Universidad Nacional Experimental

De Los Llanos Occidental

“Ezequiel Zamora”
UNELLEZ
Barinas

Aspectos Generales de la
Auditoría Informática

Docente: Bachiller:
Jairo Archila Damairy Ramirez
27.358.401

2
 Barinas, Mayo 2021
INDICE
Pág.
Introducción
Tipos de auditorías, políticas, estándares y procedimientos
auditorías informática: definición, objetivos, características y justificativos
Conceptos y definiciones de control
Conceptos y definiciones de control interno, elementos de control interno
Conceptos y definiciones de control interno informático. puntos generales
y específicos de control interno para el análisis, desarrollo e
implementación de sistemas, la operación de sistemas y los
procedimientos de entrada de datos y producción de información
Métodos de evaluación
Estudios de casos

Conclusión
Bibliografía
Anexos

INTRODUCCIÓN
El las auditorías nos encontramos variedades de normativas tipos, de auditorias,
en las cuales depende de los objetos a desarrollar los aspectos normativos y
procedimentales que regulan el proceso de Auditoría, describiendo en forma
sistemática y secuencial cada una de las actividades que deben realizarse
durante las distintas fases de dicho proceso, tomando en consideración criterios
generalmente aceptados y estableciendo los sujetos responsables de llevarlas a
cabo, con el fin de conocer los conceptos básicos relacionados con los distintos
tipos de auditoría y su relación con la auditoría informática, así como también
definir los aspectos relacionados con el control interno de los procedimientos
asociados a las aplicaciones informáticas.

A los fines de mantenernos actualizados en la capacidad de identificar

correctamente las fases, herramientas, y metodologías de una auditoria
informática, conociendo desde los conceptos básicos de auditoria, control interno
informático hasta los métodos de evaluación, y estudios de casos.

TIPOS DE AUDITORÍAS, POLÍTICAS, ESTÁNDARES Y PROCEDIMIENTOS

Según Breel (2011), la Auditoria, en su acepción mas amplia significa verificar la
información financiera, operacional y administrativa que se presenta es confiable,
veras y oportuna. Es revisar que los hechos, fenómenos y operaciones se den
en la forma como fueron planeados; que las políticas y lineamientos establecidos
han sido observados y respetados; que se cumplen con obligaciones fiscales,
jurídicas y reglamentarias en general. Es evaluar la forma como se administra y
opera teniendo al máximo el aprovechamiento de los recursos. Queriendo decir
el autor, todo lo relacionada con empresas, fiscalias, sistemas informáticos,
operatividad de un proceso, todo lo relacionada con la parte financiera, se debe
auditar llevar un control interno del dichoso sistema, se debe aplicar una auditoria
a las empresas.

TIPOS DE AUDITORIA
Auditoria fiscal.
Auditoria contable ( de estados financieros )
Auditoria interna.
Auditoria externa.
Auditoria operacional.
Auditoria administrativa.
Auditoria integral.
Auditoria gubernamental.
Auditoria informática

Procedimientos: Proceso de auditoría:

a.- Planificación.
b.- Propuesta y estimación de honorarios.
c.- Programas y cuestionarios.
d.- Pruebas y conformaciones.
e.- Elaboración y dictamen.
f.- Carta de Gerencia.
a.- Planificación: El auditor debe efectuar una planeación adecuada de su trabajo
tomando en cuenta las características particulares de la empresa, incluyendo las
de operación, así como sus condiciones jurídicas y el sistema de control interno.
Para el efecto deberá tener presente los aspectos de importancia relativa y
riesgo de auditoría.
La planeación adecuada del trabajo de auditoría ayuda a asegurar que se presta
atención adecuada a áreas importantes de la auditoría y que
los problemas potenciales son identificados. La planeación también ayuda para
la apropiada asignación de trabajo a los auxiliares y para la coordinación del
trabajo hechos por otros auditores y expertos. El grado de planeación variara de
acuerdo con el tamaño de la entidad, la complejidad de la auditoría y la
experiencia del auditor con la entidad y conocimiento del negocio.
El conocimiento del negocio por el auditor ayuda en la identificación de eventos,
transacciones y practicas que puedan tener un efecto importante sobre los
estados financieros.
b.- Métodos para fijar los honorarios: Se usan comúnmente tres métodos, estos
son:
En la estimación y propuesta de los honorarios existen tres métodos para su
fijación, honorarios por día, suma fija y honorarios máximos. En el método de
honorarios por día los auditores exigen por su servicio una tarifa diaria la cual
tiene una duración de siete horas. En el método de honorarios por suma fija, la
firma auditoría sugiere un monto previo a la realización del trabajo de auditoría
contando con que no habrán contratiempos o eventos extraordinarios durante la
realización de la auditoría.
c.- Preparación de un programa de auditoría y cuestionario:
Un programa de auditoría se compone de dos partes:
1) El cuestionario sobre el control interno.
2) El programa de examen.
El auditor debe preparar programas y cuestionarios de manera sencilla y concisa
tomando en cuenta todos los procedimientos y preguntas que permitan
determinar si la empresa esta bajo control o si por el contrario necesita que se
adopten nuevos procesos para su mejoramiento.
d.- Pruebas y conformaciones: Una prueba consiste en examinar o comprobar la
calidad de los datos. Aplicado a la auditoría el objetivo de las pruebas es llegar
a formar una opinión acerca de la imparcialidad de los estados financieros.
Examinando una muestra de todas las operaciones confiables, documentos y
asientos dentro de cada sector, pueden formularse conclusiones acerca de la
exactitud de todas las operaciones, documentos y asientos.

Con la evaluación de documentos, asientos y de todas las operaciones contables

se pueden sacar conclusiones sobre la exactitud de estos. Con las pruebas se
pueden reducir los costos y acelerar la práctica. Consideramos de suma
importancia que todo auditor debe realizar a la persona una evaluación
exhaustiva de la situación en la que se encuentra y examinar detalladamente los
estados financieros, pues de esta manera el auditor podrá orientarse para la
formulación del informe imparcial, y sacar conclusiones de la calidad.
e. La opinión del auditor:
El dictamen es el resultado o veredicto del estudio realizado por el auditor,
existen cuatro tipos de dictámenes, estos son:
Sin salvedades: el auditor no tiene nada que agregar o sugerir a los contadores
de la empresa auditada.
Con Salvedades: Si el auditor debe agregar algo debido a una mala aplicación y
seguimiento de los principios contables generalmente aceptados.
Negativo: Es cuando el auditor no esta de acuerdo con el cliente y además no
puede hacerlo cambiar de opinión con respecto a la presentación de sus estados.
No se puede emitir una opinión cuando el auditor se ve muy restringido por la
administración.
f. Carta de Gerencia: Es vital que el contador público presente, además de una
carta que contenga sugerencias para el mejoramiento de los controles internos
y contables, una carta de sugerencias constructivas encaminadas a reducir
ineficiencias e incrementar las utilidades de sus clientes.
Con mucha frecuencia el contador público presenta en forma oral y
completamente informal algunas ideas constructivas en pláticas generales con
su cliente. Esta práctica tiene dos desventajas potenciales:
1) Que el cliente adopte las sugerencias presentadas sin darle crédito al auditor
por su contribución.
2) El cliente puede inclinarse (por no estar presentadas formalmente) a no
considerarlas con seriedad y a no emprender acción alguna.
Con la finalidad de que la carta de sugerencias constructivas perciba la debida
atención por parte de la alta gerencia, es conveniente segregar cuales quiera
comentarios relativos a controles internos y externos y presentar estos en una
carta por separado dirigida al contador general o contralor de la compañía para
que así la alta gerencia aborde los problemas planteados con mucha mas
seriedad y atención, puesto que se cubrirán problemas administrativos de
gran interés para la empresa.
Con anterioridad a la presentación formal de la carta, es conveniente su
discusión con funcionarios de la alta gerencia, de manera que se pueda verificar
la autenticidad de las principales aseveraciones contenidas en la misma.

Políticas y estándares

Normas de Ejecución del Trabajo:

Al tratar de las normas personales, se señalo que el auditor esta obligado a

ejecutar su trabajo con cuidado y diligencia. Aun cuando es difícil definir lo que
en cada tarea puede representar un cuidado y diligencia adecuados, existen
ciertos elementos que, por su importancia, deben ser cumplidos. Estos
elementos básicos, fundamentales en la ejecución de trabajo, que constituyen la
especificación particular, por lo menos al mínimo indispensable, de la exigencia
de cuidado y diligencia, son los que constituyen las normas denominadas de
ejecución del trabajo.

Planeación y supervisión

El trabajo de auditoria deber ser planeado adecuadamente y, si se usan

ayudantes, estos deben ser supervisados en forma apropiada.

Estudio y evaluación del control interno.

El auditor debe efectuar un estudio y evaluación adecuados del control
interno existente, que le sirvan de base para determinar el grado de confianza
que va depositar en el; asimismo, que le permita determinar la naturaleza,
extensión y oportunidad que va dar procedimientos de auditoria.

Obtención de evidencia suficiente y competente.

Mediante sus procedimientos de auditoria, el auditor debe obtener evidencia

comprobatoria suficiente y competente en el grado que requiera suministrar una
base objetiva para su opinión.

AUDITORÍAS INFORMÁTICA: DEFINICIÓN, OBJETIVOS,

CARACTERÍSTICAS Y JUSTIFICATIVOS

Un ejemplo de auditoria seguridad informática es aquella cuyo objetivo consiste

en la obtención de información sobre el estado de los sistemas tecnológicos e
informáticos. Con esto podremos reconocer las vulnerabilidades y los problemas
de la configuración para poder combatirlos o modificarlos.
Hoy nos dirigimos principalmente a las empresas. Actualmente la tecnología
forma parte fundamental de cualquier negocio, ya se trate de una pequeña
PYMES o una empresa internacional. Para asegurarnos de mantener toda esta
tecnología segura, al igual que Internet, es necesario disponer de ciertos
conocimientos o contar con profesionales como los peritos informáticos. Los
problemas de seguridad suceden sin previo aviso, para evitar que nuestro trabajo
se vea afectado por este tipo de problema explicaremos cómo hacer
una auditoria informática.

Los objetivos:

• Control de la sección informática.

• Comprobación de la eficacia de los sistemas informáticos.
• Asegurar el cumplimiento de la normativa general de la empresa.
• Revisión de la gestión de los materiales y empleados informáticos.

Los tipos de auditoria informática:

• Explotación.
• Comunicaciones.
• Seguridad.
• Desarrollo de proyectos.
• Sistemas.

CONCEPTO Y DEFINICIONES DE CONTROL

El control puede definirse como la evaluación de la acción, para detectar posibles

desvíos, respecto de lo planeado, desvíos que serán corregidos mediante la
utilización de un sistema determinado cuando excedan los límites admitidos.
También puede definirse como la regulación de actividades de acuerdo con los
requisitos de los planes.
El objetivo fundamental es asegurar el cumplimiento de los objetivos básicos de
la organización. Lo que requiere tener conocimiento de las acciones que se
ejecutan, la correlación existente entre estas acciones respecto al objetivo y la
eliminación de los obstáculos que puedan trabar el logro de las metas
establecidas.
Esta evaluación de la acción, o regulación de actividades, el control, en definitiva,
adquiere diversos significados si se lo aplica a las Organizaciones, a la
Administración, a la Cibernética, o a la Teoría de Sistemas.
Teoría de sistemas: Control, es aquella función del sistema, que sostiene las
variaciones de lo ejecutado dentro de los límites permitidos, de acuerdo a un
plan . Aquí se enfatiza que existe en todo sistema un plan con objetivos que
tienen tolerancias definidas y que las variaciones, fuera de los límites permitidos,
son corregidas por el control.

CONCEPTOS Y DEFINICIONES DE CONTROL INTERNO INFORMÁTICO,

Control interno informático: controla diariamente que todas las actividades de

sistema de información sean realizadas cumpliendo los procedimientos,
estándares y normas fijos por la dirección de la organización y o la dirección de
informática, así como los requerimiento legales.
La misión del control interno informático es asegurarse de que las medidas que
se obtienen de los mecanismo implantados por cada responsable sean correctas
y validas.
Objetivos del control interno informático:
Como principales objetivos podemos indicar los siguientes:
- Controlar que todas las actividades se realizan cumpliendo los procedimientos
y normas fijados evaluar su bondad y asegurarse del cumplimiento de las normas
legales.
- Asesora sobre el conocimiento de las normas.
- Colabora y apoya el trabajo de auditoria informática, así como de las auditorias
extremas al grupo.
- Definir, implantar y ejecutar mecanismos y controles para comprobar el logra
de los grados adecuados del servicio informático. Lo cual no debe considerarse
como que la implantación de los mecanismos de medida y la responsabilidad de
los logros de esos niveles se ubique exclusivamente en la función del control
interno, sino que cada responsable de objetivos y recursos es responsable de
esos niveles, así como de la implantación de los medios de medida adecuados.
Se puede realizar en los diferentes sistemas (centrales, departamentales, redes
locales, PC´s, etc) y entornos informáticos (produccion, desarrollo o pruebas) el
control de las diferentes actividades operativas sobre:
- El cumplimiento de procedimientos, normas y controles dictados, merece
realizarse la vigilancia sobre el control de cambios y versiones del software.
- Controles sobre la produccion diaria.

PUNTOS GENERALES Y ESPECÍFICOS DE CONTROL INTERNO: PARA EL

ANALISIS Y DESARROLLO E IMPLEMENTACIÓN DE SISTEMAS, LA
OPERACIÓN DE SISTEMAS Y LOS PROCEDIMIENTOS DE ENTRADA DE
DATOSY PRODUCCIÓN DE INFORMACIÓN
Control Interno Informático:
El Control Interno en las empresas tiene como finalidad ayudar en la evaluación
de la eficacia y eficiencia de la gestión administrativa.
Objetivos del control interno informático:
- Establecer como prioridad la seguridad y protección de la información del
sistema computacional y de los recursos informáticos de la empresa.
- Promover la confiabilidad, oportunidad y veracidad de la captación de datos, su
procesamiento en el sistema y la emisión de informes en la empresa.
- Implementar los métodos, técnicas y procedimientos necesarios para
coadyuvar al eficiente desarrollo de las funciones, actividades y tareas de los
servicios computacionales, para satisfacer los requerimientos de sistemas en la
empresa.
- Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen
las actividades de sistematización de la empresa.
- Establecer las acciones necesarias para el adecuado diseño e implementación
de sistemas computarizados, a fin de que permitan proporcionar eficientemente
los servicios de procesamiento de información en la empresa.

Elementos fundamentales del control interno informático:

- Controles internos sobre la organización del área de informática.
- Controles internos sobre el análisis, desarrollo e implementación de sistemas.
- Controles internos sobre operación del sistema.
- Controles internos sobre los procedimientos de entrada de datos, el
procesamiento de información y la emisión de resultados.
- Controles internos sobre la seguridad del área de sistemas.

Información relacionada con el control interno en el área de Informática

Controles internos sobre la organización del área de informática

⚫ Dirección
⚫ División del trabajo
⚫ Asignación de responsabilidad y autoridad
⚫ Establecimiento de estándares y métodos
⚫ Perfiles de puestos

Controles internos sobre el análisis, desarrollo e implementación de sistemas

⚫ Estandarizar de metodologías para el desarrollo de proyectos
⚫ Asegurar que el beneficio de los sistemas sea optimo
⚫ Elaborar estudios de factibilidad del sistema
⚫ Garantizar la eficiencia y eficacia en el análisis y diseño de sistemas
⚫ Vigilar la efectividad y eficiencia en la implementación y mantenimiento del
sistema
⚫ Optimizar el uso del sistema por medio de su documentación

Controles internos sobre operación del sistema

⚫ Prevenir y corregir los errores de operación

⚫ Prevenir y evitar la manipulación fraudulenta de la información
⚫ Implementar y mantener la seguridad en la operación
⚫ Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el
procesamiento de la información de la institución
⚫ Controles internos sobre los procedimientos de entrada de datos, el
procesamiento de información y la emisión de resultados.
⚫ Verificar la existencia y funcionamiento de los procedimientos de captura de
datos
⚫ Comprobar que todos los datos sean debidamente procesados
⚫ Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos.
⚫ Comprobar la oportunidad, confiabilidad y veracidad en la emisión de los
resultados del procesamiento de información.
⚫ Controles internos sobre la seguridad del área de sistemas
⚫ Controles para prevenir y evitar las amenazas, riesgos y contingencias que
inciden en las áreas de sistematización.
⚫ Controles sobre la seguridad física del área de sistemas
⚫ Controles sobre la seguridad lógica de los sistemas.
⚫ Controles sobre la seguridad de las bases de datos
⚫ Controles sobre la operación de los sistemas computacionales
⚫ Controles sobre seguridad del personal de informática
⚫ Controles sobre la seguridad de la telecomunicación de datos
⚫ Controles sobre la seguridad de redes y sistemas multiusuarios

Controles internos sobre la organización del área de informática

Determinar si la estructura de organización del área de sistemas

computacionales es la mas apropiada para que estos funcionen con eficacia y
eficiencia en la empresa, lo cual se logra mediante el diseño adecuado de la
estructura de puestos, unidades de trabajo, líneas de autoridad y canales de
comunicación, complementados con la definición correcta de funciones y
actividades, la asignación de responsabilidad y la definición clara de los perfiles
del puestos. Para este elemento de control interno se proponen los siguientes
suplementos:
⚫ Dirección
⚫ División de trabajo
⚫ Asignación de responsabilidad y autoridad
⚫ Establecimiento de estándares y métodos
⚫ Perfiles de puestos

METODO DE EVALUACIÓN

Controles internos sobre el análisis, desarrollo e implementación de sistemas

Estandarización de metodologías para el desarrollo de proyectos
Asegurar que el beneficio del sistema sea optimo
Elaborar estudios de factibilidad del sistema
 Garantizar la eficiencia y eficacia en el análisis y diseño del sistema.
Vigilar la efectividad y eficacia en la implementación y en el mantenimiento del
sistema.
Lograr un uso eficiente del sistema por medio de su documentación.

Estandarización de metodologías para el desarrollo de proyectos

La empresa debe adoptar alguna metodología que sea acorde al desarrollo de

sus proyectos de sistemas, la aplicación de una metodología estandarizada para
el desarrollo de un proyecto informático garantiza la uniformidad en la aplicación
de cualquier sistema y contribuye en gran medida a la máxima eficiencia en el
uso de los recursos informáticos del área de sistemas. Por lo que es de suma
importancia estandarizar el desarrollo de los proyectos de sistemas en una
empresa, existen empresas que jamás aplican una metodología uniforme y que
utilizan diferentes métodos para desarrollar sus proyectos por lo que sus
sistemas no son similares y sus aplicaciones y utilidad para la empresa
frecuentemente difieren debido a que no tienen los mismos estándares, ni las
mismas normas, políticas ni lineamientos.
oEstandarización de métodos para el diseño de sistemas
oLineamientos en la realización de sistemas
oUniformidad de funciones para desarrollar sistemas
oPolíticas para el desarrollo de sistemas
oNormas para regular el desarrollo de proyectos

Asegurar que el beneficio del sistema sea óptimo

Se busca la optimizacion de las tareas, operaciones y funciones que resultaran

con la implementacion de los sistemas, contando para ello con el seguimiento
de una metodologia uniforme para el desarrollo de nuevos sistemas, con lo cual
se pretende garantizar la eficacia y eficiencia de acciones despues de que se
implemente el nuevo sistema. Al implementar un nuevo sistema se busca
optimizar el desarrollo de las actividades que normalmente se llevan a cabo en
la empresa o en cualquiera de sus areas, con ello se pretende mejorar las
operaciones normales de computo que se realizan en la empresa, a fin de
incrementar la eficiencia de sus sistemas actuales. Hay que aclarar que que la
optimizacion del sistema no se refiere exclusivamente a las aplicaciones
informaticas, sino tambien a la optimizacion del equipo con el cual se desarrolla
su funcion informatica.

Elaborar estudios de factibilidad del sistema

Todo proyecto de informatica tiene que evaluar desde dos puntos de vista
especificos: la viabilidad y la factibilidad, es decir se deben analizar la viabilidad
de realizar el proyecto y la factibilidad de llevarlo a cabo.
Viable: se dice del asunto con posibilidad de salir adelante. (valorar la posibilidad
de hacerlo)
Factible: que se puede llevar a cabo o que es posible realizar. (valorar si se
puede realizar).
El resultado final de estas certificaciones sera la certificacion y confianza de que
el proyecto sera aplicable a las necesidades de la empresa para asi poder
satisfacer sus requerimientos de control interno de informatica.
Viabilidad y factibilidad operativa.- aspectos que se refieren a la posible
operación del proyecto, se estudian todos los aspectos relacionados con la futura
operación del sistema que sera implementado con el fin de lograr la adecuada
operatividad del sistema.
Viabilidad y factibilidad economica.- Aquellos aspectos que se refieren a la
parte economica del proyecto, aspectos relacionados con costo.
Viabilidad y factibilidad tecnica.- Aquellos que seran utiles para valorar la
calidad y cualidad de los sistemas desde el punto de vista tecnico.
Viabilidad y factibilidad administrativa.- Aspectos que repercuten en la cuestion
administrativa del sistema los cuales permitiran evaluar las facilidades para la
futura administracion del mismo.
Garantizar la eficiencia y eficacia en el análisis y diseño del sistema.
La premisa fundamental del analisis y diseno de sistemas es la realizacion de
proyectos que optimicen las actividades que se desarrollaran con la
implementacion de un nuevo sistema computacional, ademas un nuevo proyecto
solo se justifica si con el se busca satisfacer la eficiencia y eficacia de las
actividades de la empresa lo cual se logra mediante la adopcion de una
metodologia estandar en la realizacion de los sistemas. Esto es lo que se debe
contemplar para poder garantizar un buen resultado final con su implementacion.
Si estas condiciones no se cumplen o solo satisfacen de manera parcial,
entonces no tiene caso la existencia de un nuevo proyecto ya que su
consecuencia sera muy pobre y deficiente en cuanto a los resultados esperados.
Adopcion y seguimiento de una metodologia institucional.- Es necesario que
en la empresa se establezca y se lleve a cabo una metodologia unica para el
desarrollo de proyectos, a fin de que esta sea de aplicación uniforme en toda la
institucion, esto se hace con el fin de uniformar las actividades de analisis y
diseno de los sistemas.
Adoptar una adecuada planeacioh, programacion y presupuestacion para el
desarrollo del sistema.
Contar con la participacion activa de los usuarios finales o solicitantes del
nuevo sistema para garantizar su buen desarrollo.
Contar con el personal que tenga la disposicion, experiencia, capacitacion y
conocimientos para el desarrollo de sistemas.
Utilizar los requerimientos tecnicos necesarios para el desarrollo del sistema,
como son el hardware, software y personal informatico.
Diseñar y aplicar las puebas previas a la implementacion del sistema.
Supervisar permanentemente el avance de las actividades del proyecto.

Vigilar la efectividad y eficacia en la implementación y en el mantenimiento del

sistema.
Es necesario vigilar la efectividad en la implementacion del sistema y, una vez
liberado, tambien se debe procurar su eficiencia a traves del mantenimiento. No
basta con elaborar el sistema, tambien se tiene que implementar totalmente, se
tiene que liberar a cargo del propio usuario y se le tiene que dar un
mantenimiento permanente para garantizar su efectividad.

Lograr un uso eficiente del sistema por medio de su documentación

Después de terminado el desarrollo del sistema o durante su elaboración es
requisito indispensable elaborar documentos relativos al buen funcionamiento,
en relación con su operación, con las características técnicas operativas,
administrativas y económicas que lo fundamentaron, con los manuales que
apoyaran al usuario e instructivos que servirán de apoyo al propio desarrollado
del sistema, es de suma importancia que antes o durante la implementación del
sistema se proporcione la capacitación a sus usuarios finales, debido a que solo
se pueden garantizar la eficiencia y eficacia en la implementación del proyecto.
También se debe contar con la completa documentación de respaldo y apoyo
que sirva de consulta a los usuarios para el buen uso del sistema.
⚫ Manuales e instructivos del usuario.
⚫ Manual e instructivo de operación del sistema
⚫ Manual técnico del sistema
⚫ Manual para el seguimiento del desarrollo del proyecto del sistema.
⚫ Manual e instructivo de mantenimiento del sistema.
Otros manuales e instructivos del sistema (otros documentos que sirven de
apoyo para conocer el funcionamiento del nuevo sistema como manuales de
organización, manuales de métodos y procedimientos, cursos de capacitación y
adiestramiento, libros de consulta, diccionarios especializados, otros
documentos técnicos, otros documentos administrativos, etc).

Controles internos para la operación del sistema

Permite evaluar la adecuada operación de los sistemas, se requiere de un
elemento que se encargue de vigilar y verificar la eficiencia y eficacia en la
operación de dichos sistemas, su existencia ayuda a garantizar el cumplimiento
de los objetivos básicos del control interno. Permite:
⚫ Prevenir y corregir errores de operación
⚫ Prevenir y evitar la manipulación fraudulenta de la informacion
⚫ Implementar y mantener la seguridad en la operación
⚫ Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el
procesamiento de la informacion en la institución

Controles internos para los procedimientos de entrada de datos, procesamiento

de informacion y emisión de resultados:
Son de gran ayuda por la confiabilidad que brindan en el procesamiento de
informacion, permiten verificar que el procedimiento de entrada-proceso-salida
se lleve a cabo correctamente.
⚫ Verificar la existencia y funcionamiento de los procedimientos de captura de
datos. Es evidente que se requiere un adecuado control en la entrada delos
datos que han de ser procesados en cualquier sistema computacional ya que
de esto depende que se obtengan buenos resultados.
⚫ Comprobar que los datos sean debidamente procesados.
⚫ Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos
⚫ Comprobar la suficiencia de la emisión de informacion.- La informacion debe
ser adecuada a los requerimientos de la empresa para ofrecer solo la
informacion requerida, sin dar ni más ni menos datos que los necesarios, a
esto se le llama proporcionar informacion suficiente.
⚫ Controles internos para la seguridad del area de sistemas
⚫ Seguridad de los recursos informáticos, del personal, de la informacion, de
sus programas,etc, lo cual se puede lograr a través de medidas preventivas
o correctivas, o mediante el diseño de programas de prevención de
contingencias para la disminución de riesgos.
⚫ Controles para prevenir y evitar amenazas, riesgos y contingencias en las
áreas de sistematización
⚫ Control de accesos físicos del personal del área de computo
⚫ Control de accesos al sistema, a las bases de datos, a los programas y a la
informacion
⚫ Uso de niveles de privilegios para acceso, de palabras clave y de control de
usuarios
⚫ Monitoreo de accesos de usuarios, informacion y programas de uso
⚫ Existencia de manuales e instructivos, así como difusión y vigilancia del
cumplimiento de los reglamentos del sistema
⚫ Identificación de los riesgos y amenazas para el sistema, con el fin de
adoptar las medidas preventivas necesarias
⚫ Elaboración de planes de contingencia, simulacros y bitácoras de
seguimiento

ESTUDIOS DE CASO

En el siguiente informe se representa un caso de auditoria en el área de

informática, es solo ejemplo de la vida real.

UNIVERSIDAD DE LOS ANDES

(ULA)
AUDITORIA INFORMÁTICA
GOBIERNO MUNICIPAL DE SANTA CRUZ DE MORA
AUDITOR: MsC. MAYRA MARIELA ZAMBRANO
MsC. NATALIA PEREZ
MsC. PATRICIA VADEZ
MsC. JUAN ALVAREZ
INFORMACIÓN INTRODUCTORIA
Motivo de la Auditoria Informática
Realizar una revisión y evaluación, de los aspectos más importantes de los
equipos de computación y sistemas automáticos de procesamiento y flujo de la
información, con el propósito de dar un dictamen final sobre alternativas para el
mejoramiento y administración eficaz de los procesos informáticos.
ANTECEDENTES BASE LEGAL.-
1.Constitución de la República Bolivariana de Venezuela.
2. Ley Orgánica de la Contraloría General de la República y del Sistema Nacional
de Control Fiscal.
3. Normativa e instructivos para la auditoría dictados por la Contraloría General
de la República.
Personal interno de apoyo a la auditoria.
MISION
Impulsar el desarrollo armónico e integral de todos quienes hacemos en el Santa
Cruz de Mora, mediante la provisión de servicios de calidad en las áreas de salud,
educación, producción, viabilidad, turismo y ambiente, propendiendo siempre al
fortalecimiento organizacional como medio para la consecución de todos estos
objetivos.
VISION
Trabajar en forma conjunta para hacer de Santa Cruz de Mora un cantón modelo
que se caracterice por la participación democrática y activa de los diferentes
actores sociales, cuyo trabajo planificado permita sentar las bases para alcanzar
el desarrollo social, económico, cultural y ambiental, consolidando los
sentimientos de fraternidad e identidad de un pueblo pluricultural.

ESTUDIO INICIAL DEL ENTORNO AUDITABLE

Estructura.-.
El Gobierno Municipal de Santa Cruz de Mora es una institución pública que se
encuentra en bien de la colectividad.
Organización Administrativa.-
El Gobierno, Administración, contraloría y fiscalización de la Municipalidad se
hará a través de:
1. El Consejo Administrativo
2. Alcaldía
3. Asesoría jurídico
4. Dirección Departamentales
5. Jefes Departamentales
6. Subordinados.

Objetivos de la Entidad
• Procurar el bienestar social y económico de la colectividad, contribuyendo al
fomento y protección de los intereses locales.
• Planificar e impulsar el desarrollo físico del Cantón y sus áreas de influencia;
marcado dentro de la planificación Provincial y Nacional.
• Prestar servicios y ejecutar obras necesarias, encaminadas a proporcionar
una racional convivencia entre los diferentes sectores de la comunidad.
• Planificar, coordinar, ejecutar y evaluar programas integrales de salud,
nutrición y seguridad alimentaria para la población, con énfasis en los grupos de
mayor riesgo social, organizando la participación activa de la comunidad, de las
organizaciones de salud formales y tradicionales y de otros sectores
relacionados.
• Construir, dotar y mantener la infraestructura física de los servicios de
atención primaria de salud, garantizando la aplicación de las normas de
bioseguridad.

• Construir, dotar y mantener la infraestructura física en los establecimientos

educativos de los niveles preescolares, primario y medio.
• Coadyuvar a la preservación y conservación de los bienes patrimoniales,
culturales y naturales en coordinación con los organismos competentes y en
función de las políticas correspondientes de acuerdo con la Ley de Patrimonio
Cultural.
 • Planificar y coadyuvar en la ejecución de programas de vivienda de interés
social, urbano marginal rural; de acuerdo con las políticas nacionales que dicten
al respecto.
• Controlar, preservar y defender el medio ambiente dentro del perímetro de
la jurisdicción cantonal y coordinar con las demás entidades para convertirlo en
una realidad nacional.
• Velar y tomar acciones para proteger la inviolabilidad de las áreas naturales
delimitadas como de conservación y reserva ecológica.
• Planificar y ejecutar obras que consoliden el ornato del cantón Palora con el
adoquinado y aceras.

• Impulsar la recreación y el turismo a través de proyectos de adecuación de

paraderos y promoción de los lugares considerados turísticos.

MOTIVO DEL EXAMEN

Se realizará en atención a lo dispuesto por el Contralor General del Estado, en

oficio No 258 de fecha.01 de febrero del 2006 y con cargo a imprevistos del Plan
anual de Control, de la Dirección Regional 3 de la Contraloría, para el año 2007,
de conformidad a la Orden de Trabajo No.-75 de fecha 05 de febrero del 2007,
suscrito por el Director Regional.

DEFINICIÓN DE OBJETIVOS

- Evaluar la seguridad en el área del Centro de datos

- Dar una opinión sobre la utilización eficaz de los recursos informáticos y
equipos de cómputo.
- Establecer nuevos planes de contingencia planes, para prever posibles
inconvenientes con el sistema actual automatizado.
- Dar una opinión sobre la utilización eficiente de los procesos informáticos.
ALCANCE
La presente Auditoria Informática, tiene por finalidad evaluar las normas de
control, técnicas y procedimientos que se tiene establecidos en la Municipalidad
lograr confiabilidad, seguridad y confidencialidad de la información que se
procesa a través del sistema de aplicación que se esté utilizando.
Además esta Auditoria Informática presentará las novedades analizadas en el
área informática, en el Gobierno Municipal ubicada en Santa Cruz de Mora, para
que sus administradores sean quiénes tomen los correctivos y políticas
aplicables que conlleven al logro de objetivos propuestos en caso de que así se
lo requiera dicho dictamen.
Dentro de la Auditoria se realizará un análisis sobre los sistemas y redes de
conexión con el programa contable dentro del Departamento Financiero.

DETERMINACION ENFOQUE DE LA AUDITORIA

1. Elaboración de planes de trabajo para llevar a cabo auditorías en
informática y el desarrollo de actividades apropiadas que permitan maximizar la
eficacia del área.
2. Elaboración de cuestionarios, encuestas, matrices y herramientas que
ayuden al levantamiento de la información para el debido desarrollo de las
auditorías.
3. Implementación de los planes de trabajo llevando un control de las
actividades a realizar en tiempos estimados reales.
4. Evaluación de sistemas, procedimientos y equipos de cómputo.
5. Verificar que los activos, estén debidamente controlados y salvaguardados
contra pérdida y mal uso.
6. Evaluar los resultados de los programas operativos que realice el área de
Sistemas para conocer eficiencia y efectividad con que se han utilizado los
recursos.
7. Comprobar el cumplimiento de mandatos constitucionales, legales y
reglamentarios, políticas, planes y acuerdos normativos que rigen a la Institución.
 8. Realizar auditorías y estudios especiales de acuerdo con programas y
especiales debidamente respaldados por las Normas para el ejercicio profesional
de la Auditoría Interna.
9. Evaluar la problemática del área de Sistemas a través de un pre-análisis
de la situación del área, para la determinación de las principales necesidades de
ésta.
10. Comunicar los resultados y recomendaciones que resulten de sus
evaluaciones, mediante los informes de auditoría.
11. Comprobar que el área de Sistemas ha tomado las medidas correctivas
de los informes de la Auditoría Interna así como de las omisiones que al respecto
se verifiquen en el seguimiento de informes.
12. Evaluación de los controles de seguridades lógicas y físicas que
garanticen la integridad, confidencialidad y disponibilidad de los datos de esta
institución.
13. Constatar que el área de sistemas se rija por los procedimientos más
adecuados para garantizar el adecuado funcionamiento de la red de trabajo.
14. Evaluación de los riegos y controles establecidos para la búsqueda e
identificación de debilidades, así como de las áreas de oportunidad
15. Evaluar la existencia de políticas, objetivos, normas, metodologías, así
como la asignación de tareas y adecuada administración de los recursos,
humanos e informáticos.
16. Generar el Archivo de Papeles de Trabajo con la documentación las
auditorías realizadas.
FLUJOS DE INFORMACIÓN
La información fluye a través de de la Red Interna, por medio de peticiones y
entrega de datos, desde un servidor principal hasta las diferentes estaciones de
trabajo, para poder realizar los procesos que se requiere para prestar los
diferentes servicios de control que ofrece la Municipalidad dentro de los usuarios.
a) Dirección Financiera.- Solicitud, Ingreso y actualización de datos al servidor,
para realizar operaciones de consultas en las cédulas presupuestarias para
determinar el saldo actual y sobre todo el control de los gastos.
 Además las consultas de las operaciones de Transferencia de Dinero a a las
cuentas de los proveedores.
b) Jefe de Contabilidad.- Registro diario de los gastos e ingresos que se
obtiene por parte de tributos y tasas a los contribuyentes.
c) Contador.- Solicitud, Ingreso y actualización de datos al servidor, sobre los
estados de cuentas diversos para los cierres diarios y elaboración de balances.
Además para las operaciones de Aportes patronales y Declaraciones al ISR,
se realiza por medio de Internet.
d) Asistente de Contabilidad.- Solicitud, Ingreso y actualización de datos al
servidor, sobre los certificados de ingresos a los empleados y obreros,
realización de roles de pagos.
e) Tesorería.- No existe sistema de red para el área de tesoreria solo se
coordina de manera de documentación sustentable para el pago en si.
f) Recaudación.- Existencia del control de contribuciones por parte de los
usuarios en los distintos cobros de mejoras por parte de la municipalidad.
El Administrador de Sistema, es el responsable del perfecto funcionamiento de
los equipos, en cuanto a la red funciona por medio de la maquina madre que se
encuentra en la Jefatura de Contabilidad, la misma que esa maquina central es
la que tiene que estar encendida para que el programa se ejecute.

ENTORNO OPERACIONAL
La institución cuenta con un único Centro de Proceso de Datos, que está ubicado
en la primera planta, mismo que es Administrado por el Administrador de
Sistemas, quién es el funcionario responsable de el mantenimiento y el buen
funcionamiento de los equipos, por ser una institución pequeña no cuenta con
un departamento el mismo que se maneje en un centro de control todos los
ordenadores.
El Centro de Proceso de datos, cuenta con servidor principal, donde está
instalada la información necesaria del técnico responsable un UPS y el Swish.
Las estaciones de trabajo que están conectadas a la red son un total de cinco
equipos con privilegios y restricciones como se lo mencionó anteriormente
Se realiza un listado del Inventario de Software:
En el análisis del Hardware, se pudo determinar que la mayoría de estos equipos
tienen características similares, esto se debe a que han sido adquiridos en
conjunto después de que se habían dado de baja los equipos anteriores, los
cuales no daban el soporte necesarios a los requerimientos exigidos por el
sistema a instalarse en la Municipalidad.
De la misma manera el cambio de equipos se dio hace ocho meses atrás, ya que
la velocidad de los equipos anteriores hacían que el trabajo sea mas lento, con
los nuevos equipos ha ayudado a que exista mayor agilidad a los trámites de la
Institución.
REDES DE COMUNICACIÓN (NETWORKING)
En el tipo de Red de Área Local(LAN), la tecnología para instalación de la Red
interna, se basa en el cableado estructurado categoría 5, con cable par trenado
de 8 hilos, conectores RJ-45, con una distancia máxima entre el servidor y la
estación de trabajo de 20 mts. Garantizando de esta manera la velocidad en la
transmisión de la información como de los procesos y como también seguridades.

El tipo de contratación del Servicio de Internet es Satélite y que a través de la

Red se comparte a las demás estaciones de trabajo, para las diversas
transacciones que así lo requieren

PRIMERA PLANTA
PARTE FRONTAL
APLICACIONES:
Anteriormente para todos los procesos financieros de la Institución, se utilizaba
el sistema de contabilidad Efimax, el cual al no muestrar ciertas ventajas a
comparación del actual ha sido descartado para su utilización.
Sistema EFIMAX.-
El Software de Contabilidad Gubernamental, es un software administrativo –
financiero orientado al procesamiento de datos y administración de información
de la municipalidad que realiza la contabilidad y control de las finanzas de la
municipalidad
El enfoque del sistema EFIMAX se enmarca dentro del contexto de la
administración gubernamental, que se constituye en una herramienta
indispensable para el control de los procesos de la información en todas las
áreas funcionales de estas intermediarias, como son:
- Apoyar a los mandos medios proporcionando información ágil y oportuna que
permita el análisis de las cuentas bajo su responsabilidad y la toma de
decisiones acertadas.
- Proporcionar a la alta Gerencia y Directivos, información rápida y precisa para
la toma de decisiones y desarrollo de estrategias.
- Integrar e interrelacionar electrónicamente las operaciones entre las unidades
administrativas y el personal responsable mediante la definición clara de las
funciones asignadas al recurso humano de la institución.
- Mejorar el control y seguimiento de las operaciones que realizan los usuarios
con los clientes, almacenando toda la información necesaria de las
transacciones efectuadas en el sistema.

Características Generales del Sistema.

- Maneja el concepto de multi cuentas y presupuestos
- Ambiente gráfico muy amigable
- Mantiene registro de firmas y fotografías
- Incorpora Base de Datos y archivos planos para el uso en otras aplicaciones y
con propósitos de generar información adicional.
- Está Basado en la arquitectura cliente – servidor, soportando en una base de
datos relacional y construido con herramientas modernas orientada a objetos.
La Administración de la información del sistema actual EFIMAX, es bajo la
estructura de módulos que contiene un grupo de procesos que permiten controlar
un conjunto de definiciones que sirven de apoyo al resto de módulos, como son:
Manteniendo, Consultas, Reportes, Procesos, Definiciones.
Estructuras del Sistema.- Acceso principal: Planifica y controla las distintas
áreas empresariales (administrativas, financieras y contables), de las
Instituciones Gubernamentales. Cabe Mencionar que los usuarios tienen
asignados perfiles, lo cual permite restringir el acceso únicamente a las opciones
que tenga necesidad.
Lenguaje de Programación.- La aplicación se encuentra desarrollada en una
arquitectura Servidor, usando como Front End (cliente) una herramienta de
cuarta generación Power Builder (desarrollo de la aplicación), que permite
aprovechar todas las características de orientación a objetos como son:
- Polimorfismo
- Herencia
- Encapsulamiento y reutilización de código
- Abstracción y ocultación de objetos y datos.
Documentación.- La Empresa SYSTECOOP proveedora del sistema EFIMAX,
ha entregado a la institución un manual de usuario sobre la utilización del sistema
previa a la capacitación dada a los funcionarios de la Institución. Los mismos
quiénes dentro del contrato de adquisición del sistema están comprometidos a
dar el debido manteniendo al mencionado sistema.
Cabe señalar que en la Institución no reposa ningún documento de código fuente.
Base de datos.-
Informix Dinamic Server
De acuerdo al número de transacciones que se realiza diariamente y el volumen
de información se ha seleccionado como Back End (motor de base de datos) a
INFORMIX IDS 7.x , por las siguientes características.
- Trabaja independientemente de l Sistema Operativo (Unix, Linux, Windows NT,
2000, XP, etc.)
- Los objetos inmersos en la base de datos son: tablas, campos, índices,
procedimientos, triggers y constraints (restricciones a nivel de la base de datos)
- Bloqueo a nivel de registros y campos
- Es una Base de Datos Transaccional, por lo que permite la utilización de
Commit y Rollback.
HALLAZGOS
⚫ Uso de computadoras y cuentas en asuntos ajenos a la función pública
⚫ 1. acceder a la Internet
⚫ 2. correo electrónico (envío y recibo de mensajes)
⚫ 3. preparación de documentos
⚫ Instalación de programas ajenos al interés público
⚫ Fallas en parámetros de seguridad
⚫ No se establecen los niveles de acceso necesarios - solo el personal
autorizado
⚫ Uso de cuentas de acceso y contraseñas por períodos ilimitados
⚫ No tienen actualizadas las definiciones del programa de antivirus (virus
definitions) - prevenir y detectar programas no deseados
⚫ No han instalado la pantalla de advertencia sobre el uso del equipo
⚫ No se requiere el uso de contraseñas para desactivar el protector de pantalla
en las computadoras
⚫ No se requiere que las contraseñas contengan el mínimo de caracteres
adecuado, ni la combinación de éstos
⚫ No se requiere el cambio de contraseñas periódicamente
⚫ No se define la cantidad de intentos de acceso sin éxito para deshabilitar la
cuenta
EVALUACION DE RIESGOS
Los ordenadores de la institución en el departamento de contabilidad tienen un
riesgo bajo ya que se encuentran debidamente prevenidas por parte de bajones
de luz, en cuanto a lo que se refiere, el ordenador de la jefatura de Contabilidad,
de la contadora, d la asistente de presupuestos, del tesorero y de la recaudadora
en cuanto a precautelar los bienes y documentación que la misma obtenga.
El riesgo es alto en la desactualización de los antivirus que los ordenadores
poseen ya que cada día el ingreso de Internet para el envió de información es
constante, al no ingresar en páginas seguras ocasionan el contagio de distintos
virus que se encuentran en el ciber.
INFORME DE LA AUDITORIA INFORMATICA
Según los hallazgos encontrados podemos identificar que la institución no cuenta
con un departamento de auditoria interna la misma que se encargue de un
control continuo ,no solo sobre el manejo económico o social que tenga tal o cual
equipo de trabajo sino tambien las seguridades de la información la cual se esta
manejando, los recursos económicos son muy importantes y la tecnología es un
habilitante muy importante para el rápido y eficiente manejo de los mismos, tal
es el caso que la institución, o los encargados en este caso del área financiera
no estan optimizando recursos para bien institucional sino personal, conllevando
a grandes gastos por parte de la empresa.
PROPUESTAS PARA UNA AUDITORIA INFORMATICA
Nuestro informe concretamente propone la implantación de un área de auditoría
en informática. Lo anterior, lo fundamos a lo largo de este informe, los principales
motivos son:

1. Implantar esta área dentro del Órgano de Control Interno traerá consigo la
innovación de un control de empleados laborando de una manera mas completa;
2. La eficiencia, eficacia y calidad de las auditorías que se realizan en el
órgano se verán beneficiadas por la capacitación adecuada del personal y la
consecuente automatización de procedimientos, que dejarán de ser tradicionales
para estar a la vanguardia.
Por lo anterior, en los siguientes puntos detallamos la propuesta específica que
contempla cuales serían las actualizaciones más adecuadas para lograr este
objetivo, comenzando por proponer los cambios pertinentes en la normativa
actual, cuál sería su nueva estructura orgánica, proponemos las nuevas
funciones del área de auditoría en informática de acuerdo a las nuevas
tendencias de la auditoría; asimismo, de entre las diferentes herramientas y
técnicas de auditoría en informática.
Objetivo
Evaluar el desempeño de los sistemas informáticos y las redes de
comunicaciones para proporcionar los controles necesarios que permitan la
confiabilidad de la Información así como un elevado nivel de seguridad.
Realizar auditorías operacionales, integrales, especiales y de cumplimiento al
área de sistemas, ayudando en la gestión de control de la Auditoría Interna y
buscando las áreas de oportunidad.
RECOMENDACIONES
1. Evaluar los controles establecidos para proteger los bienes institucionales,
referente al manejo hardware, software.
2.Realizar auditorías operacionales, integrales, especiales y de cumplimiento
a aquellas áreas administrativas y Grupos departamentales que así lo requieran.

CONCLUSIÓN

La auditoria de sistema de información, hoy en día es de vital importancia para

las empresas modernas con visión de futuro, sobre todo inmersas en el mundo
globalizado, porque si no se prever los mecanismo de control, seguridad y
respaldo de la información dentro de una institución, se vera sumida a riesgos
lógicos, físicos y humanos, que conllevan a fraudes no solamente económicos
sino de información, es decir, pérdidas para la empresa.
La auditoria de sistemas de informacion deberá comprender no sólo la
evaluación de los equipos de computo de un sistema o procedimiento específico,
sino además habrá de evaluar los sistemas de información en general desde sus
entradas, procedimientos, controles.
En la mayoría de las empresas existe una constante preocupación por la
presencia ocasional de fraude, sin embargo muchos de estos podrán prevenirse.
En algunos países de América Latina, donde normalmente los salarios son bajos,
la crisis recurrente y las necesidades de los trabajadores no se ven del todo
satisfechas y si a esto le agregamos fallas en el control interno y la falta de
vigilancia adecuada en las operaciones, entonces las posibilidades de sufrir
fraude, son grandes.
Evitar fraudes es responsabilidad de todos los empleados, por ello es importante
crear una cultura empresarial encaminada en minimizar el riesgo de fraude.
Los Sistemas Informáticos se han constituido en las herramientas más
poderosas para materializar uno de los conceptos más vitales y necesarios para
cualquier organización empresarial. La Informática hoy, está subsumida en la
gestión integral de la empresa, y por eso las normas y estándares propiamente
informáticos deben estar, por lo tanto, sometidos a los generales de la misma.
En consecuencia, las organizaciones informáticas forman parte de lo que se ha
denominado la gestión de la empresa. Cabe aclarar que la Informática no
gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide
por sí misma. Por ende, debido a su importancia en el funcionamiento de una
empresa, existe la Auditoría Informática, donde esta se ha empleado
incorrectamente con frecuencia, ya que se ha considerado como una evaluación
cuyo único fin es detectar errores y señalar fallas.
 BIBLIOGRAFÍA

Bibliografía Electrónica

⚫ https://www.oas.org/juridico/PDFs/mesicic4_ven_aud_est.pdf
⚫ http://web.ula.ve/dsia/wp-
content/uploads/sites/4/2019/05/MNPP_AUDITORIA.pdf
⚫ https://www.monografias.com/trabajos17/auditoria/auditoria.shtml
⚫ https://www.mheducation.es/bcv/guide/capitulo/8448178971.pdf
⚫ https://informatico-forense-madrid.es/como-hacer-auditoria-
informatica#:~:text=Un%20ejemplo%20de%20auditoria%20seguridad,para
%20poder%20combatirlos%20o%20modificarlos.
⚫ https://es.scribd.com/doc/24994061/Conclusion-La-Auditoria-de-Sistemas-
de-Informacion
ANEXOS
MODELO DE UNA AUDITORIA DE INFORMACIÓN
CHECKLIST PARA IDENTIFICAR LAS NECESIDADES
DE SERVICIOS EN EVALUACION Y AUDITORIA DE INFORMACION Y
TECNOLOGIAS RELACIONADAS

Nombre de la Empresa:

Cargo de funcionario: Fecha:

Nombre de la Unidad de

Tecnología de Sistemas de Información:

1. Recurso Humano asignado a la Función de Sistemas de Información.

1.1 Cantidad de personas en el área de Tecnología de Información:

1.2 Perfil del personal de sistemas.

Perfil Cantidad
Tecnólogos en Sistemas
Ingenieros de Sistemas o Informáticos
Especialistas en Telecomunicaciones.
Otros (Indique)

2. Plataformas de Hardware y Software utilizadas.

Plataforma Descripción
Sistemas Operativos
Motores de Bases de Datos
Otras Herramientas de
Desarrollo
Software de Red.
Equipos Activos de la Red
Internet
Intranet
Extranet
Servidores de Correo
Electrónico
Firewalls
Servidores de Archivo
Mainframes
Minicomputares
Microcomputadores
E-business
Business Intelligence
Data Warehouse
Otras (indique)
3. Sistemas de Información que utiliza la empresa.

No Nombre del S. Módulos Componentes

4. Portafolio de Aplicaciones o Módulos de Sistemas de Información que están en

producción y su importancia para la empresa.

No Nombre de la Aplicación Relevancia Herramienta de Poseen

Para la Desarrollo Programas
Empresa (1) Utilizada Fuentes ?
(2)

(1) Importancia para los objetivos de la empresa. Utilice un número entre 1 y 5

(1: La menor relevancia; 5: La mayor relevancia).

(2) Conteste SI o NO.

5. Las actividades de procesamiento de datos que se realizan en la empresa.

No Descripción Marque
con X
1 Grabación (captura de Datos)
2 Control de Entradas y Salidas.
3 Producción de información (Procesamiento y actualización de
archivos).
4 Help Desk.
5 Soporte a usuarios de microcomputadores y LANs.
6 Mantenimiento de hardware.
7 Administración de bases de datos (DBA)
8 Administración de la Seguridad lógica (controles de acceso)
9 Planeación estratégica de sistemas.
10 Administración de contratos de terceras partes.
11 Definición e implementación de políticas de seguridad corporativas.
 12 Análisis y Diseño de Sistemas.
13 Construcción de Programas (Elaboración de programas de
computador).
14 Mantenimiento de Software Aplicativo
15 Administración de Telecomunicaciones.

16 Quality Assurance.
17 Otras.

6. Servicios de procesamiento de datos que son contratados con terceros.

No Descripción Marque
con X
1 Mantenimiento de hardware.
2 Administración de los Centros de Procesamiento de Datos
3 Grabación de Datos
4 Planeación estratégica de sistemas.
5 Interventoría de proyectos de sistemas.
6 Planeación de Contingencias en Sistemas de Información.
7 Análisis y Diseño de Sistemas.
8 Programación de aplicaciones.
9 Mantenimiento de Software Aplicativo
10 Administración y soporte técnico en Telecomunicaciones.
11 Quality Assurance (Aseguramiento de calidad).
12 Seguridad en Sistemas de Información.
13 Otras (indíquelas).

7. Módulos Componentes del Sistema de Información Comercial (Diligenciar únicamente

los pertinentes)

No Descripción Marque
con X
1 Facturación.
2 Recaudos
3 Solicitudes de Servicios
4 Atención al Suscriptor
5 Medidores
6 Financiación de servicios y de deuda
7 Control de Perdidas y Fraudes
8 Cartera
9 Enlace Financiero
10 Seguridad y Administración del sistema
11 Estadísticas
12 Auditoria de Sistemas
13 Administración de Parámetros Generales
14 Facturación en sitio
15 Otros (especifique)
8. Servicios de Control Interno y Seguridad de Sistemas que son de su interés

No Descripción Marque
con X
1 Asesoría para implantación de estándar COBIT (Control Objectives
for Information and Related Technology).
2 Diseño e implantación de Controles en operaciones de negocio que
se soportan en Sistemas de Información (Aplicaciones de
Computador).
3 Diseño e implantación del Plan de Acción de Prevención y
Mitigación de Riesgos (Mapas de Riesgo).
4 Diseño e implantación de controles en el Desarrollo de Sistemas
(especifique)
5 Aseguramiento de Calidad del Software
6 Aseguramiento de Calidad de Bases de Datos
7 Elaboración e Implantación del Plan de Continuidad (Contingencias)
en Sistemas de Información.
8 Ejecución de pruebas de software
9 Asesoría para implantar modelos de auditoria (Metodología Asistida
por computador para Diseño de Controles y Administración de
Riesgos en Sistemas de Información).
10 Capacitación en Controles y Seguridad en Sistemas de Información.
11 Definición de Políticas, Estándares y Procedimientos de Seguridad
en Tecnología de Información
12 Otros (Especifique)

9. Servicios de Auditoria de Sistemas que considera de interés y requeridos

No Descripción Marque
con X
1 Auditoria a la Organización y Funcionamiento de la Informática de
la Empresa (Auditoria de Controles Generales de Sistemas de
Información)
2 Auditoría de Sistemas y Aplicaciones en Producción
3 Auditoria al Sistema de Información Comercial (Unicamente para
empresas de Servicios Públicos)
4 Auditoría al Desarrollo de Sistemas (especifique)
5 Auditoria al Plan de Contingencias de Sistemas de Información
(Continuidad del Negocio)
6 Desarrollo de Software de Auditoria (Especifique)
7 Organización e Implantación de la Auditoría de Sistemas.
8 Asesoría para la adquisición de Software de Auditoría
9 Capacitación en Auditoría de Sistemas.
10 Asesoría para implantar el enfoque de Auditoría de Sistemas
Orientada al Riesgo.
11 Otros – Especifique