Este segundo proceso de la funcin de planeacin de la auditora informtica busca definir con claridad auellos aspectos de la organi!acin en donde se reuiere profundi!ar en cuanto a la e"aluacin de los controles# por cuanto presentan sintomatologa de situacin crtica$ %sicamente# este proceso se inicia con el anlisis de la informacin obtenida en el diagnstico adelantado a partir de la aplicacin de los cuestionarios de conocimiento general de la entidad$ Una "e! adelantado el anlisis de la informacin# el auditor informtico deber proceder a definir el ambiente de control ue facilite identificar ordenadamente los controles a e"aluar$ &a metodologa de desarrollo de auditora informtica propone dos ambientes de control' el Ambiente de (ontrol Especfico ) el Ambiente de (ontrol *eneral$ El Ambiente de (ontrol Especfico es el ambiente ue e"al+a todas auellas normas# procedimientos# acciones ) utili!acin de recursos empleados en el procesamiento electrnico de los datos# o sea# este ambiente e"al+a todo lo concerniente a lo ue ocurre al interior de los euipos de cmputo$ El Ambiente de (ontrol *eneral es el ambiente ue e"al+a todas auellas normas# procedimientos# acciones ) utili!acin de recursos empleados para soportar el desarrollo ) produccin de los sistemas de informacin como la atencin al cliente ) competencia en el mercado global# o sea# este ambiente e"al+a todo lo concerniente a lo ue ocurre alrededor de los euipos de cmputo$ Debido a ue cada ambiente de control in"olucra a muc,os ) "ariados aspectos o tpicos de control# fue necesario categori!ar una serie de respuestas a unas preguntas formuladas# con el fin de identificar los escenarios de riesgo de cada ambiente de control$ A fin de poder identificar los escenarios de riesgo# la metodologa se plantea a partir de una serie de cuestionamientos mu) comunes a las reas informticas de las organi!aciones$ &as preguntas formuladas fueron las siguientes' 1. POR QU SISTEMAS NO HA AUTOMATIZADO MI PROCESO? Algunas de las respuestas obtenidas a este interrogante fueron las siguientes' - &a planeacin del rea de sistemas debe ,acerse de acuerdo con polticas AUDITORIA DE SISTEMAS definidas por la organi!acin$ - &a organi!acin debe monitorear la calidad de los productos ) ser"icios ofrecidos por los recursos .ED$ - Debe e/istir un (omit0 de Sistemas ue promue"a ) apruebe las polticas ) planes .ED como de relacin con los usuarios$ - El recurso ,umano del rea de sistemas debe ser idneo ) sus funciones estar su1etas a lo definido en la estructura organi!acional$ - Deben e/istir criterios ue permitan medir el desempe2o de los funcionarios del rea de sistemas$ (ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era Organi!acin de la 3uncin Informtica$ Este Escenario de Riesgo de Organi!acin de la 3uncin Informtica est relacionado con auellos controles ue implanta la entidad para garanti!ar la me1or administracin ) operacin del rea de sistemas e informtica# con el fin de ue sus ser"icios se presten de la manera ue la organi!acin lo reuiera# para efectos de competiti"idad ) ptima gestin ) acorde al plan estrat0gico corporati"o$ Debido a ue este escenario de riesgo de Organi!acin de la 3uncin Informtica abarca gran cantidad de aspectos a controlar fue necesario agruparlos temticamente en las siguientes Acti"idades Su1etas de (ontrol' - .olticas 4 Ob1eti"os - .laneacin (orporati"a - Estructura Organi!acional 4 3uncional - Recurso 5umano - Relacin con Usuarios - (ontrol de (alidad 2. POR QU LA INFORMACIN NUNCA ESTA ACTUALIZADA? Algunas de las respuestas obtenidas a este interrogante fueron las siguientes' - &os recursos .ED deben ser operados de manera ue prote1a la informacin almacenada ) debe pro"eer control sobre su acceso ) modificacin$ - El sistema de informacin debe pro"eer informacin oportuna$ - Debe incluirse en el plan de traba1o# el mantenimiento peridico de los euipos$ AUDITORIA DE SISTEMAS - El sistema de informacin debe garanti!ar la integralidad con el resto de sistemas de la organi!acin$ - Debe e/istir un registro e/acto del desempe2o de todos ) cada uno de los traba1os procesados en el centro de cmputo$ - &a informacin suministrada por el sistema debe ser confiable$ - Debe e/istir una adecuada segregacin de funciones$ (ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era Operacin de la 3uncin Informtica$ Este Escenario de Riesgo de Operacin de la 3uncin Informtica est relacionado con auellos controles ) procedimientos ue garanti!an ue los euipos# medios magn0ticos ) soft6are sean correctamente utili!ados )# proporcionen efecti"idad ) continuidad en el .ED# seguridad a registros ) restricciones en el acceso de personal no autori!ado$ Debido a ue este escenario de riesgo de Operacin de la 3uncin Informtica abarca gran cantidad de aspectos a controlar fue necesario agruparlos temticamente en las siguientes Acti"idades Su1etas de (ontrol' - .olticas# 7ormas ) .rocedimientos - .laneacin - .rogramacin - E1ecucin . POR QU LOS SISTEMAS NO SATISFACEN MIS NECESIDADES ? Algunas de las respuestas obtenidas a este interrogante fueron las siguientes' - &as aplicaciones deben desarrollarse de acuerdo con las polticas corporati"as de la organi!acin$ - Se deben emplear metodologas adecuadas de desarrollo de sistemas$ - &os usuarios se deben in"olucrar en los pro)ectos de desarrollo con responsabilidades asignadas$ - Se debe utili!ar una metodologa de control de pro)ectos$ - &as aplicaciones deben estar documentadas$ - &a naturale!a general ) el alcance de cada pro)ecto de sistemas debe ser claramente establecido ) documentado$ AUDITORIA DE SISTEMAS - Deben prepararse ) documentarse el estudio tecnolgico de factibilidad del pro)ecto$ - El desarrollo de las aplicaciones debe obedecer a criterios de priori!acin# costos# duracin ) tama2o$ (ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era Desarrollo de Sistemas de Informacin$ Este Escenario de Riesgo de Desarrollo de Sistemas de Informacin est relacionado con auellos controles ) procedimientos ue garanti!an el desarrollo efecti"o de sistemas o aplicati"os de informacin# conforme a los tipos de desarrollo de ciclo de "ida# desarrollo por prototipado# desarrollo mediante soft6are comercial# desarrollo por Outsourcing o desarrollo por usuario final$ Debido a ue este escenario de riesgo de Desarrollo de Sistemas de Informacin abarca gran cantidad de aspectos a controlar fue necesario agruparlos temticamente en las siguientes Acti"idades Su1etas de (ontrol' - .olticas de Desarrollo - Estudio de 3actibilidad - .reparacin del .ro)ecto - Anlisis del Sistema - Dise2o del Sistema - (onstruccin del Sistema - Documentacin - Metodologa Duracin ) Tama2o - Metodologa para .riori!ar - Metodologa (osto 4 %eneficio - .articipacin Usuarios - (ontrol Administrati"o del .ro)ecto - Metodologa Definicin de Sistemas - Instalacin ) .ostinstalacin !. POR QU LAS CONSTANTES FALLAS EN LOS EQUIPOS? Algunas de las respuestas obtenidas a este interrogante fueron las siguientes' - &os elementos# euipos e instalaciones deben ,acer del sitio de traba1o un lugar cmodo# agradable# funcional ) adecuado para las tareas in,erentes a la gestin AUDITORIA DE SISTEMAS informtica$ - &as instalaciones del fluido el0ctrico deben ofrecer un buen ser"icio el0ctrico uniforme ) permanente$ - &os euipos de cmputo# perif0ricos ) dispositi"os necesarios para el .ED deben ser adecuados ) necesarios$ - &os dispositi"os electrnicos# interfaces# cone/iones ) cableados indispensables para transmitir ) recibir informacin# interna como e/terna# deben ser de alta tecnologa$ - El con1unto de programas de computador ) aplicati"os de usuario final se debe apro"ec,ar al m/imo por la infraestructura de ,ard6are ) de comunicaciones como para el desarrollo de sistemas$ - Se debe contar con soft6are para reali!ar# almacenar ) recuperar las copias de respaldo de datos$ - Se debe contar con recursos logsticos para brindar apo)o a los usuarios$ (ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era Infraestructura (omputacional ) de (omunicaciones$ Este Escenario de Riesgo de Infraestructura (omputacional ) de (omunicaciones est relacionado con auellos controles ) procedimientos ue protegen el con1unto de instalaciones# euipos# insumos# dispositi"os# redes# perif0ricos# programas ) recursos en general de tecnologa informtica# con ue cuenta el ente auditado para desarrollar# implementar ) operar sus sistemas de informacin$ Debido a ue este escenario de riesgo de Infraestructura (omputacional ) de (omunicaciones abarca gran cantidad de aspectos a controlar fue necesario agruparlos temticamente en las siguientes Acti"idades Su1etas de (ontrol' - Infraestructura &ocati"a - Infraestructura El0ctrica - Infraestructura de 5ard6are - Infraestructura de Soft6are - Infraestructura de (omunicaciones - Infraestructura para Respaldo de Datos - Infraestructura de Soporte AUDITORIA DE SISTEMAS ". POR QU SE PIERDE LA INFORMACIN? Algunas de las respuestas obtenidas a este interrogante fueron las siguientes' - Deben asignarse responsabilidades sobre el control de acceso ) seguridad fsica en el rea .ED$ - El acceso a bases de datos ) terminales debe ser controlado# a partir de polticas de .ass6ord$ - Deben e/istir protecciones contra e"entos como incendios e inundaciones de acuerdo con estndares de seguridad aceptados$ - &os arc,i"os de cmputo deben protegerse contra accidentes# destruccin ) utili!acin por personal no autori!ado o de intrusos$ - Deben e/istir planes de recuperacin en caso de presentarse una contingencia$ - Se deben definir polticas unificadas de bac8up ) los responsables de e1ecutarlas diariamente$ - Debe e/istir un programa peridico de mantenimiento pre"enti"o del ,ard6are ) el soft6are$ - Se debe proteger la informacin de la empresa del acceso desde Internet$ - Deben e/istir procedimientos establecidos para "erificar la integridad de la informacin transmitida$ (ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era Seguridad de la 3uncin Informtica$ Este Escenario de Riesgo de Seguridad de la 3uncin Informtica est relacionado con auellos controles# procedimientos ) medidas efecti"as ue protegen al personal# a los euipos# a los programas ) a los datos de las amena!as ue rodean el ambiente informtico de una organi!acin$ Debido a ue este escenario de riesgo de Seguridad de la 3uncin Informtica abarca gran cantidad de aspectos a controlar fue necesario agruparlos temticamente en las siguientes Acti"idades Su1etas de (ontrol' - Acceso 3sico - Acceso &gico - .roteccin de Euipos - .roteccin de Soft6are - Mantenimiento de 5ard6are ) Soft6are AUDITORIA DE SISTEMAS - Seguridad en la Transmisin de Datos - .lanes de Recuperacin - .olticas de %ac8up - .li!as de Seguro - Seguridad en las %ases de Datos &a 3igura 9$9 esuemati!a el Ambiente de (ontrol *eneral de la metodologa de desarrollo de Auditora Informtica$ SISTEMA OPERACIN OR#ANIZACIN AMBIENTE DECONTROL #ENERAL INFRAESTRUCTURA $ DESARROLLO SE#URIDAD %. POR QU PERSONAL NO AUTORIZADO TIENE ACCESO A LOS SISTEMAS DE INFORMACIN? Algunas de las respuestas obtenidas a este interrogante fueron las siguientes' - El usuario debe tener procedimientos establecidos para preparar los datos e ingresarlos$ AUDITORIA DE SISTEMAS - &a informacin sometida a procesamiento debe ser autori!ada# preparada e integrada ) transmitida adecuadamente$ - &os documentos fuente ) formas en blanco# deben custodiarse por personas no in"olucradas en su generacin$ - &os documentos fuente deben retenerse por un tiempo determinado# para poder en alg+n caso# reconstruir la informacin$ - &os datos de entrada a procesar deben ser "alidados$ - &os procedimientos para el mane1o de errores deben facilitar la reentrada ) operacin precisa de los datos corregidos$ - &os documentos fuente deben ser dise2ados de forma tal ue minimicen los errores ) omisiones$ - Debe e/istir un control de los documentos negociables$ - Deben e/istir procedimientos ue faciliten la pri"acidad al ingreso de datos$ (ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era Entrada de Datos$ Este Escenario de Riesgo de Entrada de Datos est relacionado con auellos procedimientos implantados por la entidad ) ue "alidan de alguna forma los datos de entrada a los diferentes sistemas o aplicati"os# buscando con ello un alto grado de depuracin ue e"ite grandes cargas de traba1o posteriores relacionadas con la correccin de datos errneos ) su reentrada$ Debido a ue este escenario de riesgo de Entrada de Datos abarca gran cantidad de aspectos a controlar fue necesario agruparlos temticamente en las siguientes Acti"idades Su1etas de (ontrol' - Autori!acin - Origen del Documento 3uente - Mane1o del Error en el Documento 3uente - Retencin del Documento 3uente - Entrada de Datos - :alidacin de Datos de Transacciones - Mane1o del Error en la Entrada de Transacciones - (ontrol de Documentos 7egociables - .ri"acidad AUDITORIA DE SISTEMAS &. POR QU LA NMINA #ENERA ERRORES CONSTANTEMENTE ? Algunas de las respuestas obtenidas a este interrogante fueron las siguientes' - Deben e/istir procedimientos para el procesamiento de los datos ue garanticen la separacin de tareas$ - Se debe promo"er la integridad de los datos en el procesamiento$ - Deben e/istir procedimientos para el mane1o de errores durante el procesamiento de los datos$ - &a falla del euipo# la recuperacin de errores ) los procedimientos de reinicio )4o parada deben estar claramente documentados ) ser re"isados con periodicidad$ - Debe mantenerse una bitcora del sistema con todas las acti"idades de cmputo$ - &os errores ) omisiones de programas se deben documentar$ - Se deben e"itar los cambios no autori!ados de programas ) los autori!ados documentarlos$ - &as aplicaciones se deben dise2ar con ni"eles de seguridad para e"itar durante el procesamiento el ,urto de datos$ - Toda aplicacin se debe dise2ar con pistas de auditora$ (ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era .rocesamiento de Datos$ Este Escenario de Riesgo de .rocesamiento de Datos est relacionado con auellos controles implantados por la entidad ue e"iten el uso indebido de ,erramientas ue faciliten la alteracin de los datos durante el proceso# como la formulacin de procedimientos relacionados con la separacin de funciones# el control de corridas# reinicio# la obtencin de bitcoras# etc$ Debido a ue este escenario de riesgo de .rocesamiento de Datos abarca gran cantidad de aspectos a controlar fue necesario agruparlos temticamente en las siguientes Acti"idades Su1etas de (ontrol$ - Errores ) Omisiones de .rogramas - (ambios no Autori!ados en un .rograma - Seguridad 4 5urto - :alidacin de Datos - Errores de Euipo AUDITORIA DE SISTEMAS - Recuperacin ) Reinicio - .istas de Auditora - Transacciones *eneradas - Mane1o de Errores '. POR QU MARIO TIENE UN LISTADO DE IN(ESTI#ACIONES FISCALES? Algunas de las respuestas obtenidas a este interrogante fueron las siguientes' - Se debe asegurar ue la integridad de los datos no se pierda durante el ciclo de procesamiento$ - Se debe e"itar procedimentalmente la liberacin intencional o accidental de datos acerca de un proceso# tarea o indi"iduo$ - Se debe e"itar ue la informacin o listados producidos sean ob1eto de un robo ue puedan originar fraude o desfalco$ - Se debe ,acer re"isin a los controles para el en"i de los reportes para ue sean completos# seguros ) a tiempo$ - Se debe normali!ar la retencin ) la prescripcin de los documentos de salida ue sean confidenciales o pri"ados$ - Se debe pre"enir la perdida de documentos negociables una "e! son utili!ados$ - Todas las transacciones rec,a!adas deben ser corregidas ) realimentadas$ (ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era Salida de Informacin$ Este Escenario de Riesgo de Salida de Informacin est relacionado con auellos controles implantados por la entidad para ue limiten la produccin# distribucin ) el conocimiento de informes sensibles ) confidenciales por parte de usuarios no autori!ados$ Debido a ue este escenario de riesgo de Salida de Informacin abarca gran cantidad de aspectos a controlar fue necesario agruparlos temticamente en las siguientes Acti"idades Su1etas de (ontrol$ - %alanceo ) (onciliacin de Salidas - .ri"acidad - Seguridad 4 5urto - Distribucin de Salidas AUDITORIA DE SISTEMAS - %alanceo ) (onciliacin de Salidas - Retencin ) Distribucin de Recursos - Documentos 7egociables - Mane1o de Errores de Salida ). ES LA INFORMACIN UNA TRAMPA PARA LA OR#ANIZACIN? Algunas de las respuestas obtenidas a este interrogante fueron las siguientes' - Se debe normali!ar el control de acceso a las bases de datos$ - &a informacin relacionada con la base de datos se debe controlar en su flu1o ) al uso ue se le pueda dar$ - Se deben sal"aguardar de un fraude o desfalco los acti"os de la base de datos del uso no autori!ado o del retiro por personal tanto de confian!a como de e/tra2os a la organi!acin$ - Se debe garanti!ar la pri"acidad de los datos de la base de datos$ - Se debe normali!ar procedimientos de recuperacin ante la destruccin accidental o intencional de la base de datos$ - Se deben implementar controles para el mane1o de errores despu0s de ue ,an ingresado a la base de datos$ - &os datos deben ser rastreados a tra"0s de todas las funciones de la base de datos$ - Se debe garanti!ar programas ue faciliten la interfa! con la base de datos# sistema operati"o# programas de telecomunicaciones ) de aplicaciones$ (ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era %ases de Datos$ Este Escenario de Riesgo de %ases de Datos est relacionado con auellos controles implantados por la entidad para su administracin# mane1o de errores# acceso# programas interfa!# etc$# debido a ue 0stas son colecciones estructuradas de datos relacionados entre s ) ue son compartidas por un buen n+mero de usuarios$ Debido a ue este escenario de riesgo de %ases de Datos abarca gran cantidad de aspectos a controlar fue necesario agruparlos temticamente en las siguientes Acti"idades Su1etas de (ontrol$ - (ontrol de Acceso - .olticas de la Informacin AUDITORIA DE SISTEMAS - 3raude ) Desfalco - .ri"acidad - Interrupciones ) Desastres - Mane1o de Errores en Transacciones - .istas de Auditora - %alanceo ) (onciliacin de Salidas - Interfa! de programas 1*. POR QU LA APLICACIN DE IN(ENTARIO TIENE QUE ESTARSE MODIFICANDO? Algunas de las respuestas obtenidas a este interrogante fueron las siguientes' - Todo pro)ecto de aplicaciones se debe iniciar con el estudio de reuerimientos de los usuarios ) atender el plan estrat0gico de la organi!acin$ - En la fase de anlisis se debe transformar los insumos# polticas ) el esuema del pro)ecto en una especificacin estructurada$ - En el dise2o de aplicaciones debe ser mu) importante la creacin de la 1erarua apropiada de los mdulos de los programas ) de interfaces entre ellos$ - Se debe utili!ar un lengua1e legible para la muina ) en lo posible emplear lengua1es estructurados u orientados a ob1etos$ - (ada aplicacin debe contar con los respecti"os manuales t0cnicos ) del usuario$ - Se deben reali!ar pruebas de calidad en cada fase de desarrollo de la aplicacin$ (ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era Aplicaciones$ Este Escenario de Riesgo de Aplicaciones est relacionado con auellos controles implantados por la entidad para garanti!ar la seguridad# integridad# confidencialidad# confiabilidad ) oportunidad de la informacin automati!ada por una aplicacin# bien sea ue est0 en operacin o por implementarse$ Debido a ue este escenario de riesgo de Aplicaciones abarca gran cantidad de aspectos a controlar fue necesario agruparlos temticamente en las siguientes Acti"idades Su1etas de (ontrol$ - .reparacin del .ro)ecto - Anlisis del Sistema AUDITORIA DE SISTEMAS - Dise2o del Sistema - (onstruccin del Sistema - Instalacin 11. POR QU NO SE PUEDE OPERAR UN PROCESO DESDE LA SEDE ALTERNA? Algunas de las respuestas obtenidas a este interrogante fueron las siguientes' - Se debe e"itar la alimentacin accidental o intencional de datos errneos al sistema en lnea$ - &a informacin a transmitir en lnea debe contar con procedimientos de encriptacin para garanti!ar la pri"acidad ) el no ,urto$ - Se debe reducir mediante procedimientos claros la posibilidad de errores ,umanos durante el uso en las terminales remotas$ - Se deben instaurar procesos ue se2alen la perdida de mensa1es o cambios una "e! se alimenten desde las terminales remotas$ - Se debe e"itar el acceso ilegal al sistema en lnea$ - &os datos a transmitir se deben "alidar en la terminal remota$ - Se deben dise2ar controles +tiles para el mane1o de errores en el lugar remoto antes de transmitirlos$ (ategori!adas las respuestas al interrogante formulado# o sea# clasificadas las respuestas de naturale!a similar# se defini ue el Escenario de Riesgo era .rocesamiento Distribuido$ Este Escenario de Riesgo de .rocesamiento Distribuido est relacionado con auellos controles implantados por la entidad para garanti!ar la interconecti"idad entre euipos de cmputo en una red de comunicaciones# el acceso al red# la administracin de la misma# la pri"acidad ) autenticidad de la informacin transmitida# etc$ Debido a ue este escenario de riesgo de .rocesamiento Distribuido abarca gran cantidad de aspectos a controlar fue necesario agruparlos temticamente en las siguientes Acti"idades Su1etas de (ontrol$ - Errores ) Omisiones - Interrupciones ) Desastres - .ri"acidad - Seguridad 4 ,urto AUDITORIA DE SISTEMAS - .re"encin de Errores 5umanos - (ambio o .0rdida del Mensa1e - Acceso Ilegal - Ingreso ) :alidacin de Datos en Terminales - Mane1o de Errores en Entrada de Transacciones &a 3igura 9$; esuemati!a el Ambiente de (ontrol Especfico de la metodologa de desarrollo de Auditora Informtica$ 3igura 9$; Ambiente de (ontrol Especfico (omo se puede obser"ar la metodologa de desarrollo de auditora informtica defini once escenarios de riesgo o puntos crticos de control necesarios a e"aluar en toda organi!acin# a fin de determinar el cumplimiento o no de la implantacin de los controles propios para cada uno de ellos )# en su defecto diagnosticar la adecuada gestin de la funcin informtica de la organi!acin o el respecti"o riesgo computacional por cada escenario de riesgo$ &a 3igura 9$< muestra todo el panorama de control de la funcin informtica de una organi!acin$ AUDITORIA DE SISTEMAS ENTRADAS AMBIENTE DE CONTROL ESPECIFICO BASES DE DATOS APLICACIONES PROC. DISTRIBUIDO PROCESAMIENTO SALIDAS 3igura 9$< .anorama de (ontrol de la 3uncin Informtica Este tercer proceso de la funcin de planear la auditora informtica# corresponde a la elaboracin del programa de auditora ue se "a a reali!ar# una "e! se tenga el conocimiento general de la entidad ) se ,alla definido el ambiente de control o los ambientes de control# los escenarios de riesgo ) las acti"idades su1etas de control$ El programa de auditora debe contener los siguientes puntos bsicos' = Introduccin$ = Antecedentes$ = >ustificacin$ = Ob1eti"os$ 2.1. D+,-.-/-0. 1+2 P3453676 1+ A81-943:6 AUDITORIA DE SISTEMAS AUDITORIA A LA FUNCION INFORMATICA OPERACIN OR#ANIZACIN SE#URIDAD INFRAESTRUCTURA DESARROLLO ENTRADAS SALIDAS BASES DE DATOS APLICACIONES PROC. DISTRIBUIDO PROCESAMIENTO = Alcance$ = Metodologa$ = Recursos$ = (ronograma de Acti"idades$ A fin ue el auditor informtico comprenda me1or el proceso de definicin del mbito ) alcance de la auditora informtica )# seleccione adecuadamente tanto los ambientes de control como los escenarios de riesgo ) las acti"idades su1etas de control# se presenta a continuacin el marco conceptual de las definiciones formales de cada una de 0stas# de tal manera ue se posibilite asimilar los criterios suficientes para la toma de decisiones ) e1ecucin de la auditora$ El Ambiente de (ontrol Especfico de un sistema de informacin es el ambiente ue contempla los aspectos de informtica ue operan al interior del (omputador ) ue inciden directamente en el .rocesamiento Electrnico de los Datos ?.ED@ como' la entrada# el procesamiento# la salida# las bases de datos# las aplicaciones ) el procesamiento distribuido )# cu)a e"aluacin se orientar ,acia la "erificacin de normas# procedimientos# controles# acciones ) recursos ue garanticen la confiabilidad# confidencialidad# oportunidad# integridad ) seguridad de la informacin procesada$ Se refiere a los procedimientos ue "alidan de alguna forma los datos de entrada a los sistemas de informacin# buscando con ello un alto grado de depuracin ue e"ite grandes cargas de traba1o posteriores relacionadas con la correccin de datos errneos ) su reentrada$