Manual de Tecnicas Para Auditoria Informatica

MANUAL DE TECNICAS DE AUDITORIA INFORMATICA
0
UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS
INSTITUTO SUPERIOR DE INVESTIGACION Y POSGRADO
MAESTRIA EN GERENCIA CONTABLE Y FINANZAS CORPORATIVAS
TEMA:
MANUAL DE TECNICAS PARA AUDITORIA INFORMATICA
AUTORES:
1. BERMEO CARLOS
2. LINCANGO SANDRA
3. MOREANO ANA
4. PACHECO DIEGO
5. SANCHEZ XIMENA
6. TAPIA MARIA JOSE
TUTOR: DR. MARCO QUINTANILLA
MATERIA: AUDITORIA INFORMATICA
QUITO, AGOSTO 2013

1
INDICE
1. PLANTEAMIENTO DEL PROBLEMA....................................................................................4
2. FORMULACION DEL PROBLEMA ........................................................................................4
3. PREGUNTAS DE LA INVESTIGACION.................................................................................4
4. JUSTIFICACION........................................................................................................................5
5. MARCO TEORICO....................................................................................................................5
5.1. INTRODUCCION....................................................................................................................5
5.2. OBJETIVOS............................................................................................................................6
5.3. UBICACIÓN DEL ENTORNO INFORMATICO ...................................................................6
5.4. ESQUEMA GENERAL DE RECURSOS............................................................................7
5.5. FUNCIONES DE LA SECCION INFORMATICA................................................................8
5.6. PROCEDIMIENTOS PARA USUARIOS YSISTEMAS.....................................................8
5.7. PROCEDIMIENTOS PARA USUARIOS .............................................................................9
5.9. SEGURIDADES GENERALES .........................................................................................20
5.10. OBTENCIÓN DE RESPALDOS .....................................................................................21
5.11. OBLIGACIONES YPROHIBICIONES DE USUARIOS .................................................22
5.12. CARTAS A LA GERENCIA ..............................................................................................22
5.13. RESPONSABILIDADES DE AUDITORÍA INFORMATICA...........................................30
5.15 CARACTERISTICAS DEL AUDITOR INFORMATICO...................................................36
5.16. ORGANIZACION DE LA FUNCION DE A.I.....................................................................37
5.17. SISTEMA DE REGULACIÓN DE VOLTAJE .................................................................37
5.18. FUNCIONALIDAD DE LAS INSTALACIONES DEL DEPARTAMENTO DE P.E.D
.......................................................................................................................................................38
5.19. SISTEMA DE DETECCIÓN DE INCENDIOS ................................................................40
5.20. ACCESO AL DEPARTAMENTO DE P.E.D..................................................................40
5.21. PLAN DE SEGURIDAD YEMERGENCIA .....................................................................41
5.22. LIMPIEZA DEL DEPARTAMENTO DE P.E.D...............................................................41
5.23. REGLAMENTO DE SEGURIDAD FISICA DEL DEPARTAMENTO DE P.E.D........42
5.24. ACCESO A PROGRAMAS YAPLICACIONES ............................................................45

2
5.25. STOCKS MINIMOS DE SUMINISTROS .........................................................................46
5.25. PROCEDIMIENTOS DE ENCENDIDO YAPAGADO DEL COMPUTADOR............46
5.25. REGISTRO DE AVERIAS, DAÑOS E INTERRUPCIONES .........................................47
5.26. PROCESOS DE EMERGENCIA EN OTRAS LOCALIDADES ..................................47
5.27. SOLICITUD DE PROCESOS DE INFORMACION YHOJA DE RUTA.......................47
5.28. CRONOGRAMAS DE TRABAJO....................................................................................48
5.29. DOCUMENTACION DE LOS PROGRAMAS ................................................................48
5.29.1. AUTORIZACIÓN DE CAMBIOS DE PROGRAMAS ..................................................48
5.29.2. REVISIÓN YVERIFICACIÓN DE LOS CAMBIOS DE PROGRAMAS....................49
5.29.3. PRUEBAS EN CONJUNTO DE PROGRAMAS Y APLICACIONES NUEVAS O
MODIFICADAS............................................................................................................................49
5.29.4. DOCUMENTACIÓN DE CAMBIOS YMODIFICACIONES A PROGRAMAS.........49
5.29.5. MANTENIMIENTO DE PROGRAMAS YAPLICACIONES .......................................49
5.29.6. DESTRUCCIÓN DE PRUEBAS DE PROGRAMAS .................................................50
5.29.7. INTEGRACIÓN DE PROGRAMAS YAPLICACIONES.............................................50
5.29.8. PROCEDIMIENTOS ACERCA DEL USO DE CADA PROGRAMA YAPLICACION
.......................................................................................................................................................50
5.29.9. STANDARES PARA LA ELABORACIÓN DE PROGRAMAS, APLICACIONES Y
DOCUMENTACIÓN ....................................................................................................................50
5.29.10. CONTROL DE FALLAS DE FUNCIONAMIENTO DE PROGRAMAS Y
APLICACIONES ..........................................................................................................................51
5.30. PROCEDIMIENTOS ESCRITOS PARA GRABAR YRESTAURAR INFORMACIÓN
.......................................................................................................................................................51
5.31. TIEMPO DE UTILIZACIÓN DEL COMPUTADOR POR PARTE DE LOS USUARIOS
.......................................................................................................................................................51
5.32. MESA DE CONTROL .......................................................................................................51
5.33.PARTICIPACIÓN DE AUDITORÍA INTERNA EN EL DESARROLLO, MODIFICACIÓN
YREVISIÓN DE PROGRAMAS YAPLICACIONES...............................................................52
5.33.1. PLAN PARA DESARROLLO FUTURO.......................................................................52

3
5.33.2. PARTICIPACIÓN DE AUDITORÍA INTERNA EN LAS LABORES DE P.E.D.........52
5.34. PALABRAS CLAVES YCÓDIGOS SECRETOS .........................................................53
5.34.1. ACCESO A LA TABLA DE CLAVES YCÓDIGOS SECRETOS............................53
5.35. ORGANIZACIÓN DEL DEPARTAMENTO DE P.E.D...................................................53
5.35.1. SELECCIÓN YEVALUACIÓN DEL PERSONAL DE P.E.D....................................53
5.35.2. CAPACITACIÓN DEL PERSONAL DE P.E.D...........................................................54
5.35.2.1. FORMACIÓN DEL PERSONAL DE P.E.D. EN TÉCNICAS DE HARDWARE ..54
5.35.3. MOTIVACIÓN DEL PERSONAL DE P.E.D................................................................54
5.35.4. PERSONAL DE SEGURIDAD .....................................................................................54
5.35.4.1. SEGURIDAD DE LA INFORMACIÓN AL TERMINAR RELACIONES
LABORALES CON PERSONAL DE P.E.D.............................................................................55
5.35.5. VACACIONES OBLIGATORIAS ..................................................................................55
5.36. MICROCOMPUTADORAS...............................................................................................55
5.36.1. RESPALDOS DEL DISCO DURO A DISQUETES ...................................................55
5.36.2. PROGRAMAS ORIGINALES ........................................................................................56
5.36.3. INFORMACIÓN ALMACENADA EN EL DISCO DURO............................................56
5.36.4. PÓLIZA DE SEGUROS DE MICROCOMPUTADORAS...........................................56
5.36.5. MANUALES DE LOS MICROCOMPUTADORES.....................................................56
6. GLOSARIO...............................................................................................................................70
7. PREGUNTAS...........................................................................................................................82

4
MANUAL DE TÉCNICAS PARA AUDITORÍA DE SISTEMAS
1. PLANTEAMIENTO DEL PROBLEMA
El Desarrollo normal de las actividades comerciales y financieras de las empresas
requiere una constante vigilancia y evaluación asimismo las empresas necesitan una
opinión, preferentemente independiente, que les ayude a medir la eficiencia y eficacia en
cumplimiento de los objetivos. Una de las herramientas más útiles para adelantar pruebas
de cumplimiento y sustantivas, son las que se conocen como técnicas de auditoria las
cuales se orientan hacia los datos, las aplicaciones, los equipos y programas, y permiten
seleccionar y procesar la información necesaria para fines específicos de la auditoria,
facilitando la aplicación de métodos de muestreo estadístico, aumentar el alcance de las
pruebas y verificar la integridad de los datos en la población auditada.
2. FORMULACION DEL PROBLEMA
Demostrar que las técnicas de auditoría en informática deberán comprender no sólo la
evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino
que además habrá de evaluar los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de información ya que la
auditoría no es una actividad meramente mecánica, que implique la aplicación de ciertos
procedimientos cuyos resultados, una vez llevados a cabo son de de carácter indudable,
sino más bien la auditoría requiere el ejercicio de un juicio profesional, sólido maduro,
para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos.
3. PREGUNTAS DE LA INVESTIGACION
¿Permiten las técnicas de auditoria informática mostrar las debilidades y las fortalezas de
las empresas, con respecto a los controles que se estén empleando, a los sistemas y

5
procedimientos de la informática, los equipos de cómputo que se emplean, su utilización,
eficiencia y seguridad?
¿Las técnicas de auditoria informática permiten determinar las posibles vulnerabilidades
del sistema y plataforma tecnológicas utilizadas en el centro de comunicaciones?
4. JUSTIFICACION
Las técnicas de auditoría informática permiten a través de una revisión independiente, la
evaluación de actividades, funciones específicas, resultados u operaciones de una
organización, con el fin de evaluar su correcta realización.
Las técnicas de auditoría informática son de vital importancia para el buen desempeño de
los sistemas de información, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo
(informática, organización de centros de información, hardware y software).
5. MARCO TEORICO
Este manual está diseñado como una guía para aplicar técnicas de Auditoría a los
Sistemas de Información Basados en Computadora y hardware relacionado con su uso
aplicadas por los usuarios de los computadores en general.
5.1. INTRODUCCION
Con el establecimiento de normas y procedimientos se pretende lograr los siguientes
beneficios.
 Garantizar al usuario el total apoyo y soporte a las actividades por él realizadas.
 Proteger contra acciones indebidas o accidentales la información.
 Permitir un control adecuado sobre hardware (equipos) y software (programas
instalados

6
 Cumplir con los requerimientos mínimos de control.
5.2. OBJETIVOS
Los objetivos que se lograrán con la aplicación de las normas y procedimientos
 Preservar la integridad y seguridad del hardware y software (equipos y programas)
y de la información.
 Controlar que el hardware y software sean utilizados de acuerdo a las normas
establecidas.
 Controlar que la aplicaciones instaladas cumplan con las normas de
documentación mínimas establecidas.
 Entrenar, actualizar y dar soporte a los usuarios en los procedimientos necesarios
para la utilización del hardware y software instalado.
 Mantener el control de los equipos en las diferentes localidades.
 Establecer una vía de comunicación adecuada entre usuarios y especialistas en
informática.
¿Quién debería utilizar este manual?
El manual está dirigido a profesionales del campo de la Auditoría técnica y de gestión
financiera contable. En él encontrarán las acciones necesarias a seguirse con relación a
las actividades que a diario se realizan y que periódicamente deben ser controladas.
5.3. UBICACIÓN DEL ENTORNO INFORMATICO
La Sección de Informática se encuentra ubicada bajo el Departamento Administrativo y
debe ubicarse en el organigrama estructural de la empresa.
Las tres áreas claves de labor son:

7
Centro de Cómputo
Soporte Técnico a
Usuarios
Desarrollo de
Sistemas
1. Operación de los
Sistemas
1. Capacitación.
1. Análisis de los
Procesos
2. Supervisión del trabajo. 2. Ayuda en el trabajo. 2. Correcciones.
3. Mantenimiento. 3. Resolución de problemas. 3. Automatización.
4. Reparaciones. 4. Documentación. 4. Desarrollo.
5. Suministros. 5. Biblioteca. 5. Compra de
6. Respaldos. 6. Programas.
7. Pruebas y Manuales.
5.4. ESQUEMA GENERAL DE RECURSOS
USUARIOS APOYO FUNCIONAL APOYO SOFTWARE APOYO HADWARE
Requerimientos Comisión y Especialistas Paquetes y Programas Equipos de Computacion
Cartas
Documentos
Oficios
Gráficos
Informes
Cálculos
Consultas
Procesos
Aplicaciones especiales
Comisión Informática
y especialistas
Office
MQR
CLONES
de la Unidad
de Sistemas
Etc.
LAN
CR-RW
IBM
COMPAQ
Oracle
5.4.1. EXPLICACION DEL ESQUEMA GENERAL DE RECURSOS
COMISION INFORMATICA: La Comisión Informática aprueba la adquisición de Hardware

8
y Software, Cursos de entrenamiento, movilización de equipos, reglamentos, normas,
políticas, etc.
ESPECIALISTAS FUNCIONALES: El grupo de Especialistas Funcionales está
compuesto por el personal informático y los usuarios con avanzados conocimientos de
DOS, Office, Netware, Windows y otros programas. Este grupo está encargado de brindar
asesoría, entrenamiento, asistencia, soporte o ayuda en la utilización de Paquetes,
Programas, Equipos, unidades de respaldo (cd-rw, cintas) e impresoras.
5.5. FUNCIONES DE LA SECCION INFORMATICA
La principal función es la de asistir a los usuarios en los siguientes puntos (tomando como
referencia las normas y procedimientos que se tratan en el Capítulo 3)
• Entrenamiento oportuno para el uso del hardware y software.
• Clarificación de problemas de operación.
• Instalación de hardware y software.
• Obtención de respaldos.
• Documentación de aplicaciones.
• Actualización de nuevas técnicas.
• Información de los recursos disponibles en hardware y software.
• Solicitudes de requerimientos, etc.
5.6. PROCEDIMIENTOS PARA USUARIOS Y SISTEMAS
Las políticas y procedimientos son la primera línea de defensa de cualquier ambiente
computacional contra: pérdidas, daños, alteración, o hurto de la información, sean éstos
provocados o accidentales. La falta de políticas y procedimientos deja a la organización
expuesta, sin ninguna base normativa a seguir.

9
5.7. PROCEDIMIENTOS PARA USUARIOS
En este manual se cubre la mayoría de las posibilidades; sin embargo, en algún momento
se puede presentar una situación que no se ha contemplado, para lo cual, el usuario
deberá solicitar asistencia.
PROCEDIMIENTO N1
TITULO: Solicitud de entrenamiento en Hardware o Software.
DIRIGIDO A: Usuarios de Computadores.
OBJETIVO: Definir las normas generales para garantizar que las
necesidades de entrenamiento solicitadas por usuarios de
computadores, sean satisfechas oportunamente por la
Sección de Informática.
DESCRIPCION: Este procedimiento se aplica para situaciones en las que un
usuario requiera entrenamiento en el uso de computadores,
con el fin de satisfacer y cubrir necesidades dentro de su
actividad.
RESPONSABLE: Usuarios de computadores y Dirección Administrativa.
LIMITACIONES: Únicamente se dará entrenamiento sobre el hardware y
software estandarizado y solo sobre temas relacionados con
el trabajo de la persona solicitante.
RESTRICCIONES: El solicitante no debe haber recibido con anterioridad el
entrenamiento que está solicitando.
DESARROLLO:
a) El usuario solicitante de acuerdo a los requerimientos que se presentan por
la necesidad de utilizar un computador o un nuevo programa para el
desarrollo de sus funciones, deberá elaborar un oficio con copia adjuntando

10
los justificativos del caso.
b) A continuación el usuario solicitante deberá enviar el original a la Sección de
Informática. Deberá guardar la copia para su archivo personal.
c) La Sección de INFORMÁTICA recibe el oficio con la solicitud y lo archiva
como pendiente, por fecha de solicitud.
d) La Sección de INFORMÁTICA evalúa si amerita el entrenamiento y si está
planificado algún entrenamiento a nivel de grupo, relacionado con la solicitud
de entrenamiento. Si el entrenamiento no amerita enviará un oficio negando
la solicitud del usuario y, adjuntando una copia al oficio enviado solicitando
el entrenamiento archivará los documentos.
e) Si el punto anterior es positivo, la Sección de INFORMÁTICA integra al
solicitante al grupo, caso contrario, programa un entrenamiento individual,
coordinando con el Jefe inmediato del usuario solicitante. Envía un oficio
indicando los datos del entrenamiento solicitado y su aceptación por la
Sección de INFORMÁTICA a la Dirección Administrativa. Mantiene una
copia del oficio junto a la solicitud de entrenamiento.
f) La Dirección Administrativa deberá aprobar o negar finalmente la solicitud y
enviar una respuesta mediante un oficio a la Sección de INFORMÁTICA.
g) La Sección de INFORMÁTICA, una vez recibido el oficio de la Dirección
Administrativa, lo adjunta al trámite y comunica la decisión al usuario
solicitante mediante un oficio que incluirá todos los detalles acerca del
entrenamiento. Envía una primera copia al usuario solicitante, una segunda
copia la Jefe inmediato y el archiva el original junto a los otros documentos

11
por fecha de respuesta.
h) La Sección de INFORMÁTICA archiva el oficio de solicitud, la respuesta de
la Dirección Administrativa, junto con la respuesta final y registra todo como
procesado.
i) El usuario solicitante y su Jefe inmediato, reciben la primera y segunda
copias del oficio de respuesta y archivan por fecha de respuesta.
PROCEDIMIENTO N2
TITULO: Desarrollo, modificación, instalación y documentación de
aplicaciones propias.
DIRIGIDO A: Sección de INFORMÁTICA, Jefes de Departamento y
Usuarios de computadores.
OBJETIVO: Definir las normas generales para controlar el desarrollo,
modificación, documentación e instalación de aplicaciones
especificas realizadas por los usuarios.
DESCRIPCION: Este procedimiento se aplica cuando un usuario requiera
realizar, modificar o instalar una aplicación de computadores
desarrollada internamente, con el fin de satisfacer y cubrir
necesidades dentro de su actividad.
RESPONSABLE: Usuarios de computadores, Sección de INFORMÁTICA.
LIMITACIONES: Únicamente se desarrollarán o modificarán aplicaciones
autorizadas previamente por la Sección de INFORMÁTICA
mediante un oficio.
RESTRICCIONES: Antes de desarrollar o modificar una aplicación el usuario
deberá consultar con su jefe inmediato y con la Sección de
INFORMÁTICA, los cuales autorizarán el desarrollo o

12
modificación de esa aplicación. No está permitido desarrollar
aplicaciones para uso personal o externo. No está permitido
sacar copias de los manuales y de las aplicaciones para uso
externo.
DESARROLLO:
a) El usuario solicitante de acuerdo a los requerimientos que se presentan por
la necesidad de automatizar su trabajo consultará con su Jefe superior y con
la Sección de INFORMÁTICA el desarrollo o modificación de una nueva
aplicación y la instalación de la misma. Si la aplicación ha sido ya
desarrollada por otro usuario se emitirá un oficio de autorización por parte
de la Sección de INFORMÁTICA, se la instalará y termina el procedimiento.
b) A continuación el usuario solicitante en coordinación con la Sección de
INFORMÁTICA y con un oficio de aprobación de la misma (original para el
usuario y copia para la Sección de INFORMÁTICA) procederá al desarrollo
o modificación de la aplicación. Junto con la aplicación deberá desarrollarse
o actualizarse un manual descriptivo de la misma y un manual de utilización
tipiados en Word u otro procesador de textos.
c) Una vez finalizada la elaboración o modificación de la aplicación la Sección
de INFORMÁTICA la instalará para el usuario. La Sección de
INFORMÁTICA deberá guardar una copia en disquete (con la aplicación y
los manuales tipiados en Word u otro procesador de textos) en su biblioteca.
d) La Sección de INFORMÁTICA deberá mantener un inventario actualizado de
este tipo de aplicaciones.

13
PROCEDIMIENTO N3
TITULO: Adquisiciones de Equipos, Programas, Suministros, Contratos
de Seguro y Mantenimiento.
DIRIGIDO A: Comisión Informática, Sección de INFORMÁTICA, Jefes de
Departamento y Usuarios de computadores.
OBJETIVO: Definir las normas generales para controlar las adquisiciones
de equipos, programas, suministros y contratos de seguro y
mantenimiento.
DESCRIPCION: Este procedimiento se aplica cuando la Sección de
INFORMÁTICA, en conversación con usuarios y jefes de
departamento, establezca la necesidad de adquirir
programas, equipos, suministros, contratos de seguro y
mantenimiento.
RESPONSABLE: Comisión Informática y Sección de INFORMÁTICA.
LIMITACIONES: La compra de equipos y programas; y la contratación de
seguro y mantenimiento deberán ser aprobadas por la
Comisión de Informática. La adquisición de suministros hasta
por un monto que será aprobado por el Jefe de la Sección de
Informática.
RESTRICCIONES: Se comprarán preferentemente equipos de marca para
mantener el eestándar en hardware.
DESARROLLO:
a) La Sección de INFORMÁTICA se encargará de establecer la necesidad de
comprar equipos, programas y suministros así como de contratos de seguro

14
y mantenimiento. Esta necesidad se comunicará mediante un oficio a la
comisión informática adjuntándose un análisis técnico con los justificativos,
términos de referencia, y el proveedor recomendado para la adquisición.
Una copia del mismo se mantendrá en la Sección de INFORMÁTICA.
b) La comisión informática autorizará o negará la compra de los equipos,
programas o suministros y la contratación de seguros y mantenimiento
remitiendo el respectivo oficio con la respuesta a la Sección de
INFORMÁTICA con copia a los departamentos correspondientes (si la
respuesta es afirmativa). Para ello y los demás puntos de este
procedimiento se tomarán en cuenta las normas y políticas vigentes.
c) La Sección de INFORMÁTICA coordinará la adquisición mediante contratos
o facturas (contemplando garantías y plazos de entrega) con el
departamento financiero y el proveedor seleccionado.
d) La Sección de INFORMÁTICA se encargará de recibir y probar los equipos,
programas y suministros adquiridos con un acta de entrega recepción o nota
de entrega. Los equipos y programas deben adquirirse siempre con
manuales y los discos respectivos (al comprar programas el proveedor
deberá entrenar en el manejo del mismo a personal, por lo tanto se
coordinará este entrenamiento con la Sección de INFORMÁTICA. Deberá
entregar un manual de utilización y un manual de desarrollo y programación
del sistema con los programas fuentes en los discos), los programas y
manuales se mantendrán en la biblioteca siendo de propiedad de la
empresa. Los suministros se mantendrán en una bodega (con Kardex e
inventario mensual) dentro de la Sección de INFORMÁTICA y bajo
responsabilidad de la misma. Los contratos y documentación de la compra
se mantendrán en los departamentos correspondientes.

15
PROCEDIMIENTO N4
TITULO: Reporte y reparación de daños en los equipos.
OBJETIVO: Definir las normas generales para reportar y reparar los daños
a los equipos.
INFORMÁTICA, en conversación con usuarios y jefes de
departamento, establezca daños en los equipos.
LIMITACIONES: Se procurará reparar siempre todo equipo dañado este o no
en garantía. De ser necesario se establecerán
responsabilidades sobre el mismo.
RESTRICCIONES: Se repararán únicamente en servicios técnicos autorizados.
DESARROLLO:
a) La Sección de INFORMÁTICA se encargará de establecer los daños en
equipos. Estos daños se comunicarán mediante un oficio a la comisión
informática adjuntándose un detalle del daño. Una copia del mismo se
mantendrá en la Sección de INFORMÁTICA.
b) La comisión informática autorizará la reparación de los equipos y enviará un
oficio con la respuesta a la Sección de INFORMÁTICA con copia al
Departamento Financiero (Bodega).
c) La Sección de INFORMÁTICA coordinará la reparación (contemplando

16
garantías y plazos de entrega) con el departamento financiero y el proveedor
de los equipos (o el que los arregle). Se verificará si los equipos están
todavía en garantía, en cuyo caso no se procederá a ningún pago por la
reparación.
d) La Sección de INFORMÁTICA se encargará de recibir y probar los equipos
reparados con un acta de entrega recepción o nota de entrega. Luego
notificará con un oficio a la dirección financiera y al bodeguero para
proceder al registro y pago respectivo. Una copia del oficio se adjuntará a la
documentación para archivar.

17
PROCEDIMIENTO N5
TITULO: Reubicación de los equipos.
OBJETIVO: Definir las normas generales para trasladar de una localidad a
otra los equipos.
INFORMÁTICA, en coordinación con usuarios y jefes de
departamento, establezca la necesidad de trasladar los
equipos a otra localidad.
LIMITACIONES: Los equipos los trasladará el encargado de la Sección de
INFORMÁTICA únicamente. Para ello es necesario un oficio
con la autorización por parte de la Comisión Informática.
RESTRICCIONES: Se trasladará únicamente dentro de las instalaciones de la
empresa.
DESARROLLO:
a) La Sección de INFORMÁTICA se encargará de establecer la necesidad de
trasladar los equipos. Esta necesidad se comunicará mediante un oficio a la
comisión informática adjuntándose un detalle justificativo de la acción y los
requerimientos para seguridad de los equipos e instalaciones eléctricas.
Una copia del mismo se mantendrá en la Sección de INFORMÁTICA.
b) La comisión informática autorizará el traslado de los equipos y enviará un
oficio con la respuesta a la Sección de INFORMÁTICA, a bodega y a los
demás departamentos correspondientes.

18
c) Si la respuesta es afirmativa la Sección de INFORMÁTICA coordinará y
trasladará los equipos a la nueva localidad revisando siempre con
anticipación si las instalaciones eléctricas y las seguridades son las
adecuadas. Se verificará si los equipos funcionan correctamente y luego se
emitirá un acta de entrega-recepción del mismo. La documentación deberá
archivar la Sección de INFORMÁTICA y Bodega.
PROCEDIMIENTO N6
TITULO: Inventario de equipos, programas, aplicaciones y suministros.
OBJETIVO: Definir las normas generales para el buen manejo de equipos,
programas, aplicaciones y suministros.
DESCRIPCION: Este procedimiento se aplicará en la Sección de
INFORMÁTICA para mantener siempre inventarios
actualizados y un buen control sobre equipos, programas,
aplicaciones y suministros.
LIMITACIONES: Se procurará siempre mantener un inventario actualizado de
todo.

19
DESARROLLO:
a) La Sección de INFORMÁTICA se encargará de mantener un control de la
ubicación de los equipos mediante un inventario actualizado de los mismos.
Este inventario deberá contener los números de serie de los equipos. Se
comunicarán mediante un oficio a la comisión informática cada trimestre la
situación de este inventario. Cualquier pérdida se deberá reportar
inmediatamente para la acción pertinente.
b) La Sección de INFORMÁTICA se encargará de mantener un control en una
biblioteca con llave de los manuales de los computadores, programas y
aplicaciones además de todos los discos y cintas que contengan
programas, aplicaciones o datos. Deberá mantenerse un inventario
actualizado de los mismos. Este inventario deberá estar siempre detallado.
Se comunicarán mediante un oficio a la comisión informática cada trimestre
la situación de este inventario. Cualquier pérdida se deberá reportar
inmediatamente para la acción pertinente.
c) La Sección de INFORMÁTICA llevará un control sobre el uso de suministros
los cuales se entregarán mediante oficio de los jefes de departamento y con
firma de quien los retira. Se deberá mantener siempre un Kardex
actualizado de los mismos. Un informe con los saldos del inventario deberá
entregarse tanto a la Comisión Informática como al departamento financiero
cada trimestre.

20
5.8. ESTANDARES Y NORMAS DE CODIFICACION
Los usuarios al escribir los nombres de sus trabajos (8 caracteres) deberán usar el
siguiente esquema:
Posición 1 .......... Inicial del nombre del usuario
Posición 2 .......... Inicial del apellido del usuario
Posición 3 .......... Inicial del departamento o sección
Posiciones 4 a 8 .... Descripción del trabajo
5.9. SEGURIDADES GENERALES
Los usuarios de los equipos computarizados deberán observar las normas de seguridad
descritas a lo largo de este manual en todas sus labores.
La responsabilidad por el manejo de cada equipo recae sobre el usuario a cargo del
mismo, el cual deberá tomar todas las medidas del caso para garantizar el cuidado y buen
uso de los equipos.
Los procedimientos descritos en el capítulo 3 deberán observarse y respetarse siempre
ya que contienen las normas de seguridad específicas para cada situación en particular.
Es responsabilidad de la Comisión de Informática y de la Sección de INFORMÁTICA
establecer todas las medidas de control necesarias para garantizar la seguridad de los
equipos.
Los equipos deberán siempre estar amparados por una póliza de seguros y un contrato

21
de mantenimiento.
5.10. OBTENCIÓN DE RESPALDOS
Cada usuario deberá mantener siempre por lo menos una copia de seguridad o respaldo
de su información.
La Sección de INFORMÁTICA deberá mantener tres respaldos de aquella información
que sea considerada crítica en el desenvolvimiento de la actividad de la empresa.
Los respaldos se sacarán en cintas o discos verificando previamente su estado.

22
5.11. OBLIGACIONES Y PROHIBICIONES DE USUARIOS
Todo usuario deberá sujetarse a las normas y disposiciones emitidas por la Comisión de
Informática y la Sección de INFORMÁTICA además de todas las normas contenidas en el
presente documento.
Los procedimientos descritos en el capítulo 3 del presente documento constituyen normas
de trabajo y deberán ser observadas siempre que se manejen equipos computarizados.
Está totalmente prohibido a los usuarios llevarse programas, manuales y suministros para
uso personal o de terceros. Además se prohíbe el uso de los recursos computacionales
para desarrollar tareas personales que no tienen que ver con la actividad de la empresa
5.12. CARTAS A LA GERENCIA
Uno de los propósitos de aplicar las técnicas de Auditoría es informar sobre deficiencias
de control encontradas durante el examen.
Para cumplir apropiadamente con dicha finalidad es necesario evaluar el sistema de
control con anterioridad al examen de los Sistemas de Información Basados en
Computadora. Como resultado de dicho estudio y evaluación, el auditor deberá emitir una
carta de recomendación tendiente a corregir las deficiencias encontradas siempre y
cuando se consideren de importancia relativa. Esta carta o documento es comúnmente
llamada “CARTA A LA GERENCIA” la misma que debe contener información que ayude a
la administración a tomar acciones o decisiones correctivas, es por eso que la carta de
recomendaciones, debe ser emitida y dirigida a personas que ocupen una posición tal
que les permita tomar acciones correctivas inmediatas de preferencia a la Gerencia
General, por cuanto es ella la responsable de mantener adecuados procedimientos de
control tanto administrativos, contables y de otra índole.

23
Por lo tanto debería constituirse como política de una firma de auditores, que el auditor
ayude al cliente o le asesore en su responsabilidad de implementar esos procedimientos
de control, además considerando que el auditor, mantiene un conocimiento amplio en
términos generales, sobre las operaciones de la entidad y considerando su punto de vista
independiente, se considera que está más capacitado como para efectuar sugerencias
constructivas.
Generalmente las cartas de recomendaciones deben ser emitidas por lo menos una vez al
año, sin embargo el socio o responsable del compromiso de Auditoría, podrá tomar la
decisión de emitir esta carta con mayor frecuencia. Todas las observaciones de Control
Interno que realice el auditor, ya sean éstas de naturaleza contable u operativa, deberán
ser discutidas con el personal a niveles apropiados a efectos de confirmar el contenido de
la carta.
5.12.1. TECNICAS DE PREPARACION
 Cada observación debe ser titulada
 Cada observación deberá contener una breve explicación de la deficiencia, los
riesgos inherentes y la corrección sugerida.
 Deberá tenerse muy presente la regla Costo-Beneficio
 Los puntos a ser incluidos no deben limitarse a aspectos netamente del entorno
informático. Deberán incluir aspectos operativos, contables, impositivos y
laborales.
 Incluir adjunto a las recomendaciones de ser posible cuadros explicativos,
gráficos o cuantificar el efecto de las recomendaciones.
 Cuando son extensas las cartas, incluir un índice de contenido.
 Incluir los puntos relevantes primero y los menos relevantes al último.
 Puntos de años anteriores insistir nuevamente dependiendo de su importancia,
en estos casos expresiones como: “Reiteramos nuestra recomendación de
años anteriores” serían apropiadas.
 En la recomendación deberán usarse frases como “Sugerimos, creemos

24
conveniente, recomendamos” Nunca se debe imponer.
 Debe ser enviada con anterioridad a la fecha de emisión de Estados
Financieros.
 Debe ser discutida antes de ser emitida formalmente.
5.12.2 ARCHIVO DE ANALISIS
INDICE
 SISTEMA DE CONTABILIDAD
 SISTEMA DE ACTIVOS
 SISTEMA DE CAJA
 SISTEMA DE FACTURACIÓN
 SISTEMA DE CARTERA
 SISTEMA DE INVENTARIOS
 SISTEMA DE NOMINA
 SISTEMA DE PRODUCCION
CLIENTE
INDICE - ARCHIVO PERMANENTE
A HISTORIA DE LA COMPAÑIA
1. Escritura de constitución y estatutos
2. Accionistas
3. Directores
4. Actas de juntas de accionistas
5. Actas de juntas de directores
B ACTIVIDADES COMERCIALES O INDUSTRIALES

25
1. Productos que fabrica o comercializa (indicar la importancia de cada uno sobre el total)
2. Condiciones de ventas (indicar para cada producto qué condición rige su
comercialización: plazos,
descuentos, garantía, etc.)
3. Materias primas (o mercaderías para reventa) principales
4. Proveedores principales
C ORGANIZACION CONTABLE
1. Principales departamentos o subdivisiones, con una breve descripción de sus
funciones e indicación del
número aproximado de personas en cada uno
2. Lista de las firmas o iniciales usadas por las personas responsables de autorizar
documentos y firmar cheques
3. Libros y registros
4. Informes preparados periódicamente por la compañía
5. Plan de cuentas
6. Instrucciones para la utilización del plan de cuentas
D POLITICA Y PROCEDIMIENTOS CONTABLES
1. Ingresos de caja
2. Desembolsos de caja
3. Ventas y cuentas por cobrar
4. Inventarios
5. Activo fijo
6. Compras y cuentas por pagar
7. Planillas
8. Sistema de costos

26
E HISTORIA FINANCIERA
1. Resumen por años del balance
2. Resumen por años del estado de ganancias y pérdidas
3. Resumen por años del estado de utilidades o pérdidas acumuladas
4. Comparaciones financieras
5. Resumen del movimiento anual de reservas de capital
6. Resumen del movimiento anual de activo fijopagebreak
F SITUACION FISCAL
1. Impuestos a que está obligada la compañía
2. Exenciones tributarias de que goza la compañía
3. Copias o síntesis de las disposiciones tributarias que afecten a la compañía
4. Conciliaciones entre la utilidad contable y la utilidad fiscal (obtener copia de las
declaraciones presentadas a las autoridades tributarias) - por años
5. Conciliaciones entre la utilidad declarada y utilidad revisada por las autoridades
tributarias - por años
6. Situación de los años aún no revisados por las autoridades tributarias
G SINTESIS O COPIAS DE CONTRATOS Y ESCRITURAS
1. Propiedades
2. Aumentos de capital
3. Royalties
4. Trabajo
FORMATO DE CARTA DE REPRESENTACION
En relación con su examen a los Sistemas de Información Basados en Computadora de
______________________a _________________y por ________________ y con el

27
propósito de expresar una opinión de si tales sistemas presentan razonablemente la
información procesada, los resultados de operaciones y la posición financiera de
_________________ de conformidad con los principios de auditoría generalmente
aceptados, confirmamos, a nuestro mejor saber y entender que las siguientes
representaciones fueron hechas a usted durante su examen.
1. Somos responsables de la presentación responsable de la posición financiera,
resultados de operaciones y procesos electrónicos de información de conformidad
con los principios de auditoría generalmente aceptados.
2. Hemos puesto a su disposición todos:
 Los registros financieros y la información relativa.
 Las minutas de las reuniones de los socios, directorio y los comités de directores, o
resúmenes de los sucesos de las últimas reuniones de las cuales las minutas no han
sido aún preparadas.
 Los manuales y documentación de cada sistema de información.
3. No han existido:
 Irregularidades que involucren a la gerencia o empleados quienes tienen funciones
importantes en el sistema de control interno contable y de P.E.D.
 Irregularidades que involucren a otros empleados, que podrían tener un efecto
material en los estados financieros y los procesos de P.E.D.
 Comunicaciones de agencias reguladoras, referentes a no cumplimientos con, o
deficiencias en las prácticas de información financiera u otros asuntos que podrían
tener un efecto material en los estados financieros.
4. No tenemos planes que puedan afectar significativamente los valores llevados o la
clasificación de activos y pasivos.
5. Se ha registrado y revelado correctamente en los estados financieros, lo siguiente:
 Las transacciones entre partes relacionadas y las cuentas por pagar y por cobrar
relacionadas, incluyendo ventas, compras, préstamos, transferencias, contratos de
arrendamiento y garantías.
 Acciones de capital con opciones de recompra o acuerdos o acciones de capital

28
reservados para opciones, garantías, conversiones u otros requerimientos.
 Contratos con instituciones financieras en las que se involucren compensación de
saldos u otros contratos en las que se involucren restricciones de saldos de caja,
líneas de crédito o contratos similares.
 Contratos para recomprar activos previamente vendidos.
6. No hay:
 Violaciones o posibles violaciones de leyes o regulaciones, cuyos efectos deberían
ser considerados para ser revelados en los estados financieros o como una base
para registrar una pérdida contingente.
 Otros pasivos, ganancias o pérdidas contingentes significativas que son requeridas
ser acumuladas o reveladas de acuerdo a la declaración de normas de contabilidad
financiera Nº5 (FASB # 5).
7. No hay reclamos o imposiciones pendientes que nuestro Abogado nos haya notificado
son de probable confirmación y deben ser revelados de acuerdo con lo indicado en la
declaración de normas de contabilidad financiera Nº5.
8. No hay transacciones significativas que no hayan sido correctamente registradas en
los registros contables.
9. Se ha efectuado la provisión necesaria para reducir el exceso u obsolescencia de
inventarios a su valor neto realizable estimado (cuando es significativo).
10. La compañía tiene títulos de propiedad satisfactorios de todos los activos que posee y
no hay derechos de retención o gravámenes sobre tales activos, ni tampoco activos
dados en garantía.
11. Se han hecho provisiones para cualquier pérdida significativa surgida en la
terminación de cualquier compromiso de venta o en la inhabilidad de terminar algún
compromiso de venta.
12. Se ha hecho provisión para alguna pérdida significativa surgida como resultado de
compromisos de compra por cantidades de inventarios en exceso de los

29
requerimientos normales o a precios en exceso de los que prevalecen en el mercado.
13. Hemos cumplido con todos los aspectos de los acuerdos contractuales que podrían
tener un efecto significativo en los estados financieros en el caso de incumplimiento.
14. Las declaraciones de impuesto a la renta han sido examinadas e informadas por los
inspectores fiscales hasta ___________________ las declaraciones de los años
desde ________________ están pendientes de revisión. La provisión para
impuestos a la renta no pagados reflejados en el balance general es adecuada para
cubrir cualquier impuesto adicional resultante de los exámenes efectuados o de esos
a efectuarse por los inspectores fiscales.
15. Intentamos financiar sobre una base de largo plazo, las cuentas por pagar a corto
plazo en un monto de S/.______________ con los préstamos disponibles que están
bajo el acuerdo de financiación fechado _______________.
16. La información de costo de reemplazo incluida en los estados financieros ha sido
preparada y presentada de acuerdo con los métodos y procedimientos señalados por
la comisión federal de valores negociados, y representan nuestra mejor estimación de
la información requerida.
17. La información financiera interna incluida en los estados financieros ha sido
preparada y presentada de conformidad con los principios de contabilidad
generalmente aceptados, aplicados sobre bases consistentes.
18. No han ocurrido eventos posteriores a la fecha del balance general que requieran
ajustes o revelaciones en los estados financieros.
ARCHIVO GENERAL
INDICE
A. INFORMES DE AÑOS ANTERIORES
B. CARTAS A LA GERENCIA ANTERIORES
C. BALANCE DE PRUEBA

30
D. ESTADOS FINANCIEROS DEL CLIENTE
E. CARTA DE REPRESENTACION
F. ESTRACTOS DE ACTAS DE DIRECTORIO YJUNTA DE ACCIONISTAS
G. CORRESPONDENCIA RELACIONADA CON EL CLIENTE
H. MEMORANDUMS YCOMUNICACIONES INTERNAS
I. FLUJOGRAMACION (INCLUYENDO NARRATIVAS)
J. REVISION DE SISTEMAS
K. REGISTRO DE DEFICIENCIAS DE CONTROL Y DISCUSIONES CON EL CLIENTE
DE CARTAS A LA GERENCIA
L. PRUEBA DE FUNCIONES YORGANIZACION
M.PRESUPUESTO YESTADO DEL PRESUPUESTO DE HORAS
N. RESUMEN DEL TIEMPO REAL UTILIZADO
MEMORANDUM DE COMPROMISO
CONTENIDO:
a._ Antecedentes de la compañía
b._ Personal asignado al trabajo
c._ Presupuesto de tiempo
d._ Plan detallado de trabajo
e._ Áreas críticas descritas
5.13. RESPONSABILIDADES DE AUDITORÍA INFORMATICA
DESARROLLAR Y/O ADQUIRIR:
Software de Auditoría
Cuestionarios / Check-Lists

31
Métodos/Técnicas
Habilidad / Entrenamiento
Asistencia externa etc.
EVALUAR LO ADECUADO DE:
Estándares y Procedimientos establecidos y propuestos
Políticas y Procedimientos Financieros
Políticas y Procedimientos de los Sistema de Información
Estándares para Control de Proyectos
Estándares para diseño de programas y sistemas
Estándares para documentación de sistemas, programas, manuales del usuario y
operación.
EVALUAR SISTEMAS EN DESARROLLO:
Facilidades propuestas para mantener:
- Exactitud
- Confiabilidad
- Integridad
- Seguridad y Control
- Auditabilidad cuando lleguen a estar operacionales
- Uso eficiente de:
- Tiempo
- Esfuerzos
- Dinero
- Otros recursos
- Efectividad en realizar resultados deseados

32
EVALUAR SISTEMAS OPERACIONALES:
Lo adecuado de y el cumplimiento de las facilidades para mantener:
- Exactitud
- Confiabilidad
- Integridad
- Auditabilidad
- Seguridad y Control
El uso eficiente de los recursos
El grado de efectividad en satisfacer las necesidades del usuario.
REVISAR LA ADMINISTRACION DE LOS SISTEMAS DE INFORMACIÓN BASADOS
EN COMPUTADOR:
Prácticas y controles administrativos y operativos.
La forma en que se cumplen los objetivos.
EVALUAR A USUARIOS Y GRUPO DE SOPORTE:
Lo adecuado de y el cumplimiento de las funciones.
La forma en que mantienen la:
- Exactitud
- Confiabilidad
- Integridad
- Seguridad
- Control
- Auditabilidad
de los sistemas computacionales.
Eficiencia y eficacia de sus operaciones.

33
Probar y observar el cumplimiento de todas las:
- Políticas
- Procedimientos
- Estándares
Auditar registros financieros y de otro tipo por razones de integridad y consistencia; así
como una presentación clara.
Proveer información a y trabajar cuando sea necesario con los Auditores Externos de la
Compañía
Conducir investigaciones sobre:
- Déficits
- Desapariciones y destrucciones misteriosas
- Fraudes y pérdidas
como un requerimiento de la Administración y Dirección de la Institución.
Llamar la atención de la Administración y Dirección de la Institución sobre riesgos
significativos en:
- El negocio
- Finanzas
- Legal
- Seguridad
y otros que aparezcan como imprudentes o excesivos e involucren consecuencias graves
que podrían materializarse.
5.14 EL PROCESO DE AUDITORÍA
5.14.1 ESTUDIO PRELIMINAR
5.14.2 TRABAJO DE CAMPO
5.14.3 DOCUMENTACION DE EVIDENCIAS
5.14.4 PRODUCCION DEL REPORTE DE AUDITORÍA
5.14.5 SEGUIMIENTO DE LAS RECOMENDACIONES

34
5.14.1 ESTUDIO PRELIMINAR
Constitución de la Organización
Organización
Archivo permanente de Auditoría
Reportes previos de Auditoría
Planes de corto y largo plazo (reportes de avances)
Presupuestos
Descripción de funciones
Procedimientos de performance
Esquemas y diagramas de flujo de procesos
Manuales de Procedimientos
Copias de los logs de operaciones:
- Print-log
- Resum-log
- Operator-log
- Tope/Disk-log
- Change-log
Resúmenes de utilización de recursos
Planes de contingencia y convenios.
FUENTES PARA STANDARES DE BUENA PRÁCTICA
- Ordenes de la Dirección
- Instructivos de trabajo en Manuales de Operación
- Requerimientos de Presupuesto
- Requerimientos regulatorios obligatorios
- Registros de Performance

35
- Reportes sobre experiencias en la Industria
- Publicaciones de Organizaciones profesionales con autoridad
5.14.2 TRABAJO DE CAMPO
Se han establecido los controles necesarios
Existen y se aplican Procedimientos de Control
Las excepciones son identificadas, analizadas y comunicadas a los responsables
La acción correctiva se toma prontamente:
- Controles que afecten significativamente la labor de Auditoría.
- La información concerniente a la naturaleza y extensión de controles.
- Todos los procedimientos de Control y Auditoría deben estar documentados.
5.14.3 DOCUMENTACION DE EVIDENCIAS
Especificar lo concerniente a los encuentros y luego conciliar éstos con las guías y
estándares establecidos.
El soporte de la evidencia por encuentros deficientes debería demostrar la
existencia del defecto, proveer información concerniente a la materialidad del
defecto y producir datos suficientes para dar a la administración una base
adecuada para actuar.
5.14.4 PRODUCCION DEL REPORTE DE AUDITORÍA
- Exacto, claro, conciso, oportuno y cortés.
- Encuentros favorables y desfavorables.
- Resumen en cápsula:
Criterio
Descripción

36
Causa
Efecto y recomendaciones
- Criterio Aplicado:
¿Por qué estándares fue juzgado?
- Descripción de deficiencias:
¿Qué estuvo errado?
- Causa de la deficiencia:
¿Qué sucedió?
- Efecto de la deficiencia:
¿Qué efectos tuvo?
- Recomendaciones de los Auditores para acción correctiva:
¿Cuál es la solución?
- Acciones correctivas planes.
5.15 CARACTERISTICAS DEL AUDITOR INFORMATICO
5.15.1 ENTRENAMIENTO EN AUDITORÍA
5.15.2 ENTRENAMIENTO EN P.E.D.
5.15.3 CARACTERISTICAS PERSONALES
5.15.1. ENTRENAMIENTO EN AUDITORÍA
 Conoce como auditar.
 Está en posibilidad de aplicar herramientas modernas de auditoría.
 Se mantiene actualizado en las prácticas de auditoría.
5.15.2. ENTRENAMIENTO EN SISTEMAS DE INFORMACIÓN BASADOS EN
COMPUTADORA

37
 Análisis y diseño de sistemas
 Programación de aplicaciones
 Programación de sistemas
 Hadware
 Base de datos/comunicación de datos
5.15.3. CARACTERÍSTICAS PERSONALES
 Inteligencia Analítica y sobre el promedio general
 Habilidades superiores en comunicación oral y escrita
 Escuchador y pensador
 Curioso e inquisitivo
 Político
 Profesional y maduropagebreak
5.16. ORGANIZACION DE LA FUNCION DE A.I.
5.16.1. PERSONAL INVOLUCRADO
 Número de aplicaciones
 Medidas y complejidad de cada aplicación
 Frecuencia de Auditoría
 Número de Instalaciones
 Diversidad de Tecnología
 Dispersión Geográfica de Instalaciones
 Localizaciones para el Desarrollo de Sistemas
 Sitios de Preparación de Datos
5.17. SISTEMA DE REGULACIÓN DE VOLTAJE
Hemos observado que el Centro de Cómputo no cuenta con un sistema que regule el
voltaje de la corriente eléctrica que ingresa al computador.

38
En vista de que una falla de corriente puede dañar tanto el equipo como la información,
recomendamos se implante un sistema de regulación de voltaje que garantice el buen
funcionamiento del computador.
5.17.1. FUENTE DE ENERGÍA ELÉCTRICA
Hemos observado que el Centro de Cómputo no cuenta con una fuente de energía
eléctrica (UPS) que de energía al computador cuando no hay corriente eléctrica.
Creemos conveniente la utilización de uno de estos aparatos debido a que muchos
procesos de información al ser interrumpidos por fallas de corriente eléctrica, ocasionan la
pérdida de información. Una fuente de poder puede dar la energía necesaria para terminar
los procesos y apagar debidamente el equipo luego de interrumpirse la corriente eléctrica.
5.17.2. SISTEMA DE AIRE ACONDICIONADO
Existe en el Centro de Cómputo un sistema de aire acondicionado funcionando; sin
embargo, no se mide con frecuencia la temperatura y humedad.
Con el propósito de mantener al equipo funcionando en los límites de temperatura
sugeridos por el fabricante, sugerimos se mida con frecuencia y se controle la temperatura
y humedad, registrando dichas mediciones en algún formulario diseñado para el efecto.
5.18. FUNCIONALIDAD DE LAS INSTALACIONES DEL DEPARTAMENTO DE
P.E.D
Hemos observado que las instalaciones y distribución física del departamento de P.E.D.
no prestan facilidad para el trabajo del personal de dicha área.

39
Con el propósito de facilitar el trabajo y optimizar los recursos recomendamos se
distribuya físicamente el departamento de P.E.D.
5.18.1. LÍNEAS DE ALIMENTACIÓN ELÉCTRICA PARA LOS EQUIPOS DE P.E.D.
No existe una instalación eléctrica independiente para los equipos de Procesamiento
Electrónico de Datos.
Sugerimos se instale una red de alimentación eléctrica totalmente independiente para el
departamento de P.E.D. con el propósito de que no se den interferencias eléctricas en los
equipos del centro de cómputo causadas por los otros aparatos de la compañía.
5.18.2. CONEXION A TIERRA DE LAS INSTALACIONES ELECTRICAS PARA EL
DEPARTAMENTO DE P.E.D
Las líneas eléctricas que alimentan al departamento de P.E.D. no cuentan con una
conexión a tierra (neutro).
Recomendamos que se instalen a tierra (neutro) todas las líneas eléctricas que dotan de
corriente a los equipos de P.E.D. puesto que ello evitará que las descargas eléctricas
(muy comunes en nuestro medio) recaigan en los equipos, siendo desviadas éstas por la
conexión a tierra.
5.18.3. MEDICION DE VOLTAJE, TENSION E INTENSIDAD DE LA CORRIENTE
ELECTRICA
Hemos observado que el Centro de Cómputo no cuenta con ningún aparato de medición
que permita controlar el voltaje, tensión e intensidad de la corriente eléctrica.
A efectos de evitar que excesivas cargas eléctricas dañen el equipo, recomendamos se
instalen sistemas de medición que permitan controlar y evitar daños al equipo por efectos

40
de corriente eléctrica.
5.19. SISTEMA DE DETECCIÓN DE INCENDIOS
No existe en el departamento de P.E.D. un sistema para detección de incendios. No
existe ningún tipo de alarma de activación manual.
Sugerimos la instalación de un sistema que permita detectar y avisar rápidamente un
inicio de incendio. Los equipos de P.E.D. pueden estropearse en forma total con el simple
contacto con fuego. El material encontrado en el departamento de P.E.D. es totalmente
combustible y muchos cables de corriente pasan cerca de papel y otros materiales de fácil
combustión. Es también recomendable la instalación de un sistema de alarma de
incendios de activación manual.
INDICACION DE "NO FUMAR"
Hemos observado que no existe en el Centro de Cómputo un letrero o indicativos visibles
y convenientemente escritos que señalen la prohibición de fumar en dicho Centro.
Recomendamos ubicar un letrero o indicativos que señalen que está prohibido fumar en
dicho lugar. La ceniza y el humo deterioran y pueden incluso causar daños graves al
equipo de Procesamiento de Datos.
5.20. ACCESO AL DEPARTAMENTO DE P.E.D.
Hemos observado que el acceso al Departamento de P.E.D. no está restringido. Personal
ajeno a P.E.D. ingresa al departamento en busca de listados, etc.
Recomendamos restringir y reglamentar el acceso a dicho departamento únicamente a
personal autorizado, por lo delicado de sus labores y seguridad tanto del equipo como de
los procesos de información. A efectos de controlar el acceso, es recomendable utilizar

41
equipos especiales, que aseguren el ingreso sólo de personal autorizado.
5.21. PLAN DE SEGURIDAD Y EMERGENCIA
No existe un plan de seguridad y emergencia que señale procedimientos a seguirse en
casos fortuitos para asegurar los procesos de información.
Recomendamos elaborar un plan de seguridad y emergencia que permita al
Departamento de P.E.D. reiniciar sus labores a la brevedad posible en casos de
emergencias, daños, siniestros, etc. Este plan debe contener procedimientos escritos
para cada tipo de emergencia, así como normas de seguridad física a observarse en
dichos casos.
5.22. LIMPIEZA DEL DEPARTAMENTO DE P.E.D
Hemos observado que el departamento de P.E.D. no se limpia con regularidad. Todo se
encontraba sucio y descuidado al momento de nuestra revisión.
Recomendamos que, bajo la vigilancia del personal del departamento de P.E.D., se
establezca un horario adecuado para que el personal de limpieza realice sus labores en
este departamento. El polvo, la suciedad y la falta de cuidado deterioran tanto los
acabados externos como los dispositivos electrónicos de los equipos.
5.22.1. ALFOMBRA EN EL DEPARTAMENTO DE P.E.D.
Hemos observado que el Departamento de Procesamiento Electrónico de Datos está
alfombrado.
Recomendamos dar un tratamiento especial a la alfombra con el fin de evitar energía

42
eléctrica estática perjudicial tanto para el equipo como para la información almacenada en
medios magnéticos.
5.22.2. DESTRUCCION DE PAPEL UTILIZADO
Hemos observado que en el Departamento de P.E.D. a pesar de que cuenta con una
destructora de papel, éste no se destruye adecuadamente.
Recomendamos destruir adecuadamente el papel, listados, formularios, etc. que no se
vayan a usar. Sugerimos para el efecto la utilización de la destructora de papel.
5.23. REGLAMENTO DE SEGURIDAD FISICA DEL DEPARTAMENTO DE P.E.D.
No existe un reglamento o manual que trate acerca de la seguridad física del
departamento de P.E.D.
Sugerimos se elabore dicho documento, en el cual se detalle las labores de cada uno de
los integrantes del departamento de P.E.D. y a qué tipo de información tienen acceso
(niveles de acceso). Además de horarios de entrada y salida, así como detalles sobre el
uso del computador por parte de cada persona, elaboración, cambio y mantenimiento de
claves de acceso, etc. En este manual es recomendable que se fijen políticas de la
empresa en cuanto al manejo de la información y del departamento de P.E.D.
5.23.1. LIBRERIA PARA MANUALES
No existe una librería con llave, en la cual se centralicen todos los manuales del
computador, compiladores y programas. En nuestra evaluación, observamos que muchos
manuales se encontraban en distintos lugares y sin que nadie los utilice.
Recomendamos se dote al departamento de P.E.D. de un lugar adecuado y resguardado
para mantener allí toda la documentación escrita del computador. De ser posible,

43
recomendamos se responsabilice a una persona para que maneje dicha librería.
5.23.1.1. CONTROL DE ENTREGA DE MANUALES Y DOCUMENTACION DEL
SISTEMA
Hemos observado que no se controla la entrega y utilización por parte del departamento
de P.E.D. de todo lo referente a manuales y documentación escrita del sistema.
Recomendamos se lleve un registro que permita conocer a quién se presta los manuales,
para qué los utiliza y si los ha devuelto.
5.23.1.2. INVENTARIO DE MANUALES Y DOCUMENTACION DEL SISTEMA
No existe un inventario actualizado de manuales y documentación escrita del sistema.
Recomendamos se mantenga siempre un inventario actualizado y completo de todos los
manuales y documentos del sistema con el fin de conocer qué se tiene, dónde se tiene y
quién es el responsable de ellos.
5.23.1.3. COPIAS DE MANUALES Y DOCUMENTACION
No es política del departamento de P.E.D. guardar en un lugar fuera de la empresa, una
copia de manuales y documentación necesarias, únicas e imprescindibles.
Con el objeto de salvaguardar información y documentación recogida en dichos manuales,
recomendamos guardar una copia de los mismos en un lugar fuera de la empresa, como
bancos, cajas de seguridad, sucursales, etc.
5.23.2. COPIAS DE DISCOS Y CINTAS
Hemos observado que tampoco se guardan copias de discos y cintas magnéticas en un
lugar fuera de la empresa.

44
Reiteramos nuestra recomendación de guardar una copia de información crítica en
lugares fuera de la empresa.
5.23.2.1. ACCESO A CINTAS Y DISCOS MAGNETICOS
Hemos observado que, a pesar de tener una caja de seguridad, ésta siempre está abierta
y no se controla el acceso a cintas y discos magnéticos por parte del personal de P.E.D.
Recomendamos se dé buen uso de este medio de almacenamiento y se restrinja
totalmente el acceso a dicho material.
5.23.2.2. INVENTARIO DE CINTAS Y DISCOS MAGNETICOS
Al igual que en el caso de la documentación y manuales, hemos observado que tampoco
se lleva un inventario actualizado y completo de cintas y discos magnéticos. Las cintas y
discos no se encuentran adecuadamente identificados, muchas etiquetas se ven
repizadas y con borrones.
Sugerimos se lleve un registro de cada uno de estos medios en el cual consten entre otras
cosas, contenido del medio magnético, fecha en el que fue grabado, etc. Recomendamos
además, etiquetar e identificar adecuadamente todo este tipo de material.
5.23.2.3. DESTRUCCION DE MEDIOS MAGNETICOS INSERVIBLES
Hemos observado que no se destruyen los medios magnéticos, cintas o discos, que se
hallan dañados. Se conservan discos y cintas magnéticas de equipos anteriores.
Recomendamos se destruya adecuadamente todo material magnético inservible a fin de

45
no acumular basura en el departamento de P.E.D.
5.24. ACCESO A PROGRAMAS Y APLICACIONES
Hemos observado que, a pesar de existir una caja de seguridad, el acceso a programas y
aplicaciones, no está restringido ni reglamentado.
Sugerimos elaborar un reglamento que restrinja el acceso a dicha información a fin de
evitar que ésta se filtre a otras instituciones.
5.24.1. MATERIAL CONFIDENCIAL Y DE ALTO RIESGO
El acceso a este tipo de material no es controlado y hemos observado que no se
encuentra claramente identificado y etiquetado.
Recomendamos identificar este tipo de material y reiteramos la recomendación en el
sentido de controlar el acceso a cintas, discos y material escrito con información secreta y
confidencial.
5.24.2. POLITICAS DE PROPIEDAD Y DE PROTECCION DE LA INFORMACION
Hemos observado que no existen políticas acerca de la propiedad de la información
procesada ni de protección de la misma.
Sugerimos se dictaminen políticas adecuadas al respecto con el fin de salvaguardar la
información. Se debe tener especial cuidado con los programas y de ser posible se debe
registrar la propiedad de los mismos a fin de que otras instituciones no los utilicen.
5.24.3. PLAN ESCRITO PARA SACAR COPIAS DE RESPALDO DE LA
INFORMACION

46
No existe un plan o reglamento escrito para sacar copias de respaldo de la información.
Recomendamos se elabore un plan y se reglamente la forma en que se deben sacar las
copias de seguridad. Este documento debe contener entre otros detalles, el nombre o
nombres de las personas a cargo de dicho proceso, la frecuencia con que debe llevarse a
cabo, a quién se deben entregar, cómo se deben almacenar, estándares de identificación,
etc.
5.25. STOCKS MINIMOS DE SUMINISTROS
Hemos observado que en el departamento de P.E.D. no existe un stock mínimo o de
seguridad de siministros tales como cintas, discos, papel, cintas de impresora, etc.
Sugerimos se calculen los stocks mínimos adecuados y se mantenga siempre dicha
cantidad en reserva a fin de que el departamento de P.E.D. no detenga sus labores por
este motivo.
5.25.1. CONTROL DEL USO DE SUMINISTROS
No es política de la empresa controlar el uso de los suministros del departamento de
P.E.D.
Recomendamos controlar el uso de suministros, sobre todo lo referente a cintas, discos,
cintas de impresora, papel, etc.
5.25. PROCEDIMIENTOS DE ENCENDIDO Y APAGADO DEL COMPUTADOR
No existen procedimientos escritos y aprobados que detallen la forma de encender o
apagar el computador ya sea en operaciones normales, de emergencia o cuando se ha
cortado la energía eléctrica.

47
Recomendamos se elabore un manual de procedimientos de encendido y apagado del
equipo que contemple todas las circunstancias que puedan darse en el departamento de
P.E.D. e impliquen la realización de este proceso. Estos procedimientos son de carácter
crucial sobre todo cuando se va la corriente eléctrica.
5.25. REGISTRO DE AVERIAS, DAÑOS E INTERRUPCIONES
No existe un registro que permita controlar y conocer acerca de averías, daños e
interrupciones de los equipos de P.E.D.
Recomendamos se elabore un registro adecuado que permita conocer acerca de averías,
daños e interrupciones de funcionamiento de los distintos equipos a fin de facilitar el
mantenimiento y controlar de mejor manera los equipos.
5.26. PROCESOS DE EMERGENCIA EN OTRAS LOCALIDADES
No es política de la empresa el mantener un convenio con otra institución que posea la
misma clase de equipo con el fin de que, en caso de daño del equipo, se continuen los
procesos.
Recomendamos buscar una institución que posea el mismo tipo de equipo y convenir la
continuación de los procesos en dicho lugar en caso mide que se dañe el equipo.
5.27. SOLICITUD DE PROCESOS DE INFORMACION Y HOJA DE RUTA
A pesar de que existe un formulario diseñado para el efecto, no se utiliza un documento
adecuado que permita conocer quién solicitó un proceso y cuál es el usuario final de la
información.
Recomendamos hacer uso de dicho formulario de manera que se pueda conocer quién

48
solicitó procesos y cuál es el usuario final de la información procesada por el
departamento de P.E.D. La hoja de ruta permite conocer inclusive por qué personas ha
pasado la información.
5.28. CRONOGRAMAS DE TRABAJO
No existen cronogramas de trabajo que permitan planificar las labores del personal de
P.E.D.
Por ser las labores de P.E.D. en extremo delicadas, recomendamos se elabore
continuamente un cronograma de trabajo que permita asignar el uso de los recursos y la
buena labor del departamento de P.E.D.
5.29. DOCUMENTACION DE LOS PROGRAMAS
Hemos observado que la documentación de los programas no es adecuada.
Recomendamos revisar, adecuar y completar la documentación que acompaña a los
programas, esto es, análisis, diseño, descripción, flujogramas, listados, etc. Esta
información es indispensable para hacer cambios a programas, mantenimiento de
sistemas, etc. y el momento en que el personal de P.E.D. deja de laborar en la empresa
es el único soporte para seguir utilizando y adecuando cada programa.
5.29.1. AUTORIZACIÓN DE CAMBIOS DE PROGRAMAS
No es política de la Empresa que la Gerencia apruebe los cambios o modificaciones a
programas que se hallan funcionando.
Recomendamos que la Gerencia intervenga directamente aprobando los cambios o
modificaciones a programas. Un cambio inadecuado puede resultar en pérdida de
información.

49
5.29.2. REVISIÓN Y VERIFICACIÓN DE LOS CAMBIOS DE PROGRAMAS
Hemos observado que los programas una vez modificados no son adecuadamente
probados y no se lleva un registro de las pruebas realizadas antes de implementarlo
nuevamente al sistema.
Recomendamos probar detenida y adecuadamente los programas modificados y
documentar al detalle dichas pruebas como referencia futura. El riesgo de no probar
adecuadamente un programa es el de perder información.
5.29.3. PRUEBAS EN CONJUNTO DE PROGRAMAS Y APLICACIONES NUEVAS O
MODIFICADAS
Hemos observado que no se realizan pruebas adecuadas que permitan verificar si un
programa o aplicación nueva o modificada afectan al resto de procesos.
Recomendamos efectuar pruebas que garanticen el que un nuevo programa o aplicación o
un cambio o modificación de las mismas no altere o afecte al resto del sistema.
5.29.4. DOCUMENTACIÓN DE CAMBIOS Y MODIFICACIONES A PROGRAMAS
No exixte documentación que detalle los cambios hechos a programas y permita hacer un
seguimiento de los mismos.
Con el propósito de mantener una historia de la vida de cada programa, sugerimos se
añadan a la documentación correspondiente a cada programa todos los cambios o
modificaciones que éstos hayan sufrido. Dicha documentación debera detallar todo lo
referente al proceso de cambio.
5.29.5. MANTENIMIENTO DE PROGRAMAS Y APLICACIONES
Hemos observado que no se revisa y se da un mantenimiento regular y adecuado a los
programas y aplicaciones.

50
Con el propósito de tener siempre los sistemas funcionando correctamente sugerimos se
elabore un plan de trabajo con la finalidad de verificar como están trabajando los
programas y sugerir modificaciones que permitan optimizar los recursos disponibles.
5.29.6. DESTRUCCIÓN DE PRUEBAS DE PROGRAMAS
Hemos observado que no se destruyen las pruebas hechas a programas.
Recomendamos se destruya todo rezago inservible proveniente de las pruebas de
programas y se guarde únicamente lo indispensable para documentar adecuadamente
dichas pruebas.
5.29.7. INTEGRACIÓN DE PROGRAMAS Y APLICACIONES
Hemos observado que los programas y aplicaciones no están integrados en un todo, cada
cual funciona como un módulo independiente.
Recomendamos se integren en un todo todos los programas con el fin de que ciertos
procesos no sean repetidos y que la información ingresada al sistema sea procesada en
forma óptima.
5.29.8. PROCEDIMIENTOS ACERCA DEL USO DE CADA PROGRAMA Y
APLICACION
No existen procedimientos detallados que hablen sobre el uso de cada programa y
aplicación, sus objetivos, etc.
Recomendamos se elabore un documento que detalle objetivos, usuario final, etc. de cada
programa y aplicación.
5.29.9. STANDARES PARA LA ELABORACIÓN DE PROGRAMAS, APLICACIONES
Y DOCUMENTACIÓN
No existen estándares que faciliten la elaboración de programas, aplicaciones y

51
documentación uniforme.
Recomendamos se fijen dichos estándares con el fin de que toda la información sea
presentada en forma clara y sobre todo uniforme.
5.29.10. CONTROL DE FALLAS DE FUNCIONAMIENTO DE PROGRAMAS Y
APLICACIONES
No existe un sistema de control escrito que detalle las fallas que han tenido los programas
y aplicaciones durante los procesos.
Recomendamos se implante este tipo de control ya que de él se desprenden una serie de
criterios para mejorar el sistema entero evitando que se repitan errores que muchas veces
detienen y dificultan los procesos.
5.30. PROCEDIMIENTOS ESCRITOS PARA GRABAR Y RESTAURAR
INFORMACIÓN
No existen procedimientos escritos que detallen la forma, frecuencia, etc. en que se debe
grabar la información del computador en medios magnéticos ni tampoco acerca de la
restauración de información de los medios magnéticos al computador.
Recomendamos elaborar un documento en que se detallen estos procedimientos.
5.31. TIEMPO DE UTILIZACIÓN DEL COMPUTADOR POR PARTE DE LOS
USUARIOS
No se controla el tiempo de uso del computador por parte del usuario.
Recomendamos elaborar listados que el mismo computador puede producirlos, que
detallen el tiempo de uso de cada terminal por cada usuario con el fin de tomar criterios
para optimizar el uso de tan importante recurso. Este tipo de listados ayudan a determinar
intentos fallidos de ingreso al computador por parte de personas no autorizadas.
5.32. MESA DE CONTROL

52
A pesar de que se revisan continuamente ciertos listados, no existe en el departamento de
P.E.D. una mesa de control de calidad de los listados.
Recomendamos se implante dicho sistema que entre otras cosas, garantiza la calidad de
la información procesada al ser ésta revisada y además puede controlar la entrega y
utilización final de la información.
5.33.PARTICIPACIÓN DE AUDITORÍA INTERNA EN EL DESARROLLO,
MODIFICACIÓN Y REVISIÓN DE PROGRAMAS Y APLICACIONES
No es política de la Empresa que Auditoría Interna intervenga directamente en el
desarrollo, modificación y revisión de programas.
Sugerimos una directa intervención de Auditoría Interna en estos procesos a fin de sugerir
y prevenir errores.
5.33.1. PLAN PARA DESARROLLO FUTURO
No existe un plan de desarrollo futuro de aplicaciones y programas ni tampoco acerca de
compras futuras de equipos.
Sugerimos se elabore un plan en el cual se detallen las perspectivas a futuro del
departamento de P.E.D., su expansión futura, planes y proyectos, etc.
5.33.2. PARTICIPACIÓN DE AUDITORÍA INTERNA EN LAS LABORES DE P.E.D.
No es política del Hotel la participación de los auditores internos en las distintas labores
del departamento de P.E.D.
En vista de que la intervención de Auditoría Interna es siempre conveniente,
recomendamos participen en el desarrollo, pruebas y revisión de programas y
aplicaciones así como una revisión del cumplimiento de normas y procedimientos por
parte del departamento de P.E.D. Es importante que se hagan inspecciones regulares y
por sorpresa a dicho departamento.

53
5.34. PALABRAS CLAVES Y CÓDIGOS SECRETOS
Hemos observado que no se varían con la suficiente frecuencia las palabras claves y
códigos secretos para entrar al sistema. Además de que muchas de las claves son de uso
común por parte de 3 o 4 usuarios.
Recomendamos controlar y variar dichas claves con regularidad a fin de evitar ingresos
irregulares y no autorizados por descuido o descubrimiento de dichas claves o códigos.
Es indispensable también que cada usuario tenga su propia clave de acceso y que cada
uno sea responsable en forma individual del uso de dicha clave.
5.34.1. ACCESO A LA TABLA DE CLAVES Y CÓDIGOS SECRETOS
Hemos observado que todo el personal del departamento de P.E.D. tiene acceso a la
tabla donde se encuentran las claves y códigos secretos.
Recomendamos se cuide celosamente dicha tabla y el acceso a la misma se limite
únicamente a la persona a cargo del departamento de P.E.D.
5.35. ORGANIZACIÓN DEL DEPARTAMENTO DE P.E.D.
Hemos observado que el departamento de P.E.D. no se encuentra correctamente
organizado y no existe segregación de funciones, todo el personal hace de todo.
Recomendamos organizar adecuadamente el departamento y segregar las funciones de
cada persona del departamento. Para ello es aconsejable elaborar un manual de
organización donde se describan responsabilidades, obligaciones, etc.
5.35.1. SELECCIÓN Y EVALUACIÓN DEL PERSONAL DE P.E.D.
No existe una política definida acerca de selección y evaluación de personal para el área
de P.E.D.
Recomendamos elaborar políticas y mecanismos que permitan seleccionar y evaluar
adecuadamente al personal de P.E.D.

54
5.35.2. CAPACITACIÓN DEL PERSONAL DE P.E.D.
No es política de la Empresa capacitar continuamente al personal de P.E.D.
Recomendamos se elabore un plan de capacitación para el personal que labora en esta
área con el fin de que estén siempre al día en una ciencia que avanza muy rápido como es
la informática.
5.35.2.1. FORMACIÓN DEL PERSONAL DE P.E.D. EN TÉCNICAS DE HARDWARE
No es política de la Empresa formar al personal de P.E.D. en técnicas de Determinación
de problemas y averías.
Debido a que es sumamente importante controlar el funcionamiento del equipo,
recomendamos se capacite al personal en técnicas de manejo del equipo y control de
averías, a fin de que conozcan como proceder cuando éstas se den.
5.35.3. MOTIVACIÓN DEL PERSONAL DE P.E.D.
Hemos observado una falta de motivación del personal que labora en el departamento de
P.E.D.
Recomendamos trazar políticas que mantengan a dicho personal siempre motivado y
dispuesto a brindar todo su esfuerzo en favor de la institución.
5.35.4. PERSONAL DE SEGURIDAD
El personal de seguridad de la Empresa no está informado acerca de medidas y cuidados
específicos que se deben tener en cuenta con relación al departamento de P.E.D.
Sugerimos se informe a dicho personal sobre ello a fin de que mantengan un especial
cuidado con el departamento de P.E.D.

55
5.35.4.1. SEGURIDAD DE LA INFORMACIÓN AL TERMINAR RELACIONES
LABORALES CON PERSONAL DE P.E.D.
Hemos observado que no existe una política definida acerca de qué medidas de
seguridad se deben tomar cuando está por cesar o ha cesado la relación laboral con
alguna persona del departamento de P.E.D.
Sugerimos elaborar políticas que permitan salvaguardar la información cuando cesa la
relación laboral con alguna persona de dicho departamento.
5.35.5. VACACIONES OBLIGATORIAS
No existe una política de vacaciones obligatorias para el personal del departamento de
P.E.D.
Recomendamos se definan políticas que obliguen al personal de P.E.D. a tomar
vacaciones a fin de optimizar su rendimiento.
5.36. MICROCOMPUTADORAS
Una microcomputadora es un tipo de computadora que utiliza un microprocesador como
unidad central de procesamiento (CPU). Generalmente son computadoras que ocupan
espacios físicos pequeños, comparadas a sus predecesoras históricas, las mainframes y
las minicomputadoras.
5.36.1. RESPALDOS DEL DISCO DURO A DISQUETES
Hemos observado que no se sacan respaldos en disquetes de la información contenida
en el disco duro de los microcomputadores.
Recomendamos se realice este proceso a fin de que exista siempre información que
permita continuar los procesos. De ser posible es recomendable sacar respaldos del
disco duro con dispositivos de cintas magnéticas.
En que nos ayuda tener un respaldo del sistema, una imagen o copia exacta del

56
disco duro?
Esto nos es útil en caso de que de la nada nuestro disco duro deje de funcionar,
estaríamos perdidos si no tenemos una copia del disco, pero si tenemos una copia o
imagen exacta, no nos preocupamos, sacamos el disco duro defectuoso, ponemos en el
que tenemos el respaldo, y no se notara la diferencia solo que el disco estara funcionando
5.36.2. PROGRAMAS ORIGINALES
No se utilizan programas originales sino copias de Lotus 123, Easywriter y otros.
Recomendamos el uso de originales y no copias debido a que estos programas se
encuentran registrados en nuestro medio. Cabe destacar que el programa Lotus 123 en
particular ya goza de registro y derechos reservados en Ecuador. El uso de copias
pudiera ocasionar problemas de tipo legal a la Empresa.
5.36.3. INFORMACIÓN ALMACENADA EN EL DISCO DURO
Hemos observado que la información almacenada en el disco duro de las computadoras
está desordenada. Mucha información no es ni siquiera útil para la Empresa.
Recomendamos utilizar los mecanismos que ofrece el computador para ordenar y
organizar mejor el trabajo con el fin de optimizar recursos.
5.36.4. PÓLIZA DE SEGUROS DE MICROCOMPUTADORAS
No existe una póliza de seguros para microcomputadoras.
Sugerimos contratar a la brevedad posible dicha póliza con el fin de salvaguardar los
intereses de la Empresa y su inversión en este tipo de equipos.
5.36.5. MANUALES DE LOS MICROCOMPUTADORES
Hemos observado que los manuales que vienen con los microcomputadores se han

57
perdido.
Recomendamos responsabilizar al personal acerca del cuidado de estos documentos a
fin de que no hayan pérdidas a futuro; ya que seria muy importante leer. Ya que NADIE lo
sabe todo y por eso existen manuales con instrucciones. Las instrucciones no solo son
importantes en el mundo de la informatica, pero en el mundo real.

58
──────────────────────────────────────────────────────────────────────────┐
│ CUESTIONARIO DE CONTROL INTERNO MQR │
│ PARA SISTEMAS COMPUTARIZADOS <1 DE 12> │
├──────────────────────────────────────────────────────────────────────────┤
│ │
│ CLIENTE : ______________________________________ PERIODO : _________ │
├──────────────────────────────────────────────────────────────────────────┤
│ │
│ PREPARADO POR : ________________________________ FECHA : _________ │
│ │
│ REVISADO POR : ________________________________ FECHA : _________ │
│ │
├──────────────────────────────────────────────────────────────────────────┤
│ │
│ INSTRUCCIONES GENERALES │
│ │
│ OBJETIVO : │
│ El objetivo de este cuestionario es ayudar al auditor en la eva- │
│ luación del control interno en compromisos en que usan equipos de pro- │
│ cesamiento electrónico de datos en los procesos contables importantes. │
│ La evaluación de control interno del ambiente de procesamiento │
│ electrónico de datos determinará el enfoque de auditoría a seguir y la │
│ confiabilidad en los controles internos. │
│ Este estudio y evaluación tienen como meta el determinar la con- │
│ fiabilidad en los estados financieros preparados por el departamento │
│ de procesamiento electrónico de datos y ofrecer recomendaciones sobre │
│ el control interno de dicho departamento al cliente, las cuales pueden │
│ incluirse en la carta a la gerencia o en un informe independiente. │
│ │
│ CUANDO DEBE USARSE : │
│ Este cuestionario debe usarse en todos los compromisos en que se │
│ usan equipos de procesamiento electrónico de datos para llevar a cabo │
│ operaciones contables importantes. Es aplicable en compromisos donde │
│ dichos procesos se llevan a cabo ya sea en las propias instalaciones │
│ del cliente o en un servicio de computo externo. Su aplicación es │
│ obligatoria. │
│ │
│ QUIEN DEBE PREPARARLO : │
│ Los procedimientos descritos en este cuestionario pueden ser │
│ llevados a cabo por el contador encargado o por la colaboración de un │
│ especialista en PED. En aquellos procesos en que el contador encargado │
│ tenga dificultad, debe acudir al especialista en PED. │
│ En la aplicación de este cuestionario, se espera que cada conta- │
│ dor aplique su juicio profesional con el fin de alcanzar los objetivos │
│ propuestos. │
│ │
│ COMO DEBE PREPARARSE : │
│ Este cuestionario consta de varias preguntas las cuales tienen │
│ tres posibles respuestas; éstas son SI, NO ó N/A. Debe contestarse en │
│ el casillero correspondiente. Adicionalmente, existe una columna para │
│ incluir comentarios los que deben especificarse claramente. De ser │
│ necesario pueden añadirse a este cuestionario hojas adicionales que │
│ aclaren cualquier comentario. │
│ Al final de cada pregunta aparece el interrogante: "¿CARTA A LA │
│ GERENCIA?"; esto se refiere a que, a criterio de la persona que está │
│ evaluando, se debe o no incluir dicho comentario en la carta a la ge- │
│ rencia. │
│ Si fuera necesario, se pueden añadir preguntas a este cuestiona- │
│ rio con el objetivo de aclarar la evaluación. │
├──────────────────────────────────────────────────────────────────────────┤
│ _________________________ _________________________ │
│ │
│ ELABORADO POR : APROBADO POR : │
│ │
├──────────────────────────────────────────────────────────────────────────┤
│ ADVERTENCIA : │
│ │
│ Este cuestionario es de uso exclusivo de . No │
│ puede ser reproducido ni utilizado sin una autorización escrita por │
│ parte de los propietarios. DERECHOS RESERVADOS. │

59
│ │
└──────────────────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────┐
│ DESCRIPCION DEL COMPUTADOR <2 DE 12> │
├──────────────────────────────────────────────────────────────────────────┤
│ FABRICANTE : MODELO: │
│ │
│ _________________________________________ _______________________ │
│ │
│ _________________________________________ _______________________ │
│ │
├──────────────────────────────────────────────────────────────────────────┤
│ TERMINALES │
├──────────────────────────────────────────────────────────────────────────┤
│ │
│ UBICACION : USO PRINCIPAL : │
│ │
│ __________________________________________ _______________________ │
│ │
│ __________________________________________ _______________________ │
│ │
│ __________________________________________ _______________________ │
│ │
│ __________________________________________ _______________________ │
│ │
│ __________________________________________ _______________________ │
│ │
│ __________________________________________ _______________________ │
│ │
│ __________________________________________ _______________________ │
│ │
├──────────────────────────────────────────────────────────────────────────┤
│ PROGRAMAS Y APLICACIONES │
├──────────────────────────────────────────────────────────────────────────┤
│ │
│ PROGRAMA O APLICACION : FABRICANTE : DESCRIPCION : │
│ │
│ SISTEMA OPERATIVO ___________________ ________________ │
│ │
│ SISTEMA DE ACCESO ___________________ ________________ │
│ │
│ ____________________________ ___________________ ________________ │
│ │
│ ____________________________ ___________________ ________________ │
│ │
│ ____________________________ ___________________ ________________ │
│ │
│ ____________________________ ___________________ ________________ │
│ │
│ ____________________________ ___________________ ________________ │
│ │
├──────────────────────────────────────────────────────────────────────────┤
│ APLICACIONES QUE AFECTAN LA INFORMACION CONTABLE │
├──────────────────────────────────────────────────────────────────────────┤
│ │
│ APLICACION : CUENTAS DEL MAYOR GENERAL : │
│ │
│ __________________________________ _______________________________ │
│ │
│ __________________________________ _______________________________ │
│ │
│ __________________________________ _______________________________ │
│ │
│ __________________________________ _______________________________ │
│ │
│ __________________________________ _______________________________ │
│ │
│ __________________________________ _______________________________ │
│ │
│ │
│ __________________________________ _______________________________ │
│ │

60
│ __________________________________ _______________________________ │
│ │
│ │
└──────────────────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────┐
│ SEGURIDADES Y CONTROLES FISICOS <3 DE 12> │
├──────────────────────────────────────┬────┬────┬─────┬───────────────────┤
│ PREGUNTA : │ SI │ NO │ N/A │ OBSERVACIONES : │
├──────────────────────────────────────┼────┼────┼─────┼───────────────────┤
│ 1.- ¿Cuenta el sistema con un regu- │ │ │ │ │
│ lador de voltaje? │ │ │ │ │
│ ¿Carta a la gerencia? │ │ │ │ │
│ 2.- Si la respuesta a la pregunta │ │ │ │ │
│ anterior es sí, ¿está funcio- │ │ │ │ │
│ nando adecuadamente? │ │ │ │ │
│ 3.- ¿Cuenta el sistema con una fuen-│ │ │ │ │
│ te de poder capaz de dar ener- │ │ │ │ │
│ gía al computador cuando se su- │ │ │ │ │
│ prime la corriente eléctrica? │ │ │ │ │
│ anterior es sí, ¿está funcio- │ │ │ │ │
│ nando adecuadamente? Indique │ │ │ │ │
│ en observaciones cuántos minu- │ │ │ │ │
│ tos de energía le da al compu- │ │ │ │ │
│ tador. │ │ │ │ │
│ 5.- ¿Existe en el centro de cómputo │ │ │ │ │
│ un extinguidor de incendios? │ │ │ │ │
│ 6.- Si la respuesta al pregunta an- │ │ │ │ │
│ terior es sí, ¿está dentro del │ │ │ │ │
│ período de carga y con la pre- │ │ │ │ │
│ sión adecuada? │ │ │ │ │
│ 7.- ¿Cuenta el sistema con un equi- │ │ │ │ │
│ po de aire acondicionado ade- │ │ │ │ │
│ cuado? │ │ │ │ │
│ 8.- ¿Se mide con frecuencia la tem- │ │ │ │ │
│ peratura y la humedad? │ │ │ │ │
│ 9.- ¿Las instalaciones de PED se │ │ │ │ │
│ encuentran en un lugar funcio- │ │ │ │ │
│ nal? │ │ │ │ │
│ 10.- ¿Las líneas eléctricas de PED │ │ │ │ │
│ son independientes del resto de │ │ │ │ │
│ la instalación eléctrica? │ │ │ │ │
│ 11.- ¿Se mide con frecuencia la ten- │ │ │ │ │
│ sión e intensidad de la corrien-│ │ │ │ │
│ te eléctrica? │ │ │ │ │
│ 12.- ¿La instalación eléctrica de │ │ │ │ │
│ PED tiene conección a tierra? │ │ │ │ │
│ 13.- ¿Existe algún sistema de detec- │ │ │ │ │
│ ción de incendios? │ │ │ │ │
│ 14.- ¿Existe algún letrero o indica- │ │ │ │ │
│ dor de que está prohibido fumar │ │ │ │ │
│ convenientemente escrito o di- │ │ │ │ │
│ fundido? │ │ │ │ │
│ 15.- ¿Está restringido el acceso al │ │ │ │ │
│ departamento de PED? │ │ │ │ │
│ 16.- ¿Existe algún sistema de alar- │ │ │ │ │
│ ma que permita detectar intru- │ │ │ │ │

61
│ sos en el departamento PED? │ │ │ │ │
│ 17.- ¿Tiene el departamento PED al- │ │ │ │ │
│ guna puerta de escape? │ │ │ │ │
┌──────────────────────────────────────────────────────────────────────────┐
│ SEGURIDADES Y CONTROLES FISICOS (CONTINUACION) <4 DE 12> │
├──────────────────────────────────────┬────┬────┬─────┬───────────────────┤
│ PREGUNTA : │ SI │ NO │ N/A │ OBSERVACIONES : │
├──────────────────────────────────────┼────┼────┼─────┼───────────────────┤
│ │ │ │ │ │
│ 18.- ¿Existe algún equipo de control │ │ │ │ │
│ de acceso al departamento de │ │ │ │ │
│ PED? Si existe alguno, descrí- │ │ │ │ │
│ balo brevemente en observacio- │ │ │ │ │
│ nes. │ │ │ │ │
│ 19.- ¿Existe algún plan de seguridad │ │ │ │ │
│ o de emergencias escrito y apro-│ │ │ │ │
│ bado? │ │ │ │ │
│ 20.- ¿Se ha contratado alguna póliza │ │ │ │ │
│ de seguros? │ │ │ │ │
│ anterior es sí, ¿cubre ésta to- │ │ │ │ │
│ do riesgo? │ │ │ │ │
│ 23.- ¿Se limpia regularmente el cen- │ │ │ │ │
│ tro de PED? │ │ │ │ │
│ anterior es sí, ¿se controla al │ │ │ │ │
│ personal de limpieza? │ │ │ │ │
│ 25.- ¿Está alfombrado el centro de │ │ │ │ │
│ PED? │ │ │ │ │
│ anterior es sí, ¿se le ha dado │ │ │ │ │
│ algún tratamiento a la alfombra │ │ │ │ │
│ para evitar la energía estática?│ │ │ │ │
│ 27.- ¿Se hace mantenimiento periódi- │ │ │ │ │
│ co a los equipos de computación?│ │ │ │ │
│ 28.- ¿Se destruye adecuadamente todo │ │ │ │ │
│ papel, listado, etc. al que no │ │ │ │ │
│ se le va a dar uso? │ │ │ │ │
│ 29.- ¿Cuenta el centro de cómputo │ │ │ │ │
│ con una destructora de papeles? │ │ │ │ │
│ anterior es sí, ¿funciona ésta │ │ │ │ │
│ adecuadamente? │ │ │ │ │
│ 31.- ¿Existe algún manual o regla- │ │ │ │ │
│ mento que trate acerca de la │ │ │ │ │
│ seguridad física del centro de │ │ │ │ │
│ PED? │ │ │ │ │
│ 32.- ¿Existe algún tipo de librería │ │ │ │ │
│ con llave para guardar los ma- │ │ │ │ │
│ nuales y documentación de los │ │ │ │ │
│ programas y aplicaciones? │ │ │ │ │
│ 33.- ¿Se controla la entrega de di- │ │ │ │ │
│ chos manuales y documentación │ │ │ │ │
│ así como la recepción de los │ │ │ │ │

Manual de Tecnicas Para Auditoria Informatica

Manual de Tecnicas Para Auditoria Informatica

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (6)

Similar a Manual de Tecnicas Para Auditoria Informatica

Similar a Manual de Tecnicas Para Auditoria Informatica (20)

Último

Último (20)

Manual de Tecnicas Para Auditoria Informatica