AUDITORIA DE SISTEMAS

LA DEFINICIN DEL MBITO Y ALCANCE DE LA AUDITORA

Este segundo proceso de la funcin de planeacin de la auditora informtica busca
definir con claridad auellos aspectos de la organi!acin en donde se reuiere
profundi!ar en cuanto a la e"aluacin de los controles# por cuanto presentan
sintomatologa de situacin crtica$ %sicamente# este proceso se inicia con el anlisis
de la informacin obtenida en el diagnstico adelantado a partir de la aplicacin de los
cuestionarios de conocimiento general de la entidad$
Una "e! adelantado el anlisis de la informacin# el auditor informtico deber
proceder a definir el ambiente de control ue facilite identificar ordenadamente los
controles a e"aluar$ &a metodologa de desarrollo de auditora informtica propone
dos ambientes de control' el Ambiente de (ontrol Especfico ) el Ambiente de (ontrol
*eneral$
El Ambiente de (ontrol Especfico es el ambiente ue e"al+a todas auellas normas#
procedimientos# acciones ) utili!acin de recursos empleados en el procesamiento
electrnico de los datos# o sea# este ambiente e"al+a todo lo concerniente a lo ue
ocurre al interior de los euipos de cmputo$
El Ambiente de (ontrol *eneral es el ambiente ue e"al+a todas auellas normas#
procedimientos# acciones ) utili!acin de recursos empleados para soportar el
desarrollo ) produccin de los sistemas de informacin como la atencin al cliente )
competencia en el mercado global# o sea# este ambiente e"al+a todo lo concerniente a
lo ue ocurre alrededor de los euipos de cmputo$
Debido a ue cada ambiente de control in"olucra a muc,os ) "ariados aspectos o
tpicos de control# fue necesario categori!ar una serie de respuestas a unas
preguntas formuladas# con el fin de identificar los escenarios de riesgo de cada
ambiente de control$
A fin de poder identificar los escenarios de riesgo# la metodologa se plantea a partir
de una serie de cuestionamientos mu) comunes a las reas informticas de las
organi!aciones$ &as preguntas formuladas fueron las siguientes'
1. POR QU SISTEMAS NO HA AUTOMATIZADO MI PROCESO?
Algunas de las respuestas obtenidas a este interrogante fueron las siguientes'
- &a planeacin del rea de sistemas debe ,acerse de acuerdo con polticas
AUDITORIA DE SISTEMAS
definidas por la organi!acin$
- &a organi!acin debe monitorear la calidad de los productos ) ser"icios
ofrecidos por los recursos .ED$
- Debe e/istir un (omit0 de Sistemas ue promue"a ) apruebe las polticas ) planes
.ED como de relacin con los usuarios$
- El recurso ,umano del rea de sistemas debe ser idneo ) sus funciones estar
su1etas a lo definido en la estructura organi!acional$
- Deben e/istir criterios ue permitan medir el desempe2o de los funcionarios del rea
de sistemas$
(ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las
respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era
Organi!acin de la 3uncin Informtica$
Este Escenario de Riesgo de Organi!acin de la 3uncin Informtica est relacionado
con auellos controles ue implanta la entidad para garanti!ar la me1or administracin
) operacin del rea de sistemas e informtica# con el fin de ue sus ser"icios se
presten de la manera ue la organi!acin lo reuiera# para efectos de competiti"idad )
ptima gestin ) acorde al plan estrat0gico corporati"o$
Debido a ue este escenario de riesgo de Organi!acin de la 3uncin Informtica
abarca gran cantidad de aspectos a controlar fue necesario agruparlos temticamente
en las siguientes Acti"idades Su1etas de (ontrol'
- .olticas 4 Ob1eti"os
- .laneacin (orporati"a
- Estructura Organi!acional 4 3uncional
- Recurso 5umano
- Relacin con Usuarios
- (ontrol de (alidad
2. POR QU LA INFORMACIN NUNCA ESTA ACTUALIZADA?
Algunas de las respuestas obtenidas a este interrogante fueron las siguientes'
- &os recursos .ED deben ser operados de manera ue prote1a la informacin
almacenada ) debe pro"eer control sobre su acceso ) modificacin$
- El sistema de informacin debe pro"eer informacin oportuna$
- Debe incluirse en el plan de traba1o# el mantenimiento peridico de los euipos$
AUDITORIA DE SISTEMAS
- El sistema de informacin debe garanti!ar la integralidad con el resto de sistemas de
la organi!acin$
- Debe e/istir un registro e/acto del desempe2o de todos ) cada uno de los traba1os
procesados en el centro de cmputo$
- &a informacin suministrada por el sistema debe ser confiable$
- Debe e/istir una adecuada segregacin de funciones$
(ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las
respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era Operacin
de la 3uncin Informtica$
Este Escenario de Riesgo de Operacin de la 3uncin Informtica est relacionado
con auellos controles ) procedimientos ue garanti!an ue los euipos# medios
magn0ticos ) soft6are sean correctamente utili!ados )# proporcionen efecti"idad )
continuidad en el .ED# seguridad a registros ) restricciones en el acceso de personal
no autori!ado$
Debido a ue este escenario de riesgo de Operacin de la 3uncin Informtica abarca
gran cantidad de aspectos a controlar fue necesario agruparlos temticamente en las
siguientes Acti"idades Su1etas de (ontrol'
- .olticas# 7ormas ) .rocedimientos
- .laneacin
- .rogramacin
- E1ecucin
. POR QU LOS SISTEMAS NO SATISFACEN MIS NECESIDADES ?
Algunas de las respuestas obtenidas a este interrogante fueron las siguientes'
- &as aplicaciones deben desarrollarse de acuerdo con las polticas corporati"as de la
organi!acin$
- Se deben emplear metodologas adecuadas de desarrollo de sistemas$
- &os usuarios se deben in"olucrar en los pro)ectos de desarrollo con
responsabilidades asignadas$
- Se debe utili!ar una metodologa de control de pro)ectos$
- &as aplicaciones deben estar documentadas$
- &a naturale!a general ) el alcance de cada pro)ecto de sistemas debe ser
claramente establecido ) documentado$
AUDITORIA DE SISTEMAS
- Deben prepararse ) documentarse el estudio tecnolgico de factibilidad del pro)ecto$
- El desarrollo de las aplicaciones debe obedecer a criterios de priori!acin# costos#
duracin ) tama2o$
(ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las
respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era Desarrollo
de Sistemas de Informacin$
Este Escenario de Riesgo de Desarrollo de Sistemas de Informacin est relacionado
con auellos controles ) procedimientos ue garanti!an el desarrollo efecti"o de
sistemas o aplicati"os de informacin# conforme a los tipos de desarrollo de ciclo de
"ida# desarrollo por prototipado# desarrollo mediante soft6are comercial# desarrollo por
Outsourcing o desarrollo por usuario final$
Debido a ue este escenario de riesgo de Desarrollo de Sistemas de Informacin
abarca gran cantidad de aspectos a controlar fue necesario agruparlos temticamente
en las siguientes Acti"idades Su1etas de (ontrol'
- .olticas de Desarrollo
- Estudio de 3actibilidad
- .reparacin del .ro)ecto
- Anlisis del Sistema
- Dise2o del Sistema
- (onstruccin del Sistema
- Documentacin
- Metodologa Duracin ) Tama2o
- Metodologa para .riori!ar
- Metodologa (osto 4 %eneficio
- .articipacin Usuarios
- (ontrol Administrati"o del .ro)ecto
- Metodologa Definicin de Sistemas
- Instalacin ) .ostinstalacin
!. POR QU LAS CONSTANTES FALLAS EN LOS EQUIPOS?
Algunas de las respuestas obtenidas a este interrogante fueron las siguientes'
- &os elementos# euipos e instalaciones deben ,acer del sitio de traba1o un lugar
cmodo# agradable# funcional ) adecuado para las tareas in,erentes a la gestin
AUDITORIA DE SISTEMAS
informtica$
- &as instalaciones del fluido el0ctrico deben ofrecer un buen ser"icio el0ctrico
uniforme ) permanente$
- &os euipos de cmputo# perif0ricos ) dispositi"os necesarios para el .ED deben ser
adecuados ) necesarios$
- &os dispositi"os electrnicos# interfaces# cone/iones ) cableados indispensables
para transmitir ) recibir informacin# interna como e/terna# deben ser de alta
tecnologa$
- El con1unto de programas de computador ) aplicati"os de usuario final se debe
apro"ec,ar al m/imo por la infraestructura de ,ard6are ) de comunicaciones como
para el desarrollo de sistemas$
- Se debe contar con soft6are para reali!ar# almacenar ) recuperar las copias de
respaldo de datos$
- Se debe contar con recursos logsticos para brindar apo)o a los usuarios$
(ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las
respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era
Infraestructura (omputacional ) de (omunicaciones$
Este Escenario de Riesgo de Infraestructura (omputacional ) de (omunicaciones
est relacionado con auellos controles ) procedimientos ue protegen el con1unto de
instalaciones# euipos# insumos# dispositi"os# redes# perif0ricos# programas ) recursos
en general de tecnologa informtica# con ue cuenta el ente auditado para
desarrollar# implementar ) operar sus sistemas de informacin$
Debido a ue este escenario de riesgo de Infraestructura (omputacional ) de
(omunicaciones abarca gran cantidad de aspectos a controlar fue necesario
agruparlos temticamente en las siguientes Acti"idades Su1etas de (ontrol'
- Infraestructura &ocati"a
- Infraestructura El0ctrica
- Infraestructura de 5ard6are
- Infraestructura de Soft6are
- Infraestructura de (omunicaciones
- Infraestructura para Respaldo de Datos
- Infraestructura de Soporte
AUDITORIA DE SISTEMAS
". POR QU SE PIERDE LA INFORMACIN?
Algunas de las respuestas obtenidas a este interrogante fueron las siguientes'
- Deben asignarse responsabilidades sobre el control de acceso ) seguridad fsica en
el rea .ED$
- El acceso a bases de datos ) terminales debe ser controlado# a partir de polticas de
.ass6ord$
- Deben e/istir protecciones contra e"entos como incendios e inundaciones de
acuerdo con estndares de seguridad aceptados$
- &os arc,i"os de cmputo deben protegerse contra accidentes# destruccin )
utili!acin por personal no autori!ado o de intrusos$
- Deben e/istir planes de recuperacin en caso de presentarse una contingencia$
- Se deben definir polticas unificadas de bac8up ) los responsables de e1ecutarlas
diariamente$
- Debe e/istir un programa peridico de mantenimiento pre"enti"o del ,ard6are ) el
soft6are$
- Se debe proteger la informacin de la empresa del acceso desde Internet$
- Deben e/istir procedimientos establecidos para "erificar la integridad de la
informacin transmitida$
(ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las
respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era Seguridad
de la 3uncin Informtica$
Este Escenario de Riesgo de Seguridad de la 3uncin Informtica est relacionado
con auellos controles# procedimientos ) medidas efecti"as ue protegen al personal#
a los euipos# a los programas ) a los datos de las amena!as ue rodean el ambiente
informtico de una organi!acin$
Debido a ue este escenario de riesgo de Seguridad de la 3uncin Informtica abarca
gran cantidad de aspectos a controlar fue necesario agruparlos temticamente en las
siguientes Acti"idades Su1etas de (ontrol'
- Acceso 3sico
- Acceso &gico
- .roteccin de Euipos
- .roteccin de Soft6are
- Mantenimiento de 5ard6are ) Soft6are
AUDITORIA DE SISTEMAS
- Seguridad en la Transmisin de Datos
- .lanes de Recuperacin
- .olticas de %ac8up
- .li!as de Seguro
- Seguridad en las %ases de Datos
&a 3igura 9$9 esuemati!a el Ambiente de (ontrol *eneral de la metodologa de
desarrollo de Auditora Informtica$
SISTEMA
OPERACIN OR#ANIZACIN
AMBIENTE DECONTROL #ENERAL INFRAESTRUCTURA $ DESARROLLO SE#URIDAD
%. POR QU PERSONAL NO AUTORIZADO TIENE ACCESO A LOS SISTEMAS
DE INFORMACIN?
Algunas de las respuestas obtenidas a este interrogante fueron las siguientes'
- El usuario debe tener procedimientos establecidos para preparar los datos e
ingresarlos$
AUDITORIA DE SISTEMAS
- &a informacin sometida a procesamiento debe ser autori!ada# preparada e
integrada ) transmitida adecuadamente$
- &os documentos fuente ) formas en blanco# deben custodiarse por personas no
in"olucradas en su generacin$
- &os documentos fuente deben retenerse por un tiempo determinado# para poder en
alg+n caso# reconstruir la informacin$
- &os datos de entrada a procesar deben ser "alidados$
- &os procedimientos para el mane1o de errores deben facilitar la reentrada )
operacin precisa de los datos corregidos$
- &os documentos fuente deben ser dise2ados de forma tal ue minimicen los errores
) omisiones$
- Debe e/istir un control de los documentos negociables$
- Deben e/istir procedimientos ue faciliten la pri"acidad al ingreso de datos$
(ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las
respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era Entrada
de Datos$
Este Escenario de Riesgo de Entrada de Datos est relacionado con auellos
procedimientos implantados por la entidad ) ue "alidan de alguna forma los datos de
entrada a los diferentes sistemas o aplicati"os# buscando con ello un alto grado de
depuracin ue e"ite grandes cargas de traba1o posteriores relacionadas con la
correccin de datos errneos ) su reentrada$
Debido a ue este escenario de riesgo de Entrada de Datos abarca gran cantidad de
aspectos a controlar fue necesario agruparlos temticamente en las siguientes
Acti"idades Su1etas de (ontrol'
- Autori!acin
- Origen del Documento 3uente
- Mane1o del Error en el Documento 3uente
- Retencin del Documento 3uente
- Entrada de Datos
- :alidacin de Datos de Transacciones
- Mane1o del Error en la Entrada de Transacciones
- (ontrol de Documentos 7egociables
- .ri"acidad
AUDITORIA DE SISTEMAS
&. POR QU LA NMINA #ENERA ERRORES CONSTANTEMENTE ?
Algunas de las respuestas obtenidas a este interrogante fueron las siguientes'
- Deben e/istir procedimientos para el procesamiento de los datos ue garanticen la
separacin de tareas$
- Se debe promo"er la integridad de los datos en el procesamiento$
- Deben e/istir procedimientos para el mane1o de errores durante el procesamiento de
los datos$
- &a falla del euipo# la recuperacin de errores ) los procedimientos de reinicio )4o
parada deben estar claramente documentados ) ser re"isados con periodicidad$
- Debe mantenerse una bitcora del sistema con todas las acti"idades de cmputo$
- &os errores ) omisiones de programas se deben documentar$
- Se deben e"itar los cambios no autori!ados de programas ) los autori!ados
documentarlos$
- &as aplicaciones se deben dise2ar con ni"eles de seguridad para e"itar durante el
procesamiento el ,urto de datos$
- Toda aplicacin se debe dise2ar con pistas de auditora$
(ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las
respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era
.rocesamiento de Datos$
Este Escenario de Riesgo de .rocesamiento de Datos est relacionado con auellos
controles implantados por la entidad ue e"iten el uso indebido de ,erramientas ue
faciliten la alteracin de los datos durante el proceso# como la formulacin de
procedimientos relacionados con la separacin de funciones# el control de corridas#
reinicio# la obtencin de bitcoras# etc$
Debido a ue este escenario de riesgo de .rocesamiento de Datos abarca gran
cantidad de aspectos a controlar fue necesario agruparlos temticamente en las
siguientes Acti"idades Su1etas de (ontrol$
- Errores ) Omisiones de .rogramas
- (ambios no Autori!ados en un .rograma
- Seguridad 4 5urto
- :alidacin de Datos
- Errores de Euipo
AUDITORIA DE SISTEMAS
- Recuperacin ) Reinicio
- .istas de Auditora
- Transacciones *eneradas
- Mane1o de Errores
'. POR QU MARIO TIENE UN LISTADO DE IN(ESTI#ACIONES FISCALES?
Algunas de las respuestas obtenidas a este interrogante fueron las siguientes'
- Se debe asegurar ue la integridad de los datos no se pierda durante el ciclo de
procesamiento$
- Se debe e"itar procedimentalmente la liberacin intencional o accidental de datos
acerca de un proceso# tarea o indi"iduo$
- Se debe e"itar ue la informacin o listados producidos sean ob1eto de un robo ue
puedan originar fraude o desfalco$
- Se debe ,acer re"isin a los controles para el en"i de los reportes para ue sean
completos# seguros ) a tiempo$
- Se debe normali!ar la retencin ) la prescripcin de los documentos de salida ue
sean confidenciales o pri"ados$
- Se debe pre"enir la perdida de documentos negociables una "e! son utili!ados$
- Todas las transacciones rec,a!adas deben ser corregidas ) realimentadas$
(ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las
respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era Salida de
Informacin$
Este Escenario de Riesgo de Salida de Informacin est relacionado con auellos
controles implantados por la entidad para ue limiten la produccin# distribucin ) el
conocimiento de informes sensibles ) confidenciales por parte de usuarios no
autori!ados$
Debido a ue este escenario de riesgo de Salida de Informacin abarca gran cantidad
de aspectos a controlar fue necesario agruparlos temticamente en las siguientes
Acti"idades Su1etas de (ontrol$
- %alanceo ) (onciliacin de Salidas
- .ri"acidad
- Seguridad 4 5urto
- Distribucin de Salidas
AUDITORIA DE SISTEMAS
- %alanceo ) (onciliacin de Salidas
- Retencin ) Distribucin de Recursos
- Documentos 7egociables
- Mane1o de Errores de Salida
). ES LA INFORMACIN UNA TRAMPA PARA LA OR#ANIZACIN?
Algunas de las respuestas obtenidas a este interrogante fueron las siguientes'
- Se debe normali!ar el control de acceso a las bases de datos$
- &a informacin relacionada con la base de datos se debe controlar en su flu1o ) al
uso ue se le pueda dar$
- Se deben sal"aguardar de un fraude o desfalco los acti"os de la base de datos del
uso no autori!ado o del retiro por personal tanto de confian!a como de e/tra2os a la
organi!acin$
- Se debe garanti!ar la pri"acidad de los datos de la base de datos$
- Se debe normali!ar procedimientos de recuperacin ante la destruccin accidental o
intencional de la base de datos$
- Se deben implementar controles para el mane1o de errores despu0s de ue ,an
ingresado a la base de datos$
- &os datos deben ser rastreados a tra"0s de todas las funciones de la base de datos$
- Se debe garanti!ar programas ue faciliten la interfa! con la base de datos# sistema
operati"o# programas de telecomunicaciones ) de aplicaciones$
(ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las
respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era %ases de
Datos$
Este Escenario de Riesgo de %ases de Datos est relacionado con auellos controles
implantados por la entidad para su administracin# mane1o de errores# acceso#
programas interfa!# etc$# debido a ue 0stas son colecciones estructuradas de datos
relacionados entre s ) ue son compartidas por un buen n+mero de usuarios$
Debido a ue este escenario de riesgo de %ases de Datos abarca gran cantidad de
aspectos a controlar fue necesario agruparlos temticamente en las siguientes
Acti"idades Su1etas de (ontrol$
- (ontrol de Acceso
- .olticas de la Informacin
AUDITORIA DE SISTEMAS
- 3raude ) Desfalco
- .ri"acidad
- Interrupciones ) Desastres
- Mane1o de Errores en Transacciones
- .istas de Auditora
- %alanceo ) (onciliacin de Salidas
- Interfa! de programas
1*. POR QU LA APLICACIN DE IN(ENTARIO TIENE QUE ESTARSE
MODIFICANDO?
Algunas de las respuestas obtenidas a este interrogante fueron las siguientes'
- Todo pro)ecto de aplicaciones se debe iniciar con el estudio de reuerimientos de
los usuarios ) atender el plan estrat0gico de la organi!acin$
- En la fase de anlisis se debe transformar los insumos# polticas ) el esuema del
pro)ecto en una especificacin estructurada$
- En el dise2o de aplicaciones debe ser mu) importante la creacin de la 1erarua
apropiada de los mdulos de los programas ) de interfaces entre ellos$
- Se debe utili!ar un lengua1e legible para la muina ) en lo posible emplear
lengua1es estructurados u orientados a ob1etos$
- (ada aplicacin debe contar con los respecti"os manuales t0cnicos ) del usuario$
- Se deben reali!ar pruebas de calidad en cada fase de desarrollo de la aplicacin$
(ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las
respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era
Aplicaciones$
Este Escenario de Riesgo de Aplicaciones est relacionado con auellos controles
implantados por la entidad para garanti!ar la seguridad# integridad#
confidencialidad# confiabilidad ) oportunidad de la informacin automati!ada por
una aplicacin# bien sea ue est0 en operacin o por implementarse$
Debido a ue este escenario de riesgo de Aplicaciones abarca gran cantidad de
aspectos a controlar fue necesario agruparlos temticamente en las siguientes
Acti"idades Su1etas de (ontrol$
- .reparacin del .ro)ecto
- Anlisis del Sistema
AUDITORIA DE SISTEMAS
- Dise2o del Sistema
- (onstruccin del Sistema
- Instalacin
11. POR QU NO SE PUEDE OPERAR UN PROCESO DESDE LA SEDE
ALTERNA?
Algunas de las respuestas obtenidas a este interrogante fueron las siguientes'
- Se debe e"itar la alimentacin accidental o intencional de datos errneos al sistema
en lnea$
- &a informacin a transmitir en lnea debe contar con procedimientos de encriptacin
para garanti!ar la pri"acidad ) el no ,urto$
- Se debe reducir mediante procedimientos claros la posibilidad de errores ,umanos
durante el uso en las terminales remotas$
- Se deben instaurar procesos ue se2alen la perdida de mensa1es o cambios una "e!
se alimenten desde las terminales remotas$
- Se debe e"itar el acceso ilegal al sistema en lnea$
- &os datos a transmitir se deben "alidar en la terminal remota$
- Se deben dise2ar controles +tiles para el mane1o de errores en el lugar remoto antes
de transmitirlos$
(ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las
respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era
.rocesamiento Distribuido$
Este Escenario de Riesgo de .rocesamiento Distribuido est relacionado con auellos
controles implantados por la entidad para garanti!ar la interconecti"idad entre euipos
de cmputo en una red de comunicaciones# el acceso al red# la administracin de la
misma# la pri"acidad ) autenticidad de la informacin transmitida# etc$
Debido a ue este escenario de riesgo de .rocesamiento Distribuido abarca gran
cantidad de aspectos a controlar fue necesario agruparlos temticamente en las
siguientes Acti"idades Su1etas de (ontrol$
- Errores ) Omisiones
- Interrupciones ) Desastres
- .ri"acidad
- Seguridad 4 ,urto
AUDITORIA DE SISTEMAS
- .re"encin de Errores 5umanos
- (ambio o .0rdida del Mensa1e
- Acceso Ilegal
- Ingreso ) :alidacin de Datos en Terminales
- Mane1o de Errores en Entrada de Transacciones
&a 3igura 9$; esuemati!a el Ambiente de (ontrol Especfico de la metodologa de
desarrollo de Auditora Informtica$
3igura 9$; Ambiente de (ontrol Especfico
(omo se puede obser"ar la metodologa de desarrollo de auditora informtica defini
once escenarios de riesgo o puntos crticos de control necesarios a e"aluar en toda
organi!acin# a fin de determinar el cumplimiento o no de la implantacin de los
controles propios para cada uno de ellos )# en su defecto diagnosticar la adecuada
gestin de la funcin informtica de la organi!acin o el respecti"o riesgo
computacional por cada escenario de riesgo$
&a 3igura 9$< muestra todo el panorama de control de la funcin informtica de una
organi!acin$
AUDITORIA DE SISTEMAS
ENTRADAS AMBIENTE DE CONTROL ESPECIFICO BASES DE DATOS APLICACIONES
PROC. DISTRIBUIDO PROCESAMIENTO SALIDAS
3igura 9$< .anorama de (ontrol de la 3uncin Informtica
Este tercer proceso de la funcin de planear la auditora informtica# corresponde a la
elaboracin del programa de auditora ue se "a a reali!ar# una "e! se tenga el
conocimiento general de la entidad ) se ,alla definido el ambiente de control o los
ambientes de control# los escenarios de riesgo ) las acti"idades su1etas de control$ El
programa de auditora debe contener los siguientes puntos bsicos'
= Introduccin$
= Antecedentes$
= >ustificacin$
= Ob1eti"os$
2.1. D+,-.-/-0. 1+2 P3453676 1+ A81-943:6
AUDITORIA DE SISTEMAS
AUDITORIA A LA FUNCION INFORMATICA
OPERACIN OR#ANIZACIN
SE#URIDAD
INFRAESTRUCTURA DESARROLLO
ENTRADAS SALIDAS
BASES DE DATOS
APLICACIONES PROC. DISTRIBUIDO
PROCESAMIENTO
= Alcance$
= Metodologa$
= Recursos$
= (ronograma de Acti"idades$
A fin ue el auditor informtico comprenda me1or el proceso de definicin del mbito )
alcance de la auditora informtica )# seleccione adecuadamente tanto los ambientes
de control como los escenarios de riesgo ) las acti"idades su1etas de control# se
presenta a continuacin el marco conceptual de las definiciones formales de cada una
de 0stas# de tal manera ue se posibilite asimilar los criterios suficientes para la toma
de decisiones ) e1ecucin de la auditora$
El Ambiente de (ontrol Especfico de un sistema de informacin es el ambiente ue
contempla los aspectos de informtica ue operan al interior del (omputador ) ue
inciden directamente en el .rocesamiento Electrnico de los Datos ?.ED@ como' la
entrada# el procesamiento# la salida# las bases de datos# las aplicaciones ) el
procesamiento distribuido )# cu)a e"aluacin se orientar ,acia la "erificacin de
normas# procedimientos# controles# acciones ) recursos ue garanticen la
confiabilidad# confidencialidad# oportunidad# integridad ) seguridad de la informacin
procesada$
Se refiere a los procedimientos ue "alidan de alguna forma los datos de entrada a los
sistemas de informacin# buscando con ello un alto grado de depuracin ue e"ite
grandes cargas de traba1o posteriores relacionadas con la correccin de datos
errneos ) su reentrada$