El documento proporciona información sobre auditoría y control informáticos. Explica conceptos clave como auditoría de sistemas, tipos de auditoría como de desarrollo de sistemas y operación, y objetivos de la auditoría informática como optimizar el costo-beneficio y asegurar la integridad y confiabilidad de la información. También describe diferentes tipos de controles como preventivos, detectivos, correctivos, automáticos, administrativos y en el uso de microcomputadoras.

1. AUDITORIA Y CONTROL
INFORMATICOS

2. CONCEPTO DE AUDITORIA DE
SISTEMAS (1)
• Auditorius  Auditoría
• Auditor  tiene la virtud de oir y revisar cuentas.
• Evaluar la eficiencia y eficacia con que se está
operando
• Señalar alternativas de acción para corregir
errores ó mejorar la forma de actuación.
• Revisión, evaluación y elaboración de un informe
para el ejecutivo encaminado a un objetivo
específico en el ambiente computacional y los
sistemas.

3. CONCEPTO DE AUDITORIA DE
SISTEMAS (2)
1. Verificar de qué manera se están aplicando los
controles en el área de actuación de la
Informática.
2. Examen y evaluación de los procesos y del uso
de los recursos que en ellos intervienen,
determinado el grado de eficiencia, efectividad y
economía de los sistemas de la empresa,
presentando conclusiones y recomendaciones
encaminadas a corregir las deficiencias
existentes y mejorar los procesos.

4. CONCEPTO DE AUDITORIA DE
SISTEMAS (3)
Proceso de recolección y evaluación de evidencia
para:
* Determinar daños, Salvaguardar activos.
* Evitar destrucción de datos, uso no autorizado,
robos.
* Mantener Integridad de Información, Presentar
datos completos, oportunos, confiables.
* Alcanzar metas organizacionales,Contribución
de la función informática.

5. CONCEPTO DE AUDITORIA DE
SISTEMAS (4)
Es el examen o revisión de carácter objetivo
(independiente), crítico(evidencia), sistemático
(normas), selectivo (muestras) de las políticas, normas,
prácticas, funciones, procesos, procedimientos e
informes relacionados con los sistemas de información
computarizados, con el fin de emitir una opinión
profesional (imparcial) con respecto a:
a) Eficiencia en el uso de los recursos informáticos
b) Validez de la información
c) Efectividad de los controles establecidos

6. TIPOS DE AUDITORIA
• Financiera. Veracidad de los estados financieros, prácticas y
principios contables.
• Tributaria. Observa el cumplimiento del código tributario.
• Gestión. Analiza logros del proceso administrativo, funciones,
métodos, etc.
• Sistemas. Relativo a la función informática.
• Ambiental, Gubernamental, etc.

7. Tipos de auditoria de sistemas
• Desarrollo de sistemas.
• Operación.
• Bases de datos.
• Ofimática.
• Comunicaciones y Redes.
• Seguridad física y lógica.

8. AUDITORIA DE LA OPERACION
INFORMATICA
• La Operación Informática se ocupa de
producir resultados informáticos de todo tipo:
reportes, bases de datos, procesamiento de
documento, etc.
– Control de entrada de datos
– Planificación y Recepción de Aplicaciones
– Centro de Control y Seguimiento de Trabajos
– Operadores de Centros de Cómputos
– Centro de Control de Red y Centro de Diagnosis

9. AUDITORIA DE DESARROLLO DE
PROYECTOS
• Ciclo de vida de los sistemas
• Se utiliza metodología de desarrollo de Proyectos informáticos.
• Exigente control interno de todas las fases antes nombradas.
• Seguridad de los programas, Hacen la función prevista

10. AUDITORIA INFORMATICA DE
SISTEMAS
• Analiza la "Técnica de Sistemas" en todas sus
facetas.
• Sistemas Operativos.
• Sistemas multimediales.
• Software de Teleproceso.
• Administración de Base de Datos.
• Investigación y Desarrollo.
• Algunas áreas por su naturaleza se independizan.

11. AUDITORIA INFORMATICA DE
COMUNICACIONES Y REDES
• Redes LAN, MAN, WAN
• Las Comunicaciones son el Soporte Físico-Lógico de la
Informática en Tiempo Real.
• Topología de la Red de Comunicaciones,
• Nùmero de líneas, cómo son y dónde están instaladas.
• Tipo de terminales, carga de la red, etc.

12. AUDITORIA DE LA SEGURIDAD
INFORMATICA
• Seguridad física y seguridad lógica.
• La Seguridad física se refiere a la protección del
Hardware y de los soportes de datos, así como los
edificios e instalaciones que los albergan.
• La seguridad lógica se refiere a la seguridad de
uso del software, a la protección de los datos,
procesos y programas, así como la del ordenado y
autorizado acceso de los usuarios a la
información.
• Elaboración de "Matrices de Riesgo“.

13. OBJETIVOS DE LA AI (1)
1) Optimizar el costo-beneficio de los sistemas.
2) Satisfacción de los usuarios de los sistemas.
3) Asegurar integridad, confidencialidad y
confiabilidad de la información mediante la
recomendación de seguridades y controles.
4) Conocer la situación actual del área informática y
las actividades y esfuerzos necesarios para lograr
los objetivos propuestos.

14. OBJETIVOS DE LA AI (2)
5) Seguridad de personal, datos, hardware, software
e instalaciones
6) Apoyo de función informática a las metas y
objetivos de la organización
7) Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informático
8) Minimizar los riesgos en el uso de Tecnología
de información
9) Decisiones de inversión y gastos innecesarios
10) Capacitación y educación sobre controles en los
Sistemas de Información

15. Porqué realizar una AI?
1) Aumento en el presupuesto del Dpto de informática.
2) Desconocimiento de la situación informática.
3) Niveles de inseguridades lógicas y físicas.
4) Sospecha de fraudes informáticos.
5) Falta de una planificación informática
6) Organización que no funciona correctamente, falta de políticas,
objetivos, normas, metodología, asignación de tareas y
adecuada administración del Recurso Humano
7) Descontento general de los usuarios por incumplimiento de
plazos y mala calidad de los resultados
8) Falta de documentación o documentación incompleta de
sistemas que revela la dificultad de efectuar el mantenimiento
de los sistemas en producción

16. CONTROLES
Conjunto de disposiciones metódicas, diseñadas con el fin de
vigilar las funciones y actitudes de las empresas para verificar si
todo se realiza conforme a los programas adoptados, ordenes
impartidas y principios admitidos.

17. Clasificación de los controles
• Preventivos. Reducen la frecuencia con que ocurren las
causas del riesgo, permitiendo cierto margen de
violaciones. ("No fumar“, Sistemas de claves de acceso).
• Detectivos. Detectan los hechos después de ocurridos. .
Evalúan la eficiencia de los controles preventivos.
(Archivos y procesos que sirven como pistas de auditoria,
Procedimientos de validación)
• Correctivos. Ayudan a la investigación y corrección de las
causas del riesgo. Porqué ocurrió? Porqué no se detectó?
Qué medidas debo tomar?

18. Controles físicos (1)
• Autenticidad. Permiten verificar la identidad:
Passwords, Firmas digitales
• Exactitud. Aseguran la coherencia de los datos
Validación de campos, Validación de excesos
• Totalidad. Evitan la omisión de registros así como
garantizan la conclusión de un proceso de envío:
Conteo de registros, Cifras de control
• Redundancia. Evitan la duplicidad de datos:
Cancelación de lotes, Verificación de secuencias

19. Controles físicos (2)
• Privacidad: Aseguran la protección de los datos:
Compactación, Encriptación
• Existencia. Aseguran la disponibilidad de los datos:
Bitácora de estados, Mantenimiento de activos,
Protección de Activos, Destrucción o corrupción de
información o del hardware, Extintores
• Efectividad. Aseguran el logro de los objetivos: Encuestas
de satisfacción, Medición de niveles de servicio,
• Eficiencia. Aseguran el uso óptimo de los recursos:
Programas monitores,,Análisis costo-beneficio

20. Controles automáticos o
lógicos
• Periodicidad de cambio de claves de acceso
• Combinación de alfanuméricos en claves de
acceso
• Verificación de datos de entrada.
• Conteo de registros.
• Totales de Control.
• Verificación de límites.
• Verificación de secuencias.
• Dígito autoverificador.

21. Controles administrativos en
Informática
• Controles de Preinstalación
• Controles de Organización y Planificación
• Controles de Sistemas en Desarrollo y Producción
• Controles de Procesamiento
• Controles de Operación
• Controles de uso de Microcomputadores

22. Controles de
preinstalación(1)
Hacen referencia a procesos y actividades previas a la
adquisición e instalación de un equipo de computación y
obviamente a la automatización de los sistemas
existentes.
Objetivos:
* Garantizar que el hardware y software se adquieran siempre y
cuando tengan la seguridad de que los sistemas computarizados
proporcionaran mayores beneficios que cualquier otra alternativa.
* Garantizar la selección adecuada de equipos y sistemas de
computación
* Asegurar la elaboración de un plan de actividades previo a la
instalación

23. Acciones a seguir
• Elaboración de un informe técnico que se justifique la adquisición del
equipo, software y servicios de computación, incluyendo un estudio
costo-beneficio.
• Formación de un comité que coordine y se responsabilice de todo el
proceso de adquisición e instalación
• Elaborar un plan de instalación de equipo y software (fechas,
actividades, responsables) el mismo que debe contar con la
aprobación de los proveedores del equipo.
• Elaborar un instructivo con procedimientos a seguir para la selección
y adquisición de equipos, programas y servicios computacionales.
Este proceso debe enmarcarse en normas y disposiciones legales.
• Efectuar las acciones necesarias para una mayor participación de
proveedores.
• Asegurar respaldo de mantenimiento y asistencia técnica.

24. Controles de organización y
Planificación(1)
• Se refiere a la definición clara de funciones, línea
de autoridad y responsabilidad de las diferentes
unidades del área informática, en labores tales
como: Diseño del sistema, Programación,
Operación del sistema, Control de calidad.
• Se debe evitar que una misma persona tenga el
control de toda una operación. Es importante la
utilización óptima de recursos mediante la
preparación de planes a ser evaluados
continuamente

25. Acciones a seguir
• La unidad informática debe estar al mas alto nivel de la pirámide
administrativa.
• Deben existir mecanismos necesarios a fin de asegurar que los
programadores y analistas no tengan acceso a la operación del
computador y los operadores a su vez no conozcan la documentación
de programas y sistemas.
• Debe existir una unidad de control de calidad.
• El manejo y custodia de dispositivos y archivos magnéticos deben
estar expresamente definidos por escrito.
• Debe formularse el "Plan Maestro de Informática“ (PESI)
• Debe existir una participación efectiva de directivos, usuarios en la
planificación y evaluación del cumplimiento del plan.
• Las instrucciones deben impartirse por escrito.

26. Controles de Sistema en
Desarrollo y Producción(1)
• Se debe justificar que los sistemas han sido la mejor opción
para la empresa, bajo una relación costo-beneficio que
proporcionen oportuna y efectiva información, que los sistemas
se han desarrollado bajo un proceso planificado y se
encuentren debidamente documentados.

27. Acciones a seguir
• Equipo de trabajo: usuarios, personal de auditoría
interna/control, especialistas.
• El desarrollo, diseño y mantenimiento de sistemas
obedece a un plan estratégico.
• Documentación de fases con actas de
conclusión/recepción.
• Prueba de programas.
• Documentación de sistemas: informes, diagramas,
objetivos de los programas, fuentes, formatos de
entrada/salida.
• Procesos de contingencia.

28. Controles de Procesamiento(1)
Los controles de procesamiento se refieren al ciclo
que sigue la información desde la entrada hasta la
salida de la información, lo que conlleva al
establecimiento de una serie de seguridades para:
– Asegurar que todos los datos sean procesados
– Garantizar la exactitud de los datos procesados
– Garantizar que se grabe un archivo para uso de la
gerencia y con fines de auditoria
– Asegurar que los resultados sean entregados a los
usuarios en forma oportuna y en las mejores
condiciones.

29. Acciones a seguir
• Preparación y validación de datos de entrada previo
procesamiento debe ser realizada en forma automática:
clave, dígito autoverificador, totales de lotes, etc.
• Procesos de corrección de errores.
• Estandarización de formularios, fuente para agilitar la
captura de datos y minimizar errores.
• Los procesos interactivos deben garantizar una adecuada
interrelación entre usuario y sistema.
• Planificar el mantenimiento del hardware y software,
tomando todas las seguridades para garantizar la
integridad de la información y el buen servicio a usuarios.

30. Controles de Operación
• Abarcan el ambiente de la operación del equipo y
dispositivos de almacenamiento, la operación de
terminales y equipos de comunicación.
• Los controles tienen como fin:
– Prevenir o detectar errores accidentales que puedan
ocurrir en el Centro de Cómputo durante un proceso
– Evitar o detectar el manejo de datos con fines
fraudulentos por parte de funcionarios del PAD
– Garantizar la integridad de los recursos informáticos.
– Asegurar la utilización adecuada de equipos acorde a
planes y objetivos, Recursos Informáticos

31. Acciones a seguir(1)
El acceso al centro de computo solo personal autorizado.
Ingreso a equipos con claves
Políticas de seguridad, privacidad y protección de los
recursos informáticos frente a: incendio, vandalismo, robo
y uso indebido, intentos de violación y como responder
ante esos eventos.
Llevar una bitácora de todos los procesos realizados, dejando
constancia de suspensiones o cancelaciones.
Procesos de recuperación o restauración de información.
Todas las actividades del Centro de Computo deben
normarse mediante manuales, instructivos, normas,
reglamentos, etc.

32. Acciones a seguir(2)
El proveedor de hardware y software deberá proporcionar lo siguiente:
– Manual de operación de equipos
– Manual de lenguaje de programación
– Manual de utilitarios disponibles
– Manual de Sistemas operativos
Las instalaciones deben contar con sistema de alarma por presencia de
fuego, humo, asi como extintores de incendio, conexiones eléctricas
seguras, entre otras.
Instalar equipos que protejan la información y los dispositivos en caso de
variación de voltaje como: reguladores de voltaje, supresores pico,
UPS, generadores de energía.
Contratar pólizas de seguros para proteger la información, equipos,
personal y todo riesgo que se produzca por casos fortuitos o mala
operación.

33. Controles en el uso del
Microcomputador
• Es la tarea mas difícil pues son equipos vulnerables, de fácil
acceso, de fácil explotación pero los controles que se implanten
ayudaran a garantizar la integridad y confidencialidad de la
información.

34. Acciones a seguir
• Adquisición de equipos de protección: supresores de pico,
reguladores de voltaje y UPS
• Vencida la garantía de mantenimiento del proveedor se debe
contratar mantenimiento preventivo y correctivo.
• Establecer procedimientos para obtención de backups de paquetes y
de archivos de datos.
• Revisión periódica y sorpresiva del contenido del disco para verificar
la instalación de aplicaciones no relacionadas a la gestión de la
empresa.
• Mantener programas y procedimientos de detección e inmunización
de virus en copias no autorizadas o datos procesados en otros
equipos.
• Propender a la estandarización del Sistema Operativo, software
utilizado como procesadores de palabras, hojas electrónicas,
manejadores de base de datos y mantener actualizadas las versiones
y la capacitación sobre modificaciones incluidas.