[Escriba el

documento]

ttulo

del

Auditoria Fsica y Auditoria de Desarrollo

Introduccin
En lo que se refiere al hardware o la parte fsica en la informtica ha
tenido una importancia relativa hasta ahora. En informtica lo fsico no
solo se refiriere al hardware, es un soporte tangible del software, es
decir, es todo cuanto rodea o incluye al ordenador.
La auditora es el medio que proporciona la seguridad fsica en el mbito
en el que se va a realizar la labor.

Objetivos
General

Estudiar conceptos acerca de la auditoria fsica y auditoria de desarrollo

Especficos

Definir en donde se realiza la auditoria fsica y auditoria de desarrollo

Conocer quienes realizan la auditoria fsica y auditoria de desarrollo
Describir las funciones de quienes realizan la auditoria fsica y auditoria
de desarrollo

Desarrollo
Concepto de Auditoria Fsica
Es la evaluacin y verificacin sistemtica de las instalaciones fsicas
donde se desarrolla y en la que se apoya el trabajo informtico
(incluyendo edificios, sistemas de climatizacin, redes elctricas,
telefnicas, de datos, etc.), y la funcionalidad, racionalidad y seguridad
del inventario informtico orientadas a la proteccin de objetivos
estratgicos de las organizaciones. La Auditora Fsica, interna o externa,
no es sino una auditora parcial, por lo que no difiere de la auditora
general ms que en el Alcance de la misma.
En esta rea se proporciona evidencia del nivel de la seguridad fsica en el
mbito en el que se va a desarrollar la actividad profesional, no limitndose a
comprobar que existen los medios fsicos, sino tambin su funcionalidad,
racionalidad y seguridad.

Auditoria Fsica y Auditoria de Desarrollo

La seguridad fsica garantiza la integridad de los activos humanos, lgicos y
materiales en un centro de procesamiento de informacin. Existen tres
momentos para responder ante una falla en esta rea, relacionados con la
cronologa de la misma:

Medidas a preparar segn el momento del fallo

Antes

Grado de seguridad; que es un conjunto de acciones utilizadas para

evitar el fallo o, en su caso, aminorizar las consecuencias que de l se
puedan derivar.
Por lo que se toma en cuenta los activos de la empresa.
Obtener y mantener un grado de seguridad adecuado, por medio de un
conjunto de acciones que eviten el fallo o disminuyan sus efectos. Es un
concepto general aplicable a cualquier actividad en la que personas
hagan uso de entornos fsicos.

Ubicacin del edificio

Ubicacin del centro de procesamiento dentro del edificio
Divisin
Elementos de construccin

Potencia elctrica

Sistemas contra incendios

Control de accesos
Seguridad de los medios
Medidas de proteccin
Duplicacin de medios

Durante

Desastre; es cualquier evento que cuando ocurre tiene la capacidad de

interrumpir el normal proceso de una empresa.
Por eso se tiene que ejecutar un plan de contingencia adecuado
Ejecutar un plan de contingencia adecuado, el cual realice un anlisis de
riesgos

de

sistemas

crticos,

establezca

un

periodo

crtico

de
2

Auditoria Fsica y Auditoria de Desarrollo

recuperacin (del desastre), realice un anlisis de aplicaciones crticas,

establezca prioridades y objetivos de recuperacin, designe un Centro
Alternativo

de

Procesamiento,

asegurar

la

capacidad

de

las

comunicaciones y de los servicios de back-up.

Despus

Los contratos de seguro; vienen a compensar las prdidas, gastos o

responsabilidades una vez corregido el fallo.
Los Contratos de Seguros vienen a compensar, en mayor o menor
medida, las prdidas, gastos o responsabilidades que se pueden derivar
para el Centro de Procesamiento de Informacin una vez detectado y
corregido el fallo. Entre algunos tipos de seguros estn:

Centro de proceso y equipamiento

Reconstruccin de medios de software
Gastos extra
Interrupcin del negocio
Documentos y registros valiosos
Errores y omisiones
Cobertura de fidelidad
Transporte de medios
Contratos con proveedores y de mantenimiento

Objetivos de la auditoria fsica

Se basa en la lgica de fuera hacia dentro los objetivos de la auditoria
fsica se basan en prioridades con el siguiente orden:

Edificio
Instalaciones
Equipamiento y telecomunicaciones
Datos
Personas

reas de la Seguridad Fsica

La revisin de la construccin y el estado de la infraestructura del
edificio en s mismo no es un objeto del que pueda diagnosticar un
3

Auditoria Fsica y Auditoria de Desarrollo

auditor, sino que tendr que apoyarse de peritos independientes que

den respuesta a sus preguntas para lograr la valoracin.
Las reas en las que el auditor ha de interesarse personalmente tienen
relacin directa con el hecho informtico, como lo son:
Organigrama de la empresa (para obtener amplia visin de conjunto
del centro de proceso).
Auditora interna (para conocer auditoras pasadas, relacionadas con la
seguridad fsica).
Administracin de la seguridad (normas, procedimientos y planes que
haya emitido, distribuido y controlado el departamento).
Centro de procesamiento e instalaciones (sala del Host, de operadores,
de impresoras, oficinas, almacenes, de instalaciones elctricas, de aire
acondicionado, de descanso y servicio).
Equipos y comunicaciones (Host, terminales, PCs, equipos

de

almacenamiento masivo de datos, impresoras, medios y sistemas de

telecomunicaciones).
Computadoras personales (desde el punto de vista de acceso a datos y
a la adquisicin de copias no autorizadas).
Seguridad fsica del personal (accesos y salidas seguras, medios y
rutas de evacuacin, extincin de incendios, sistemas de bloqueo de
puertas y ventanas, zonas de descanso y servicios).
Fuentes de la auditora fsica

Polticas, normas y planes sobre seguridad

Auditoras anteriores
Contratos de Seguros, de Proveedores y de Mantenimiento
Entrevistas con el personal de seguridad, informtico y de

otras actividades (limpieza y mantenimiento)

Actas e informes de tcnicos y consultores
Plan de contingencia y valoracin de las pruebas
Informes sobre accesos y visitas
Informes sobre pruebas de evacuacin ante diferentes tipos

de amenaza
Informes sobre evacuaciones reales
Polticas de personal

Auditoria Fsica y Auditoria de Desarrollo

Inventarios de soportes (cintoteca, back-up, procedimientos de archivo,

control de copias, etc.)

Tcnicas y Herramientas del auditor

Tcnicas:

Observacin
Revisin Analtica
Entrevistas
Consultas

Tcnicas-Observacin:

Instalaciones
Sistemas
Cumplimiento de normas
Cumplimiento de procedimientos
Etc.
No solo como espectador sino tambin como actor

Tcnicas-Revisin Analtica:

Polticas y Normas de Actividad de Sala

Normas y Procedimientos sobre seguridad fsica de los datos
Contratos de seguros y de mantenimiento
Documentacin sobre: construccin y preinstalacin ,seguridad
fsica

Tcnicas-Entrevistas

Directivos
Personal
Que no de la sensacin de interrogatorio

Tcnicas-Consultas

Tcnicos

peritos

que

formen

parte

de

la

plantilla

independientemente contratados
5

Auditoria Fsica y Auditoria de Desarrollo

Herramientas

Cuaderno de Campo
Grabadora de Audio
Maquina Fotogrfica
Cmara de video

Responsabilidad del auditor

No debe realizar su actividad como mera funcin policial

Debe esforzarse ms en dar una imagen de colaborador que
intenta ayudar

Auditor Informtico Interno

Al auditor informtico interno le corresponden las siguientes funciones
interno:

Revisar
Evaluar Riesgos
Participar sin perder independencia en:
Efectuar auditorias programadas e imprevistas
Emitir informes y efectuar el seguimiento

Auditor Informtico Externo

Al auditor informtico externo le corresponden las siguientes funciones
interno:

Revisar las funciones de los auditores internos

Mismas responsabilidades que los auditores internos
Revisar los planes de seguridad y contingencia
Efectuar pruebas sobre los planes antes mencionados
Emitir informes y recomendaciones

Fases de la auditoria Informtica

1.
2.
3.
4.

Alcance de la auditoria
Adquisicin de la informacin general
Administracin y planificacin
Plan de auditoria
6

Auditoria Fsica y Auditoria de Desarrollo

5.
6.
7.
8.
9.

Resultado de las pruebas

Conclusiones y comentarios
Borrador del informe
Discusin con los responsables del rea
Informe final
Informe
Anexo al informe
Carpeta de evidencias
10.
Seguimiento de las modificaciones acordadas

Concepto de Auditoria de Desarrollo

La auditora de desarrollo, o "fundraising audit" en ingls, se refiere a un
autoanlisis institucional para evaluar la eficacia de los esfuerzos
actuales de procuracin de fondos de la organizacin y para identificar
capacidades y debilidades en sus sistemas de desarrollo (personal, junta
directiva, polticas internas, y prcticas). La auditora sirve para evaluar
la preparacin de la organizacin para emprender nuevas iniciativas de
desarrollo de fondos y recursos.

Auditoria Fsica y Auditoria de Desarrollo

Importancia de la Auditora de Desarrollo.

Aunque cualquier departamento o rea de una organizacin es
susceptible de ser auditado, hay una serie de circunstancias que hacen
especialmente importante al rea de desarrollo, y por tanto tambin de
auditora, frente a otras funciones o reas dentro del departamento de
informtica:

Los avances en tecnologas de las computadoras han hecho que

actualmente el desafo ms importante y el principal reto sea la
calidad del software
El gasto destinado a software es cada vez superior al que se
dedica al hardware
El software como producto es muy difcil de validar. Un mayor
control en el proceso de desarrollo incrementa la calidad del
mismo y disminuye los costos de mantenimiento.
El ndice de fracasos en proyectos de desarrollo es demasiado alto,
lo cual denota la inexistencia o mal funcionamiento de los
controles en este proceso.

Auditoria Fsica y Auditoria de Desarrollo

Las aplicaciones informticas, que son el producto principal

obtenido al final del desarrollo, pasan a ser la herramienta de
trabajo principal de las reas informatizadas, convirtindose en un
factor esencial para la gestin y la toma de decisiones.

Planteamiento y metodologa.
Para tratar la auditora de desarrollo es necesario, en primer lugar,
acotar las funciones o tareas que son responsabilidad del rea. Teniendo
en cuenta que puede haber variaciones de una organizacin a otra, las
funciones que tradicionalmente se asignan al rea son:

Planificacin del rea y participacin en la elaboracin del plan

estratgico de informtica
Desarrollo de nuevos sistemas
Estudio de nuevos lenguajes, tcnicas, metodologas, estndares,
herramientas, etc. y adopcin de los mismos para mantener un
nivel de vigencia adecuado al momento.
Establecimiento de un plan de formacin para el personal adscrito
al rea
Establecimiento de normas y controles para todas las actividades
que se realizan en el rea y comprobacin de su observancia.

Una metodologa aplicable es la propuesta por la ISACA (Information

Systems Audit and Control Association), que est basada en la
evaluacin de riesgos partiendo de los riesgos potenciales a los que est
sometida una, se determinan una serie de objetivos de control que
minimicen esos riesgos.

Como se lleva a cabo

Para llevar a cabo tal auditora, se utilizan consultores o voluntarios; de
esta forma se asegura una perspectiva objetiva e independiente sobre
las campaas actuales. Las organizaciones conocidas, con presupuestos
lo suficientemente grandes, generalmente contratan a un contable
pblico o profesional en el campo de las finanzas para realizar la
auditora. Una organizacin ms pequea, que no cuenta con los
recursos para costear servicios profesionales, podra encargarle la
auditora a un voluntario de su confianza con experiencia en la
procuracin de fondos. Tambin podra considerar una evaluacin
mutua; es decir, establecer un arreglo con una organizacin colega
mediante la cual cada organizacin evala a la otra y le provee sus
observaciones.

Auditoria Fsica y Auditoria de Desarrollo

Sin importar el tamao de su organizacin, el proceso le ofrece varios

beneficios claves:

Podr identificar y abordar debilidades o dficits en la generacin

de ingresos y en la sostenibilidad de su organizacin.
Los objetivos y metas planteadas en la auditora orientarn a la
organizacin hacia un xito mayor en la procuracin de fondos para la
sostenibilidad a largo plazo.
La junta directiva y el personal obtendrn un conocimiento ms
profundo de la gestin financiera de la organizacin y de su papel en la
recaudacin de fondos.
Los donantes institucionales y particulares estarn mejor
informados sobre el poder para generar ingresos de la organizacin y de
sus estrategias.

Existen dos niveles para este tipo de auditora:

1. La verificacin de componentes bsicos: Existe una misin clara, un
plan estratgico, y un argumento de apoyo claro? Su propsito:
determinar las fortalezas y debilidades de los sistemas de procuracin
de fondos.
2. Evaluacin de sistemas de desarrollo: Mas all de lo bsico, a este
nivel se analizan la capacitacin de la junta directiva, los resultados de
campaas de desarrollo anteriores, y la trayectoria a largo plazo de la
gestin de fondos de la organizacin. Este anlisis ms profundo ayuda
a determinar si existe la posibilidad y capacidad de expandir los
esfuerzos en la captacin de fondos.

Cmo beneficia a la organizacin una auditora de

desarrollo?
Cuando una organizacin tiene en la mira llevar a cabo estrategias de
desarrollo de fondos ms ambiciosas, como campaas de capital,
anuales, de donaciones substanciales, o de donaciones diferidas,
tpicamente hace una evaluacin para asegurarse de tener la
infraestructura necesaria para este tipo de campaa. Este tipo de
evaluacin le muestra a la organizacin las herramientas que tiene a su
disposicin y las que deber desarrollar para poder expandir sus
esfuerzos en la procuracin de fondos.

Qu tendencias existen en este campo?

Vemos que las organizaciones que empiezan a buscar ms
diversificacin en sus fuentes de ingresos estn llevando a cabo
auditoras previas y en preparacin del inicio de cualquier campaa
mayor de procuracin de fondos.
10

Auditoria Fsica y Auditoria de Desarrollo

Vemos que las organizaciones, que hasta hace poco dependan de los
contratos y aportaciones de agencias gubernamentales, han tenido que
aprender estrategias de desarrollo ms sofisticadas y han adoptado las
auditoras internas para medir su capacidad en estas reas.

Conclusin
La auditora fsica permite conocer y evaluar el estado fsico tanto de las
instalaciones como de los equipos, as como tambin elaborar planes
para evitar fallos o disminuir su efecto en caso de que sucedan siendo el
auditor informtico el encargado de realizar toda la documentacin
necesaria y revisar que se cumplan.

Bibliografa

Piattini Velthusis, M. G., & Navarro, E. d. (2001). Auditora Informtica: Un

enfoque prctico (2 edicin ed.). (A. G. Editor, Ed.) Madrid, Espaa: RAMA.

Ejemplo

http://www.microsoft.com/Argentina/PUBLIC/KIT_BASE/LICENCIAMIENTO/LICSEMG
T/internal/physical.htm

11