ESTANDARES DE DOCUMENTACION DE AUDITORIA

Metodologa para realizar auditoras de sistemas computacionales

Se pueden desarrollar una serie de actividades y tcnicas que nos pueden ayudar a
realizar la auditoria de informacin:

Inventario fsico.

Es el proceso de identificacin y categorizacin de los recursos de informacin de
una forma sistemtica. De esta forma, se proporciona una fotografa de lo que la
organizacin posee en trminos de recursos de informacin en un momento
determinado.
Masificacin de la informacin (Infomap). Constituye una forma grfica de
representar los recursos de informacin que hay en la organizacin y las
interrelaciones entre stos. El mapa de recursos indica hasta qu punto los recursos
de informacin son bsicos, de qu modo se encuentran posicionados
(geogrficamente, departamentalmente, desde un punto de vista tcnico), cmo
interactan, quin los utiliza, quin es el responsable, etc.

Anlisis de las necesidades de informacin.

Tiene como finalidad principal determinar qu informacin requieren los
empleados y la direccin de la organizacin para desarrollar sus papeles y alcanzar
los objetivos.
Grficos de procesos y flujos de trabajo. Los grficos de procesos junto con los
flujos de trabajo pueden constituir una buena herramienta de trabajo en el mbito
de las auditorias de la informacin.

Procesos de control y verificacin.

En una auditoria de la informacin, se deben establecer tambin los procesos de
control y verificacin. El resultado de estos procesos puede consistir en un informe
o, incluso, un certificado que confirme que todo es correcto o que incluya
recomendaciones de mejora. Hay que tener presente que el mapa de recursos de
informacin, o mapa documental, puede constituir uno de los principales
resultados del proceso de la auditoria de informacin. En el caso del mapa
documental, ste detalla qu documentos se encuentran dentro de la organizacin,
a qu tipo de funciones se encuentran vinculados y dan respuesta, quin tiene la
responsabilidad y el acceso a esos documentos, en qu soporte estn disponibles,
dnde y cmo se encuentran accesibles y qu relacin o nivel de integracin tienen
con el resto de los sistemas de informacin de la organizacin. Tambin se
establece la localizacin de todos los documentos dentro de los estndares y los
procedimientos de la organizacin, as como su valor para el conocimiento
corporativo

Papeles de trabajo para la auditora de sistemas computaciones

A lo largo de todo el trabajo de auditora, el auditor debe guardar las pruebas
evidentes de lo realizado, no solo como recordatorio fundado de su actuacin con
las necesarias matizaciones para emitir el informe, sino como medio de demostrar,
en cualquier momento, la amplitud y la evidencia de los hechos, y poder expresar
los procedimientos de auditora utilizados, as como la interpretacin dada en cada
caso a los hechos, con las conclusiones obtenidas.
Estas pruebas, deben ser conservadas en lugar protegido, donde no puedan
ser inspeccionadas por terceros ajenos al auditor o equipo de auditores. No
debern destruirse antes de que haya transcurrido el tiempo que establecen las
obligaciones derivadas de las leyes y de las necesidades de la prctica profesional.
Su destruccin o prdida, as como la difusin no autorizada, acarreara
responsabilidad para el auditor.
Estructura de contenidos. Cuando hablamos de papeles de trabajo, nos
estamos refiriendo al conjunto de documentos preparados por un auditor, que le
permite disponer de una informacin y de pruebas efectuadas durante su actuacin
profesional en la empresa, as como las decisiones tomadas para formar su opinin.
Su misin es ayudar en la planificacin y la ejecucin de la auditora, ayudar
en la supervisin y revisin de la misma y suministrar evidencia del trabajo llevado
a cabo para respaldar la opinin del auditor.
Han de ser detallados y completos los papales de trabajo y deben estar
diseados para presentar la informacin requerida de forma clara y plena de
significado. Estos deben elaborarse en el momento en que se realiza el trabajo y son
propiedad del auditor, quien debe adoptar las medidas oportunas para garantizar
su custodia sin peligro y su confidencialidad.
En cuanto a los objetivos de los papeles de trabajo podemos indicar los
siguientes:
- Servir como evidencia del trabajo realizado y de soporte de las conclusiones del
mismo.
- Presentar informes a las partes interesadas.
- Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo
ejecutado en las oficinas del cliente.
- Facilitar la continuidad del trabajo en el caso de que un rea deba ser terminada
por persona distinta de la que la inici.
- Facilitar la labor de revisiones posteriores y servir para la informacin y
evaluacin personal.

Tipos de papeles de trabajo.

En funcin de la fuente de la que procedan los papeles de trabajo, stos se podrn
clasificar en tres grupos:
a) Preparados por la entidad auditada. Se trata de toda aquella documentacin que
la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo:
estados financieros, memoria, escritura, contratos, acuerdos.
b) Confirmaciones de terceros. Una parte del trabajo de auditora consiste en la
verificacin de los saldos que aparecen en el balance de situacin a auditar.
c) Preparados por el auditor. Este ltimo grupo estar formado por toda la
documentacin elaborada por el propio auditor a lo largo del trabajo a desarrollar:
cuestionarios y programas, descripciones, detalles de los diferentes captulos de los
estados financieros, cuentas, transacciones, Sistemas de archivo. Un
complemento necesario a los papeles de trabajo lo constituye el archivo de trabajo.
En l deben figurar recopilados todos los documentos utilizados en la actuacin
profesional, as como cuantas informaciones se consideren de inters, tanto para el
presente como para el futuro.

Se pueden distinguir dos tipos de archivos: expediente de ejercicio y permanente.
El contenido de este archivo se refiere a documentos y papeles de trabajo cuya
vigencia se limita al perodo de realizacin de la auditora.
a) Archivo general Agrupa toda informacin referente a la organizacin de la
auditora, al mismo tiempo recoger la documentacin en la que se han ido
reflejando los principales problemas que se han planteado en la ejecucin de la
auditora y las conclusiones a las que a ha ido llegando el auditor. De esta forma,
podramos destacar como apartados importantes de la seccin general del
expediente del ejercicio:
- Estados financieros a auditar
- Proceso de planificacin y programas de auditora
- Informe sobre el sistema de control interno contable
- Indicacin de quin realiz los procedimientos de auditora y cundo fueron
realizados
- Constancia de que el trabajo realizado por colaboradores ha sido supervisado y
revisado
- Puntos de informe
-Correspondencia con el cliente y resumen de las conversaciones mantenidas
- Hechos posteriores
- Terminacin de la auditora

b) Archivo por reas de trabajo

Informes de auditoria
Objetivos

Destacar la importancia que tiene el saber presentar profesionalmente los informes
de auditora computacionales. El auditor tiene que ser muy cuidadoso al plasmar
en libro, documento o escrito porque es como dar un sello personal.
Procedimientos para elaborar el informe. En el informe de auditora, tambin
llamado dictamen, se reportan las situaciones encontradas durante la evaluacin,
pero se deben incluir las causas que originan esas situaciones y las posibles
sugerencias para solucionar los problemas encontrados. Los procedimientos para
elaborar dicho informe se compone de los siguientes pasos.

1. Aplicar instrumentos de recopilacin
2. Registrar el formato de situaciones encontrada.
3. Comentar las situaciones encontrada con los auditados.
4. Analizar, depurar y corregir las desviaciones encontradas.
5. Presentar informe y dictamen final a los directivos de la empresa.
6. Comentar las situaciones encontrada con los auditados.

Una vez identificada las siguientes situaciones encontrada, es responsabilidad del
encargado de la auditoria comentar cada una de esas desviaciones con el personal
responsable de la operacin o sistema de informacin o funcin auditada. Adems,
comentarlo con los auditados esto permite preparar las posibles soluciones para
esas desviaciones.
Encontrar causas de las desviaciones con los auditados. Tambin se recomienda
encontrar de manera ms fidedigna y confiable las causas que generan cada una de
las desviaciones, a fin de reportarla en el informe lo ms apegado posible a la
realidad. Es necesario tener pendiente que al conocer las desviaciones que se le
imputan, el auditado tratara de defenderse, sealando las causas que generaron
cada una de las desviaciones encontradas, as directamente al escuchar la voz del
auditado el auditor puede comprobar o ratificar las causas que haba planteado. No
obstante, como es natural, en las reuniones muchos de los auditados trataran de
evadir o justificar su responsabilidad en las desviaciones e incluso, en algunos
casos extremos, pueden hasta negar la existencia o conocimiento de la situacin
que se le imputa.

Elaboracin del informe final y el dictamen del auditor: En ese informe el
auditor solo debe incluir lo ms relevante de la evaluacin, incluyendo su opinin.
En este informe es que denota la importancia de su actividad al sealar en qu
situacin estaba la empresa o departamento antes de la evaluacin por los
auditores. El informe es algo prctico y corto, cabe aclarar que la razn de plasmar
este informe en tan poco espacio es que los directivos de una empresa, por lo
general, tienen poco conocimiento del el lenguaje que se maneja en los sistema
computacionales.

Caractersticas fundamentales: Se pueden identificar dos caractersticas
fundamentales en los informes de auditora en los sistemas computacionales los
cuales siempre se refieren al contenido del informe y la forma de presentarlo.
Dichas caractersticas son la siguiente:

Caractersticas de fondo: Se refiere al cuidado que debe tener el auditor de
sistema al revisar que el contenido total del dictamen de auditora sea acorde con lo
que realmente tiene que sealar acerca de la revisin afectada, refirindose
exclusivamente al contenido del informe. Para esto tiene que tener en cuenta
diversos aspectos los como que el documento sea veraz, confiable, oportuno,
objetivo, claro, completo y que el lector de dicho dictamen o resumen sea pueda
entender con facilidad dicho informe.

Caractersticas de forma: Estas caractersticas se refieren a la manera en que el
auditor debe presentar el informe en cuanto al estilo de redaccin, el contenido en
partes, apartados, apndices, tipo y tamao de las hojas y el tipo de letra; tambin
en lo relativo en la forma de utilizar la redaccin, ortografa, sintaxis, gramtica y
dems componentes del lenguaje y todo lo relacionado con la presentacin del
documento.

Caractersticas de la presentacin del informe. Otras de las caractersticas
ms importantes de un informe de auditora de sistemas computacionales son los
atributos que deben tener la redaccin y la presentacin del informe; para lograr
mejores resultados en la elaboracin del citado informe, el auditor debe tomar en
cuenta las caractersticas que proponemos a continuacin: Claridad, efectividad,
Confiabilidad, positividad, Propiedad, sintaxis, Concisin, Sencillez, Asertividad,
Exactitud, Familiaridad y Veracidad.

Tcnicas de evaluacin aplicables en una auditoria de sistemas computacionales
En la auditoria de sistemas computacionales se utilizan una serie de herramientas
tradicionales de auditora, as como tcnicas de valoracin que permite hacer una
evaluacin ms eficiente de los sistemas computacionales. Como profesional
especializado en la rama, el auditor de sistemas computacionales utilizas estas
tcnicas pues le ayudan a examinar y evaluar correctamente los diferentes aspectos
del ambiente de sistemas en el que realiza su trabajo. Estas tcnicas, mtodos,
procedimientos o herramientas son:

Examen: Consiste en analizar y poner a prueba la calidad y el cumplimiento de
las funciones, actividades y operaciones que se realizan cotidianamente en una
empresa, es utilizado para evaluar los registros, planes, presupuestos, programas,
controles y todo lo dems aspectos que afectan la administracin y control de una
empresa o de las reas que la integran. En la auditoria de sistemas
computacionales podemos entender el examen como: El anlisis, prueba o
demostracin al que se somete algn fenmeno o hecho relacionado con la gestin
administrativa de un centro de cmputo, de sus componentes o de la operacin del
sistema procesados de informacin, con el propsito de evaluar el cumplimiento de
sus funciones, actividades y operaciones, as como el cumplimiento del
procesamiento de datos y la emisin de informacin que se requiere en la empresa
o en las reas que la integren.

Inspeccin: La inspeccin en sistemas computacionales es Sinnimo de
supervisin, ya que trata de examinar la forma en que se desarrollan las actividades
de un rea de sistemas computacionales, a fin de evaluar y emitir un informe sobre
el desarrollo normal de sus funciones y operaciones; tambin tiene como propsito
monitorear el desarrollo cotidiano de las funciones, actividades y operaciones
normales de las empresa, para evaluar y si es necesario, corregir su desarrollo
beneficio. Esta herramienta es aplicada de acuerdo con las caractersticas
especficas de cada centro de cmputo o de cada sistema computacional, un
ejemplo de los posibles aspectos del ambiente de sistemas computacionales donde
puede ser aplicada es: La inspeccin de los sistemas de seguridad y proteccin de
las instalaciones, equipo, personal y de los propios sistemas de procesamiento, con
el propsito de dictaminar sobre su eficiencia y confiabilidad.

Confirmacin: Es uno de los aspectos fundamentales para la credibilidad de una
auditoria es la confirmacin de los hechos y la certificacin de los datos obtenidos
durante la revisin; ya que el resultado final de una auditoria es la emisin de un
dictamen en el que el auditor vierte sus opiniones, la caracterstica fundamental de
una auditoria, cualquiera que sea su tipo, es la autenticidad con la que el auditor
emite sus opiniones, sean a favor o en contra. En los sistemas computacionales su
fin es confirmar la oportunidad, veracidad de los gastos de nomina del personal de
la empresa , comparando los resultados de una quincena con los clculos manuales
de esa misma quincena, validar las desviaciones encontradas en los
procesamientos, revisar las licencias de software instalados en los sistemas
computacionales y confirmar la confiabilidad de las protecciones , contraseas y
dems medidas de seguridad establecidas para el acceso a la informacin y a los
sistemas de la empresa.

Comparacin: Esta debe ser aplicada de acuerdo a las necesidades y
caractersticas especficas del rea de sistemas o del propio sistemas que va a ser
auditado. Con la comparacin de informacin se pueden encontrar las similitudes y
diferencias entre ambas reas o empresa, con lo cual se pueden hacer conjeturas y
deducciones sobre las desviaciones encontradas. En la auditoria de sistemas
computacionales, la comparacin de los datos en el sistemas computacionales que
va a ser elevado con los datos de algn sistemas similar o igual para avalar y
comprobar que los procesamientos sean similares o iguales y que los resultados
sean confiables, verdicos, oportunos y que satisfagan las necesidades de
procesamiento del rea de cmputo de la empresa.

Revisin documental: Es la forma ms importante de evaluar a las empresas;
adems no solo sirve para aplicaciones en una auditoria tradicional, sino tambin
como un importante apoyo en los diferentes tipo de auditora de sistemas
computacionales; claro esta adoptndola a las caractersticas especificas de
evaluacin de los sistemas computacionales. La revisin documental avala los
registros de operaciones y actividades de una empresa, principalmente en aquellos
casos donde la evaluacin est enfocada a los aspectos financieros, registros de los
activos y a cualquier otro aspecto contable y administrativo de la empresa. Esta
tcnica se aplica verificando el registro correcto de datos en documentos formales
de la empresa, con mucha frecuencia la emisin de sus resultados financieros. En
los sistemas computacionales es utilizada para evaluar el desarrollo de las
operaciones y funcionamiento del sistema, revisar el uso y registro adecuado de los
documentos del software, verificar la existencia y actualizacin de registros
formales para la administracin y control de operacin del sistema.

Acta testimonial: Es un documento de carcter formal, que por su
representatividad, importancia y posibles alcances de carcter legal y jurdico es
uno de los documentos vitales. La importancia de este radica en que con su uso se
pueden evidenciar pruebas fehacientes, circunstanciales, probatorias para
comprobar desviaciones en el rea auditada y es utilizada para testimoniar los
robos, desapariciones o cualquier aspecto relacionado con la desaparicin de algn
bien de la empresa, para fincar responsabilidades por deficiencia en las actividades
de la empresa; aunque puede ser levantada en cualquier otra incidencia de las
actividades cotidiana de una empresa.

Matriz de evaluacin: Es uno de los documentos de recopilacin ms verstiles
y de mayor utilidad para el auditor de sistemas computacionales, debido a que a
travs de esta es posible recopilar una gran cantidad de informacin relacionada
con las actividades realizadas en esta rea de informtica, esta herramienta
consiste en una matriz de seis columnas de las cuales la primera corresponde a la
descripcin, y las otras cinco a un criterio de evaluacin descendente o ascendente
(Exc., Bueno, Suf., Reg., Deficiente).

Matriz dofa: es un acrnimo de Debilidades, Oportunidades, Fortalezas y
amenazas de la empresa, las cuales son analizadas cada una por separado en
cuanto a su presencia interna y a la influencia que la empresa recibe del exterior. El
fundamento para la aplicacin de la matriz DOFA en una auditoria de sistemas
computacionales, es que mediante la misma se pueden estudiar las influencias que
afectan el comportamiento del rea de sistemas computacionales de una empresa,
tanto las quien recibe de su ambiente interior como exterior, ya sean de la propia
empresa o de sus proveedores, desarrolladores o del entrono donde este
establecida.


Tcnicas especiales de auditora de sistemas computacionales
Diagramas del crculo de evaluacin. Herramienta de apoyo para la evaluacin de
los sistemas computacionales. Para valorar visualmente: El comportamiento de los
sistemas que estn siendo auditados. Su cumplimiento Sus limitaciones. Durante
las diferentes etapas: Estudio Preliminar, Anlisis del Sistema, Diseo Conceptual,
Diseo Detallado, Programacin, Pruebas, Implantacin. Diagramas del crculo de
evaluacin. Que Podemos Evaluar Con Esta Herramienta? Seguridad en el rea de
sistemas computacionales. Evaluacin administrativa del rea de sistemas.

Evaluacin de los sistemas computacionales Seguridad en el rea de
sistemas computacionales: Acceso fsico al rea de sistemas. Acceso, uso,
mantenimiento y resguardo de las bases de datos. Del personal informtico. De las
instalaciones del rea de sistemas. Plan de contingencias. Seguridad lgica del
sistema.

Evaluacin administrativa del rea de sistemas De la misin, visin,
objetivos, estrategias, planes, programas, estructura de la organizacin, perfil de
puestos.

Evaluacin de la documentacin de sistemas, de la seguridad y la proteccin
de los archivos informticos, instalaciones.

Evaluacin de la capacitacin, adiestramiento y promocin del personal.

Evaluacin del desarrollo de proyectos informticos, estandarizacin de
metodologas, programas, equipos, sistemas, mobiliario. Lista de verificacin (o
lista de chequeo).Instrumento que contiene criterios o indicadores a partir de los
cuales se miden y evalan las caractersticas del objeto, comprobando si cumple
con los atributos establecidos. La lista de verificacin se utiliza bsicamente en la
prctica de la investigacin que forma parte del proceso de evaluacin.

Anlisis de la diagramacin de sistemas. Anlisis de la diagramacin de
sistemas. Unas de las principales herramientas para el anlisis y diseo de los
sistemas computacionales. El analista puede representar: Los flujos de
informacin., actividades, operaciones, procesos y otros aspectos que intervienen
en el desarrollo de los propios sistemas El programador puede visualizar el
panorama especfico del sistema, para elaborar de manera ms precisa la
codificacin de instrucciones para el programa. Anlisis de la diagramacin de
sistemas. El auditor puede utilizar esta herramienta para el diseo de sistemas de
diferentes formas en una auditoria de sistemas, de acuerdo con su experiencia,
conocimientos y habilidades, mismas que debe canalizar en los siguientes sentidos:
Solicitar los diagramas del sistema. Analizar el diagrama del sistema. Elaborar un
diagrama del sistema. Verificar la documentacin de los sistemas a travs de sus
diagramas.

Propuesta de puntos que se deben evaluar en una auditora de sistemas
computacionales
En el desarrollo de sistemas se debe emplear la misma metodologa que utilizan los
diseadores de sistemas o el equipo de trabajo asignado. Mientras que el objetivo
primario del auditor es evaluar la suficiencia de los controles internos, el objetivo
del diseador de sistemas es satisfacer las necesidades de los usuarios; ambos
deberan
compartir el deseo de ver que se logran los objetivos de cada uno.

Participacin del auditor

An cuando el auditor est interesado en todos los aspectos del nuevo sistema,
debe velar porque se establezcan todos los controles de aplicacin. Su principal
funcin es asegurar que los sistemas, recientemente implantados incluyan
caractersticas de control slidas y confiables. En trminos generales es ayudar a
prevenir que se implanten sistemas de aplicacin que tengan riesgos importantes.
El auditor participa en el proceso de desarrollo de sistemas revisando la
documentacin generada como producto final de ciertas actividades de desarrollo
de sistemas.
En estas actividades su inters se concentrar primordialmente en el
desarrollo
e implantacin de controles de aplicacin adecuados. El auditor necesita reconocer
que su participacin durante el desarrollo de los sistemas puede amenazar su
independencia y deber tomar medidas para evitar esta prdida. Estas medidas
incluyen:
* Permanecer organizacionalmente independiente del grupo de sistema. Esto
significa
que el auditor no es un miembro en propiedad del grupo de desarrollo de sistema
y no le quita la direccin del proyecto al gerente del grupo del proyecto.
* Redactar los informes independientemente del grupo del proyecto. Las opiniones
del auditor, sus recomendaciones y sus evaluaciones no deberan incluirse en los
informes de status del proyecto puesto que el emisor de los informes (usualmente
el gerente del grupo del proyecto) tiene autoridad editorial para modificar las
declaraciones del auditor.
* Investigar independientemente del grupo del proyecto. El grupo del proyecto
puede
estar restringido a ciertos contactos y cierta autoridad, pero el auditor tiene
libre acceso a la informacin y al personal de la organizacin.

Programa de trabajo

1. Establecer el planeamiento preliminar del trabajo de auditora: En este primer
paso se obtiene un conocimiento inicial de las actividades del sistema y evaluarlas
en relacin con los objetivos de auditora, a fin de determinar el alcance preliminar.
2. Participacin del Auditor en el Desarrollo de Sistemas: Determinar el grado de
participacin del auditor en cada fase del ciclo de vida del sistema, una vez
que ha sido identificado. Los auditores de sistema necesitan participar en el
proceso
de desarrollo de los sistemas para garantizar que los nuevos sistemas de
informacin
diseen las medidas adecuadas de auditora y de control. Los dos tipos de
autorizacin donde se involucra el auditor son: El auditor debe tener un grado de
participacin mediante un acuerdo y revisin de las fases.
3. Acuerdo: Es el acuerdo formal con el contenido del producto tangible. En caso de
desacuerdo, la persona responsable de evaluar el producto tangible prepara un
memorando indicando su posicin y los items que requieren solucin y lo enva o
remite al siguiente nivel superior gerencial.
4. Revisin: Los productos tangibles son presentados para informacin solamente;
pueden hacerse comentarios pero ellos no son decisivos.
5. Revisin de Productos Finales: Acordar y revisar las actividades y el producto
final de cada fase del ciclo de vida del desarrollo del sistema. El auditor debe
revisar que las firmas de aprobacin para todos los productos tangibles estn
plasmadas en el control de aceptacin de etapas. As mismo el auditor debe
preparar los papeles de trabajo con el propsito de evidenciar y documentar los
resultados de la investigacin del proyecto y que sirvan como material de referencia
para esfuerzos futuros.
6. Identificar las fuentes de informacin para las revisiones y/o pruebas de auditora:
Este paso incluye la identificacin de las fuentes de informacin que se requieren
en los procesos de prueba y revisin. Las fuentes de informacin proveen los
medios
para la revisin y documentacin de las actividades de auditora y verificacin
de controles.
























FACTORES QUE SE TOMAN EN CUENTA PARA REALIZAR UNA AUDITORIA
A UN CENTRO DE CMPUTO.
FACTORES QUE SE DEBEN TOMAR EN CUENTA AL MOMENTO DE
REALIZAR UNA AUDITORIA DENTRO DE UN CENTRO DE CMPUTO.
Antes de plantear los objetivos, se deben tomar en cuenta ciertos factores determinante,
los cuales deben ser perseguidos por todo auditor al momento de realizar su labor. Estos
factores son:
Caractersticas de la organizacin objeto de estudio
Caractersticas del departamento de informtica a auditar
Limitaciones tcnicas del auditor
Determinar el nivel de riesgo aparente del sistema o instalacin a auditar
Identificar las reas crticas de control en las que se detecten unos mayores ndices
de riesgo.
Identificar la seguridad del local a auditar
Identificar la seguridad de los equipos instalados dentro de las instalaciones del
Centro de Cmputo.
Definir objetivos y alcance del trabajo a auditar
CLASIFICACIN DE LAS REAS A AUDITAR DENTRO DE UN CENTRO DE
CMPUTO.

Para un mejor logro de nuestros objetivos, al momento de realizar la auditoria, se
debe tener claro cules son las reas que se van a evaluar y clasificarlas con la finalidad de
lograr un mayor rendimiento en cuanto a calidad y tiempo.
A continuacin detallamos la clasificacin de las diferentes reas a evaluar dentro
de un Centro de Cmputo.

Auditoria directa al Centro de Cmputo, como espacio fsico.
Controles dentro de la Organizacin y Auditoria al Personal
Auditora al desarrollo de hardware, software y todos sus componentes.
Auditora a las Aplicaciones en Funcionamiento.
Auditora al Ambiente de Redes.
Recomendaciones y certificaciones.
1. Auditora a la Seguridad en el Centro de Cmputo

Al realizar nuestra evaluacin y auditoria al Centro de Cmputo como aspecto fsico, lgico
y de seguridad, necesitamos evaluar el espacio, los controles dentro y fuera del centro de
cmputo, anlisis del local, y sobre todo, la seguridad del local y los implementos con que
cuenta.
Riesgos Fsicos: Son todos los peligros que corre el local para el cual se est realizando la
auditoria. Es la contingencia o probabilidad de que ocurra un dao.
Peligro: es el riesgo o contingencia inminente de que ocurra un mal. En el caso que nos
interesa (El centro de cmputo), el dao o el mal est vinculado con el perjuicio que pueda
ocurrirle a cualquiera o cada uno de los implementos o artefactos que se encuentra dentro
de nuestro local.
Seguridad del Centro de Cmputo: Debemos recordar que nuestro local guarda dentro de
sus instalaciones equipos de suma importancia y altos costos, por consiguiente, al realizar
nuestra auditoria, debemos cerciorarnos de la seguridad que tiene el Centro de Cmputo y
de ser deficiente, debemos realizar nuestras recomendaciones para que el mismo cuente con
unas condiciones de ptima seguridad como podran ser:
Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, as
como extintores de incendio, conexiones elctricas seguras, entre otras.
Contratar plizas de seguros para proteger la informacin, equipos, personal y todo riesgo
que se produzca por casos fortuitos o mala operacin.
El acceso al centro de cmputo debe contar con las seguridades necesarias para reservar el
ingreso al personal autorizado
Implantar claves o password para garantizar operacin de computo solo a personal
autorizado.
Formular polticas respecto a seguridad, privacidad y proteccin de las facilidades de
procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de
violacin y cmo responder ante esos eventos.
Mantener un registro permanente (bitcora) de todos los procesos realizados, dejando
constancia de suspensiones o cancelaciones de procesos.
Los operadores del equipo central deben estar entrenados para recuperar o restaurar
informacin en caso de destruccin de archivos.
Los back ups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares
seguros y adecuados, preferentemente en bvedas de bancos, tomando en cuenta el tamao
e importancia de la informacin que se guarda.
Se deben implantar calendarios de operacin a fin de establecer prioridades de proceso.
Todas las actividades del Centro de Computo deben normarse mediante manuales,
instructivos, normas, reglamentos, etc.
El proveedor de hardware y software deber proporcionar lo siguiente:
2. Controles dentro de la Organizacin y Auditoria al Personal:
Se refiere a la organizacin dentro del Centro de Cmputo, a la definicin clara de
funciones, lnea de autoridad y responsabilidad de las diferentes unidades del rea; Se debe
evitar que una misma persona tenga el control de toda una operacin dentro de una
organizacin.
Al realizar el reconocimiento del personal, debemos hacer un anlisis del tipo de
persona y el alcance de los conocimientos que tiene respecto a los servicios que se brindan
dentro del establecimiento.

Controles dentro de La Organizacin del Centro de Cmputo:
Al realizar la auditoria, debemos tener claro que toda organizacin debe ceirse a
ciertos controles, los cuales abarcan todo el ambiente de la operacin del equipo central de
computacin y dispositivos de almacenamiento, la administracin de la cintoteca y la
operacin de terminales y equipos de comunicacin por parte de los usuarios de sistemas de
los diferentes servicios que se brindan dentro de Centro de Cmputo motivo de nuestra
auditoria. Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cmputo
durante un proceso
Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios.
Garantizar la integridad de los recursos informticos.
Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos.
Auditoria de personal. Planteamiento general:
Tipologa del personal al servicio de las empresas. Personal en rgimen laboral y
personal no laboral. Personal fijo y temporal. Los trabajadores extranjeros en particular.
Documentacin a solicitar de la empresa. Formularios de apoyo. Desarrollo del trabajo.
Conclusiones e informes del Auditor Laboral.
Una auditora de los recursos humanos evala las actividades de administracin de
personal en la organizacin con el objetivo de mejorarlas. La auditora puede cubrir un
departamento, una divisin o toda la corporacin.
Para ser verdaderamente eficientes, las actividades de recursos humanos de la
corporacin deben considerar las necesidades y objetivos del personal, y al mismo tiempo
tener en cuenta y mantenerse en consonancia con los objetivos corporativos.
3. Auditora al desarrollo de hardware, software y todos sus componentes. Al
momento de realizar nuestra auditoria sobre lo que es el desarrollo de software, hardware,
sistemas operativos y archivos, necesitamos poner especial inters y cuidado en lo que a
esta rea se refiere ya que para que el Centro funcione a la perfeccin, debemos tener en
cuenta los siguientes puntos:

Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad
de que los sistemas computarizados proporcionen mayores beneficios que cualquier otra
alternativa.
Garantizar la seleccin adecuada de equipos y sistemas de computacin
Asegurar la elaboracin de un plan de actividades previo a la instalacin.
Instalar equipos que protejan la informacin y los dispositivos en caso de variacin de
voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energa.
Hardware: El hardware comprende aquellos elementos fsicos que intervienen en el
sistema de informacin que comprenden los registros fsicos, los perifricos y el ordenador
central.

En estos componentes ( hardware ) se incide en auditora sobre la salvaguarda de activos,
esto es, tipos de custodia o requerimientos que comprenden todos los elementos fsicos
integrantes del sistema de informacin.
Algo muy interesante de auditar es ver si el componente fsico es adecuado con el soporte
lgico que se tiene o que se quiere tener.
Software: Este viene siendo el componente lgico de un sistema de informacin que va
desde las aplicaciones informticas hasta la configuracin de los campos que se utilizan en
el sistema de informacin. En una auditoria, este es un punto clave, pues es el que nos
indica el grado de calidad con que cuenta el centro de cmputo para brindar los servicios
solicitados.
Sistema Operativo: (SO) es el programa o conjunto de programas que efectan la gestin
de los procesos bsicos de un sistema informtico, y permite la normal ejecucin del resto
de las operaciones.
Uno de los propsitos del sistema operativo consiste en gestionar los recursos de
localizacin y proteccin de acceso del hardware. La mayora de aparatos electrnicos que
utilizan microprocesadores para funcionar, llevan incorporado un sistema operativo.
(telfono mvil, reproductores de DVD, radios, etc).

Archivos: Un archivo o fichero informtico es un conjunto de bits almacenado en un
dispositivo.

Un archivo es identificado por un nombre y la descripcin de la carpeta o directorio que lo
contiene. Los archivos informticos se llaman as porque son los equivalentes digitales de
los archivos en tarjetas, papel o microfichas del entorno de oficina tradicional. Los archivos
informticos facilitan una manera de organizar los recursos usados para almacenar
permanentemente datos en un sistema informtico.
4. Auditora a las Aplicaciones en Funcionamiento: las aplicaciones web generan
dinmicamente una serie de pginas en un formato estndar, como HTML o XHTML,
soportados por los navegadores web comunes. Se utilizan lenguajes interpretados en el lado
del cliente, directamente o a travs de plugins (Programa que puede anexarse a otro para
aumentar sus funcionalidades) tales como JavaScript, Java, Flash, etc., para aadir
elementos dinmicos a la interfaz de usuario. Al momento de realizar la auditoria, el
encargado debe cerciorarse e investigar cuales son las aplicaciones con que cuentan los
equipos a auditar, el tipo de datos de entrada y las salidas con que cuenta el local.

Entrada y salida de Datos: Las entradas son las seales recibidas por la unidad, mientras
que las salidas son las seales enviadas por sta.
Para que el Centro de Cmputo funcione correctamente, conjuntamente con los usuarios, se
deben establecer ciertos paramentos respecto a proceso de entrada y salida de datos los
cuales detallamos a continuacin:
La preparacin de datos de entrada debe ser responsabilidad de los usuarios y
consecuentemente su correccin.
La Recepcin de datos de entrada y distribucin de informacin de salida debe obedecer a
un horario elaborado en coordinacin con el usuario, realizando un debido control de
calidad y dependiendo del tipo de trabajo realizado tomando en cuenta el tipo de trabajo y
el volumen del mismo.
Adoptar acciones necesarias para correcciones de errores.
La entrada y salida de datos, como cualquier tipo de trabajo realizado dentro del Centro de
Cmputo, debe ser debidamente verificado por el personal encargado.
Controles de Procesamiento: Por procesamiento de datos se entienden habitualmente las
tcnicas elctricas, electrnicas o mecnicas usadas para manipular datos para el empleo
humano o de mquinas.
Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la
entrada hasta la salida de la informacin, lo que conlleva al establecimiento de una serie de
seguridades para obtener buenos resultados, las cuales mencionamos a continuacin:
Asegurar que todos los datos sean procesados.
Garantizar la exactitud de los datos procesados.
Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditora
Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las
mejores condiciones.
Utilitarios: Los Programas Utilitarios son aplicaciones de software que ejecutan funciones
miscelneas dentro de sus sistemas operativos. Los programas utilitarios realizan varias
actividades dependiendo del propsito de su diseo, es una herramienta que realiza soporte
para la construccin y ejecucin de diversos programas a utilizar.
5. Auditora al Ambiente de Redes: Una Auditora de Redes es, en esencia, una serie
de mecanismos mediante los cuales se pone a prueba una red informtica, evaluando su
desempeo y seguridad, a fin de lograr una utilizacin ms eficiente y segura de la
informacin.
Seguridad fsica del equipo: Cuando hablamos de seguridad fsica del equipo, nos
referimos a todos aquellos mecanismos -generalmente de prevencin y deteccin-
destinados a proteger fsicamente cualquier recurso del sistema; estos recursos son desde un
simple teclado hasta una cinta de back up con toda la informacin que hay en el sistema,
pasando por la propia CPU de la mquina, incluyendo todo el cableado necesario para su
perfecto funcionamiento; para ello se debe tener en cuenta la necesidad de planificar el
mantenimiento del hardware y software, tomando todas las seguridades para garantizar la
integridad de la informacin y el buen servicio a usuarios.
Por ningn motivo se debe olvidar asegurar un buen respaldo de mantenimiento y
asistencia tcnica en forma peridica.
Una vez vencida la garanta de mantenimiento del proveedor se debe contratar
mantenimiento preventivo y correctivo para los equipos y los sistemas instalados.
Perfiles de Usuarios: El perfil de usuario contiene las preferencias y las opciones de
configuracin de cada usuario. Los usuarios deben participar en el diseo e implantacin de
los sistemas pues aportan conocimiento y experiencia de su rea y esta actividad facilita el
proceso de cambio y a la vez ayuda a brindar un mejor servicio.
6. Recomendaciones y respaldos. Al finalizar la auditoria al citado Centro de Cmputo, el
auditor estar en capacidad de rendir un detallado informe con el trabajo realizado, las
fallas encontradas y las debidas recomendaciones a dichas fallas y las prevenciones que se
deben tener para evitar cualquier tipo de anomala.

Planes de Respaldo: Contempla las medidas preventivas antes de que se materialice una
amenaza. Su finalidad es evitar dicha materializacin y que en caso de llegar a darse una
falla, tengamos automticamente un respaldo con que reponer la falla y continuar con
nuestro trabajo de manera eficiente, tratando de llenar las expectativas esperadas.

Todos los sistemas deben estar debidamente documentados, respaldados y actualizados y
para ello, se debe tomar en cuenta los datos originales del programa y las versiones que
incluyan los cambios efectuados con sus respectivas modificaciones.
Tambin se deben implantarlos los procedimientos de solicitud, aprobacin y ejecucin de
los cambios efectuados.
Recomendaciones: Por ltimo, al realizar la auditoria, el auditor debe presentar su informe
y enunciar sus recomendaciones respecto al trabajo realizado, a fin de mejorar cualquier
falla encontrada dentro de los parmetros auditados.