todo proyecto de contratación de desarrollo o

construcción de software requiere de un estudio de
factibilidad que permita establecer la rentabilidad del
proyecto así como los beneficios que se obtendrán
del mismo.
Todo proyecto deberá ser aprobado por el Comité en

base a un informe técnico que contenga lo siguiente:
Bases del concurso (Requerimientos claramente

especificados)
Análisis de ofertas (Tres oferentes como mínimo) y
Selección de oferta ganadora
14
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
Bases del Concurso
Las bases del concurso especifican claramente los

objetivos del trabajo, delimita las responsabilidades
de la empresa oferente y la contratante.
De las empresas oferentes:
Los requisitos que se deben solicitar a las empresas

oferentes son:
a) Copia de la Cédula de Identidad del o los

representantes de la compañía
b) Copia de los nombramientos actualizados de los

representantes legales de la compañía
c) Copia de los Estatutos de la empresa, en que

aparezca claramente definido el objeto de la
compañía, esto es para determinar si está o no
facultada para realizar la obra
d) Copia del RUC de la compañía
e) Referencias de clientes (Mínimo 3)
15
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
f) La carta con la oferta definitiva del contratista

debe estar firmada por el representante legal de
la compañía oferente.
16
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
De la contratante
Las responsabilidades de la contratante son:
a) Delinear adecuadamente los objetivos y alcance

del aplicativo.
b) Establecer los requerimientos del aplicativo
c) Definir responsabilidades de la contratista y

contratante
d) Establecer campos de acción
Análisis de ofertas y Selección de oferta

ganadora:
Para definir la empresa oferente ganadora del

concurso, el Comité establecerá una reunión en la
que se debe considerar los siguientes factores:
a) Costo
b) Calidad
17
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
c) Tiempo de permanencia en el mercado de la

empresa oferente
d) Experiencia en el desarrollo de aplicativos
e) Referencias comprobadas de Clientes
f) Cumplimiento en la entrega de los requisitos
Aprobada la oferta se debe considerar los siguientes

lineamientos en la elaboración de contratos:
Todo contrato debe incluir lo siguiente:
Antecedentes, objeto del contrato, precio, forma de

pago, plazo, obligaciones del contratista,
responsabilidades, fiscalizador de la obra, garantías,
entrega recepción de obra provisional y definitiva,
sanciones por incumplimientos, rescisión del
contrato, disposiciones supletorias, documentos
incorporados, solución de controversias, entre otros
aspectos.
Las garantías necesarias para cada contrato deben

ser incluídas en forma conjunta con el Departamento
Legal, quienes deben asesorar el tipo de garantía
necesaria en la elaboración de cada contrato.
Las garantías que se deben aplicar de acuerdo al

tipo de contrato son:
18
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
a. Una garantía bancaria o una póliza de seguros,

incondicional, irrevocable y de cobro inmediato por
el 5% del monto total del contrato para asegurar su
fiel cumplimiento, la cual se mantendrá vigente
durante todo el tiempo que subsista la obligación
motivo de la garantía.
b. Una garantía bancaria o una póliza de seguros,

incondicional, irrevocable y de cobro inmediato
equivalente al 100 % (ciento por ciento) del
anticipo. Esta garantía se devolverá en su
integridad una vez que el anticipo se haya
amortizado en la forma de pago estipulada en el
contrato.
c. Un fondo de garantía que será retenido de cada

planilla en un porcentaje del 5 %.
Junto al contrato se deberá mantener la historia

respectiva del mismo que se compone de la siguiente
documentación soporte:
19
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
Estudio de factibilidad
Bases del concurso
Ofertas presentadas
Acta de aceptación de oferta firmada por los
integrantes del Comité
Informes de fiscalización
Acta de entrega provisional y definitiva
TITULO III
INSTALACIONES
ARTICULO 17°.- La instalación del equipo de

cómputo, quedará sujeta a los siguientes
lineamientos:
a) Los equipos para uso interno se instalarán en

lugares adecuados, lejos de polvo y tráfico de
personas.
En las áreas de atención directa al público los
equipos se instalarán en lugares adecuados.
b) La Administración de Informática, así como las
áreas operativas deberán contar con un croquis
20
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
actualizado de las instalaciones eléctricas y de

comunicaciones del equipo de cómputo en red.
c) Las instalaciones eléctricas y de
comunicaciones, estarán de preferencia fijas o en
su defecto resguardadas del paso de personas o
máquinas, y libres de cualquier interferencia
eléctrica o magnética.
d) Las instalaciones se apegarán estrictamente a
los requerimientos de los equipos, cuidando las
especificaciones del cableado y de los circuitos de
protección necesarios;
e) En ningún caso se permitirán instalaciones
improvisadas o sobrecargadas.
f) Cuando en la instalación se alimenten
elevadores, motores y maquinaria pesada, se
deberá tener un circuito independiente, exclusivo
para el equipo y/o red de cómputo.
ARTICULO 18°.- La supervisión y control de las

instalaciones se llevará a cabo en los plazos y
mediante los mecanismos que establezca el Comité.
21
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
TITULO IV
LINEAMIENTOS EN INFORMATICA
CAPITULO I
INFORMACION
ARTICULO 19°.- Los archivos magnéticos de

información se deberán inventariar, anexando la
descripción y las especificaciones de los mismos,
clasificando la información en tres categorías:
1. Información histórica para auditorías

2. Información de interés de la Empresa NN
3. Información de interés exclusivo de algún área
en particular.
ARTICULO 20°.- Los jefes de sistemas responsables

del equipo de cómputo y de la información contenida
en los centros de cómputo a su cargo, delimitarán
las responsabilidades de sus subordinados y
determinarán quien está autorizado a efectuar
operaciones emergentes con dicha información
tomando las medidas de seguridad pertinentes.
22
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
ARTICULO 21°.- Se establecen tres tipos de

prioridad para la información:
1. Información vital para el funcionamiento de la

unidad administrativa;
2. Información necesaria, pero no indispensable en
la unidad administrativa;
3. Información ocasional o eventual.
ARTICULO 22°.- En caso de información vital para el

funcionamiento de la unidad administrativa, se
deberán tener procesos concomitantes, así como
tener el respaldo diario de las modificaciones
efectuadas, rotando los dispositivos de respaldo y
guardando respaldos históricos semanalmente.
ARTICULO 23°.- La información necesaria pero no

indispensable, deberá ser respaldada con una
frecuencia mínima de una semana, rotando los
dispositivos de respaldo y guardando respaldos
históricos mensualmente.
ARTICULO 24°.- El respaldo de la información

ocasional o eventual queda a criterio de la unidad
administrativa.
23
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
ARTICULO 25°.- Los archivos magnéticos de

información, de carácter histórico quedarán
documentados como activos de la unidad académica
y estarán debidamente resguardados en su lugar de
almacenamiento.
Es obligación del responsable del equipo de
cómputo, la entrega conveniente de los archivos
magnéticos de información, a quien le suceda en el
cargo.
ARTICULO 26°.- Los sistemas de información en

operación, como los que se desarrollen deberán
contar con sus respectivos manuales. Un manual del
usuario que describa los procedimientos de
operación y el manual técnico que describa su
estructura interna, programas, catálogos y archivos.
CAPITULO II
FUNCIONAMIENTO
24
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
ARTICULO 27°.- Es obligación de la Administración

de Informática vigilar que el equipo de cómputo se
use bajo las condiciones especificadas por el
proveedor y de acuerdo a las funciones del área a la
que se asigne.
ARTICULO 28°.- Los colaboradores de la empresa al

usar el equipo de cómputo, se abstendrán de
consumir alimentos, fumar o realizar actos que
perjudiquen el funcionamiento del mismo o deterioren
la información almacenada en medios magnéticos,
ópticos, etc.
ARTICULO 29°.- Por seguridad de los recursos

informáticos se deben establecer seguridades:
Físicas
Sistema Operativo
Software
Comunicaciones
Base de Datos
Proceso
Aplicaciones
Por ello se establecen los siguientes lineamientos:
25
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
Mantener claves de acceso que permitan el uso

solamente al personal autorizado para ello.
Verificar la información que provenga de fuentes
externas a fin de corroborar que estén libres de
cualquier agente externo que pueda contaminarla o
perjudique el funcionamiento de los equipos.
Mantener pólizas de seguros de los recursos
informáticos en funcionamiento
ARTICULO 30°.- En ningún caso se autorizará la

utilización de dispositivos ajenos a los procesos
informáticos de la unidad administrativa.
Por consiguiente, se prohibe el ingreso y/o
instalación de hardware y software particular, es decir
que no sea propiedad de una unidad administrativa
de la Empresa NN, excepto en casos emergentes
que la Dirección autorice.
26
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
CAPITULO III
PLAN DE CONTINGENCIAS
ARTICULO 31°.- La Administración de Informática

creará para las empresas y departamentos un plan
de contingencias informáticas que incluya al menos
los siguientes puntos:
a) Continuar con la operación de la unidad

administrativa con procedimientos informáticos
alternos;
b) Tener los respaldos de información en un lugar
seguro, fuera del lugar en el que se encuentran los
equipos.
c) Tener el apoyo por medios magnéticos o en
forma documental, de las operaciones necesarias
para reconstruir los archivos dañados;
d) Contar con un instructivo de operación para la
detección de posibles fallas, para que toda acción
correctiva se efectúe con la mínima degradación
posible de los datos;
e) Contar con un directorio del personal interno y
del personal externo de soporte, al cual se pueda
27
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
recurrir en el momento en que se detecte cualquier

anomalía;
f) Ejecutar pruebas de la funcionalidad del plan
f) Mantener revisiones del plan a fin de efectuar las
actualizantes respectivas
CAPITULO IV
ESTRATEGIAS
ARTICULO 32.- La estrategia informática de la DDT

se consolida en el Plan Maestro de Informática y está
orientada hacia los siguientes puntos:
a) Plataforma de Sistemas Abiertos;

b) Descentralización del proceso de información
c) Esquemas de operación bajo el concepto
cliente/servidor
d) Estandarización de hardware, software base,
utilitarios y estructuras de datos
e) Intercomunicación entre unidades y equipos
mediante protocolos estándares
28
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
f) Intercambio de experiencias entre

Departamentos de Informática.
g) Manejo de proyectos conjuntos con las
diferentes unidades administrativas.
h) Programa de capacitación permanente para los
colaboradores de la empresa del área de
informática
i) Integración de sistemas y bases de datos de la
Empresa NN, para tener como meta final un
Sistema Integral de Información Corporativo.
j) Programación con ayudas visuales e interactivas.
Facilitando interfases amigables al usuario final.
k) Integración de sistemas teleinformáticos
(Intranet De grupo empresarial).
ARTICULO 33°.- Para la elaboración de los

proyectos informáticos y para la presupuestación de
los mismos, se tomarán en cuentan tanto las
necesidades de hardware y software de la unidad
administrativa solicitante, como la disponibilidad de
recursos con que éstas cuenten.
29
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
DISPOSICIONES TRANSITORIAS
ARTICULO PRIMERO.- Las disposiciones aquí

enmarcadas, entrarán en vigor a partir del día
siguiente de su difusión.
ARTICULO SEGUNDO.- Las normas y políticas

objeto de este documento, podrán ser modificadas o
adecuadas conforme a las necesidades que se
vayan presentando, mediante acuerdo del Comité
Técnico de Informática de la Empresa NN (CTI); una
vez aprobadas dichas modificaciones o
adecuaciones, se establecerá su vigencia.
ARTICULO TERCERO.- Las disposiciones aquí

descritas constan de forma detallada en los
manuales de políticas y procedimientos específicos
existentes.
ARTICULO CUARTO.- La falta de desconocimiento

de las normas aquí descritas por parte de los
colaboradores no los libera de la aplicación de
sanciones y/o penalidades por el incumplimiento de
las mismas.
30
AREA O DIRECCION
DEPARTAMENTO
Código Predecesor
POLITICAS GENERALES
Cargo Cargo
Palabras clave: Controles automáticos o lógicos,

Controles Administrativos del PAD, Conceptos de
Auditoría de Sistemas.
Trabajo enviado por:

[email protected]
31

(ERP CRM SAP) - Monografia Conceptos de Auditoria en Sistemas

Cargado por

Copyright:

Formatos disponibles

(ERP CRM SAP) - Monografia Conceptos de Auditoria en Sistemas

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

(ERP CRM SAP) - Monografia Conceptos de Auditoria en Sistemas

Cargado por

Copyright:

Formatos disponibles

Auditoría de Sistemas

CONCEPTOS DE LA AUDITORÍA DE SISTEMAS

Autor: Ing. Alice Naranjo S.

CONCEPTOS DE AUDITORÍA DE SISTEMAS........................................................................................3

CLASIFICACIÓN GENERAL DE LOS CONTROLES.................................................................................15

La palabra auditoría viene del latín auditorius y de

esta proviene auditor, que tiene la virtud de oir y

revisar cuentas, pero debe estar encaminado a un

objetivo específico que es el de evaluar la eficiencia

y eficacia con que se está operando para que, por

medio del señalamiento de cursos alternativos de

acción, se tomen decisiones que permitan corregir

los errores, en caso de que existan, o bien mejorar

Algunos autores proporcionan otros conceptos pero

todos coinciden en hacer énfasis en la revisión,

evaluación y elaboración de un informe para el

ejecutivo encaminado a un objetivo específico en el

ambiente computacional y los sistemas.

A continuación se detallan algunos conceptos

recogidos de algunos expertos en la materia:

Auditoría de Sistemas es:

• La verificación de controles en el procesamiento

de la información, desarrollo de sistemas e

instalación con el objetivo de evaluar su

efectividad y presentar recomendaciones a la

• La actividad dirigida a verificar y juzgar

• El examen y evaluación de los procesos del Area

de Procesamiento automático de Datos (PAD) y

de la utilización de los recursos que en ellos

intervienen, para llegar a establecer el grado de

eficiencia, efectividad y economía de los sistemas

computarizados en una empresa y presentar

conclusiones y recomendaciones encaminadas a

corregir las deficiencias existentes y mejorarlas.

• El proceso de recolección y evaluación de

evidencia para determinar si un sistema

Salvaguarda activos Destrucción

Mantiene Integridad de Información Precisa,

los datos Completa

Alcanza metas Contribución de la

organizacionales función informática

Consume recursos Utiliza los recursos

• Es el examen o revisión de carácter objetivo

(independiente), crítico(evidencia), sistemático

(normas), selectivo (muestras) de las políticas,

normas, prácticas, funciones, procesos,

procedimientos e informes relacionados con los

sistemas de información computarizados, con el

fin de emitir una opinión profesional (imparcial)

 Eficiencia en el uso de los recursos

 Efectividad de los controles establecidos

Existen algunos tipos de auditoría entre las que la

Auditoría de Sistemas integra un mundo paralelo

pero diferente y peculiar resaltando su enfoque a la

Es necesario recalcar como análisis de este cuadro

que Auditoría de Sistemas no es lo mismo que

Entre los principales enfoques de Auditoría tenemos

Financiera Veracidad de estados financieros

Preparación de informes de acuerdo a