TABLA DE CONTENIDO Introduccin * Conceptos de Auditora de Sistemas * Tipos de Auditora * Objetivos Genera es de una Auditora de Sistemas * !

usti"icativos para e"ectuar una Auditora de Sistemas * Contro es * C asi"icacin #enera de os contro es * Controles Preventivos * Controles detectivos * Controles Correctivos * $rincipa es Contro es "sicos % #icos * Contro es autom&ticos o #icos * Contro es administrativos en un ambiente de $rocesamiento de Datos * Controles de Preinstalacin * Controles de organizacin y Planificacin * Controles de Sistema en Desarrollo y Produccin * Controles de Procesamiento * Controles de Operacin * Controles en el uso del Microcomputador * Anlisis de Casos de Controles Administrativos * 'etodo o#a de una Auditora de Sistemas * Caso Prctico *

Introduccin Conceptos de Auditora de Sistemas La pala ra auditor!a viene del lat!n auditorius y de esta proviene auditor" #ue tiene la virtud de o!r y revisar cuentas" pero de e estar encaminado a un o $etivo espec!fico #ue es el de evaluar la eficiencia y eficacia con #ue se est operando para #ue" por medio del se%alamiento de cursos alternativos de accin" se tomen decisiones #ue permitan corregir los errores" en caso de #ue e&istan" o ien me$orar la forma de actuacin' Algunos autores proporcionan otros conceptos pero todos coinciden en (acer )nfasis en la revisin" evaluacin y ela oracin de un informe para el e$ecutivo encaminado a un o $etivo espec!fico en el am iente computacional y los sistemas' A continuacin se detallan algunos conceptos recogidos de algunos e&pertos en la materia* Auditor!a de Sistemas es* La verificacin de controles en el procesamiento de la informacin" desarrollo de sistemas e instalacin con el o $etivo de evaluar su efectividad y presentar recomendaciones a la +erencia' La actividad dirigida a verificar y $uzgar informacin' ,l e&amen y evaluacin de los procesos del -rea de Procesamiento automtico de Datos .PAD/ y de la utilizacin de los recursos #ue en ellos intervienen" para llegar a esta lecer el grado de eficiencia" efectividad y econom!a de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias e&istentes y me$orarlas' ,l proceso de recoleccin y evaluacin de evidencia para determinar si un sistema automatizado*

Da%os Salvaguarda activos Destruccin 0so no autorizado 1o o Mantiene 2ntegridad de 2nformacin Precisa" los datos Completa Oportuna Confia le Alcanza metas Contri ucin de la organizacionales funcin informtica Consume recursos 0tiliza los recursos adecuadamente eficientemente en el procesamiento de la informacin ,s el e&amen o revisin de carcter o $etivo .independiente/" cr!tico.evidencia/" sistemtico .normas/" selectivo .muestras/ de las pol!ticas" normas" prcticas" funciones" procesos" procedimientos e informes relacionados con los sistemas de informacin computarizados" con el fin de emitir una opinin profesional .imparcial/ con respecto a* ,ficiencia en el uso de los recursos informticos 3alidez de la informacin ,fectividad de los controles esta lecidos

Tipos de Auditora

,&isten algunos tipos de auditor!a entre las #ue la Auditor!a de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfo#ue a la funcin informtica' ,s necesario recalcar como anlisis de este cuadro #ue Auditor!a de Sistemas no es lo mismo #ue Auditor!a 4inanciera' ,ntre los principales enfo#ues de Auditor!a tenemos los siguientes* 4inanciera 3eracidad de estados financieros Preparacin de informes de acuerdo a principios conta les ,val5a la eficiencia" Operacional ,ficacia ,conom!a de los m)todos y procedimientos #ue rigen un proceso de una empresa Sistemas Se preocupa de la funcin informtica 4iscal Se dedica a o servar el cumplimiento de las leyes fiscales Administrativa Analiza* Logros de los o $etivos de la Administracin Desempe%o de funciones administrativas ,val5a* Calidad M)todos Mediciones Controles de los ienes y servicios 1evisa la contri ucin a la sociedad Social as! como la participacin en actividades socialmente orientadas Objetivos Generales de una Auditora de Sistemas 6uscar una me$or relacin costo7 eneficio de los sistemas automticos o computarizados dise%ados e implantados por el PAD 2ncrementar la satisfaccin de los usuarios de los sistemas computarizados Asegurar una mayor integridad" confidencialidad y confia ilidad de la informacin mediante la recomendacin de seguridades y controles' Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los o $etivos propuestos' Seguridad de personal" datos" (ard8are" soft8are e instalaciones Apoyo de funcin informtica a las metas y o $etivos de la organizacin Seguridad" utilidad" confianza" privacidad y disponi ilidad en el am iente informtico Minimizar e&istencias de riesgos en el uso de 9ecnolog!a de informacin Decisiones de inversin y gastos innecesarios Capacitacin y educacin so re controles en los Sistemas de 2nformacin

Justificativos para efectuar una Auditora de Sistemas Aumento considera le e in$ustificado del presupuesto del PAD .Departamento de Procesamiento de Datos/ Desconocimiento en el nivel directivo de la situacin informtica de la empresa 4alta total o parcial de seguridades lgicas y f!sicas #ue garanticen la integridad del personal" e#uipos e informacin' Descu rimiento de fraudes efectuados con el computador 4alta de una planificacin informtica

Organizacin #ue no funciona correctamente" falta de pol!ticas" o $etivos" normas" metodolog!a" asignacin de tareas y adecuada administracin del 1ecurso :umano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados 4alta de documentacin o documentacin incompleta de sistemas #ue revela la dificultad de efectuar el mantenimiento de los sistemas en produccin

Contro es Con$unto de disposiciones metdicas" cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados" ordenes impartidas y principios admitidos' Clasificacin general de los controles

Controles Preventivos

Son a#uellos #ue reducen la frecuencia con #ue ocurren las causas del riesgo" permitiendo cierto margen de violaciones ' ,$emplos* Letrero ;<o fumar; para salvaguardar las instalaciones Sistemas de claves de acceso

Controles detectivos

Son a#uellos #ue no evitan #ue ocurran las causas del riesgo sino #ue los detecta luego de ocurridos' Son los mas importantes para el auditor' ,n cierta forma sirven para evaluar la eficiencia de los controles preventivos' ,$emplo* Arc(ivos y procesos #ue sirvan como pistas de auditor!a Procedimientos de validacin

Controles Correctivos

Ayudan a la investigacin y correccin de las causas del riesgo' La correccin adecuada puede resultar dif!cil e ineficiente" siendo necesaria la implantacin de controles detectivos so re los controles correctivos" de ido a #ue la correccin de errores es en si una actividad altamente propensa a errores' Principales Controles fsicos y lgicos Controles particulares tanto en la parte f!sica como en la lgica se detallan a continuacin Autenticidad Permiten verificar la identidad =' Pass8ords =' 4irmas digitales !actitud Aseguran la co(erencia de los datos =' 3alidacin de campos =' 3alidacin de e&cesos

Totalidad ,vitan la omisin de registros as! como garantizan la conclusin de un proceso de env!o =' Conteo de registros =' Cifras de control "edundancia ,vitan la duplicidad de datos =' Cancelacin de lotes =' 3erificacin de secuencias Privacidad Aseguran la proteccin de los datos =' Compactacin =' ,ncriptacin !istencia Aseguran la disponi ilidad de los datos =' 6itcora de estados =' Mantenimiento de activos Proteccin de Activos Destruccin o corrupcin de informacin o del (ard8are =' ,&tintores =' Pass8ords fectividad Aseguran el logro de los o $etivos =' ,ncuestas de satisfaccin =' Medicin de niveles de servicio ficiencia Aseguran el uso ptimo de los recursos =' Programas monitores =' Anlisis costo7 eneficio

Controles autom#ticos o lgicos $eriodicidad de cambio de c aves de acceso Los cam ios de las claves de acceso a los programas se de en realizar peridicamente' <ormalmente los usuarios se acostum ran a conservar la misma clave #ue le asignaron inicialmente' ,l no cam iar las claves peridicamente aumenta la posi ilidad de #ue personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computacin' Por lo tanto se recomienda cam iar claves por lo menos trimestralmente' Combinacin de a "anum(ricos en c aves de acceso

<o es conveniente #ue la clave este compuesta por cdigos de empleados" ya #ue una persona no autorizada a trav)s de prue as simples o de deducciones puede dar con dic(a clave' Para redefinir claves es necesario considerar los tipos de claves #ue e&isten* $ndividuales Pertenecen a un solo usuario" por tanto es individual y personal' ,sta clave permite al momento de efectuar las transacciones registrar a los responsa les de cual#uier cam io' Confidenciales De forma confidencial los usuarios de ern ser instruidos formalmente respecto al uso de las claves' %o significativas Las claves no de en corresponder a n5meros secuenciales ni a nom res o fec(as' )eri"icacin de datos de entrada 2ncluir rutinas #ue verifi#uen la compati ilidad de los datos mas no su e&actitud o precisin> tal es el caso de la validacin del tipo de datos #ue contienen los campos o verificar si se encuentran dentro de un rango' Conteo de re#istros Consiste en crear campos de memoria para ir acumulando cada registro #ue se ingresa y verificar con los totales ya registrados' Tota es de Contro Se realiza mediante la creacin de totales de l!nea" columnas" cantidad de formularios" cifras de control" etc' " y automticamente verificar con un campo en el cual se van acumulando los registros" separando solo a#uellos formularios o registros con diferencias' )eri"icacin de imites Consiste en la verificacin automtica de ta las" cdigos" limites m!nimos y m&imos o a$o determinadas condiciones dadas previamente' )eri"icacin de secuencias ,n ciertos procesos los registros de en o servar cierta secuencia num)rica o alfa )tica" ascendente o descendente" esta verificacin de e (acerse mediante rutinas independientes del programa en si' D#ito autoeri"icador Consiste en incluir un d!gito adicional a una codificacin" el mismo #ue es resultado de la aplicacin de un algoritmo o formula" conocido como MOD0LOS" #ue detecta la correccin o no del cdigo' 9al es el caso por e$emplo del d)cimo d!gito de la c)dula de identidad" calculado con el modulo =? o el ultimo d!gito del 10C calculado con el mdulo ==' *ti i+ar so"t,are de se#uridad en os microcomputadores ,l soft8are de seguridad permite restringir el acceso al microcomputador" de tal modo #ue solo el personal autorizado pueda utilizarlo' Adicionalmente" este soft8are permite reforzar la segregacin de funciones y la confidencialidad de la informacin mediante controles para #ue los usuarios puedan accesar solo a los programas y datos para los #ue estn autorizados' Programas de este tipo son* @AC:DO+" LA992C,"S,C1,9 D2SA" entre otros' Controles administrativos en un ambiente de Procesamiento de &atos La m&ima autoridad del -rea de 2nformtica de una empresa o institucin de e implantar los siguientes controles #ue se agruparan de la siguiente forma* ='7 Controles de Preinstalacin B'7 Controles de Organizacin y Planificacin C'7 Controles de Sistemas en Desarrollo y Produccin D'7 Controles de Procesamiento E'7 Controles de Operacin F'7 Controles de uso de Microcomputadores

Controles de Preinstalacin

:acen referencia a procesos y actividades previas a la ad#uisicin e instalacin de un e#uipo de computacin y o viamente a la automatizacin de los sistemas e&istentes' Objetivos' +arantizar #ue el (ard8are y soft8are se ad#uieran siempre y cuando tengan la seguridad de #ue los sistemas computarizados proporcionaran mayores eneficios #ue cual#uier otra alternativa' +arantizar la seleccin adecuada de e#uipos y sistemas de computacin Asegurar la ela oracin de un plan de actividades previo a la instalacin

Acciones a seguir' ,la oracin de un informe t)cnico en el #ue se $ustifi#ue la ad#uisicin del e#uipo" soft8are y servicios de computacin" incluyendo un estudio costo7 eneficio' 4ormacin de un comit) #ue coordine y se responsa ilice de todo el proceso de ad#uisicin e instalacin ,la orar un plan de instalacin de e#uipo y soft8are .fec(as" actividades" responsa les/ el mismo #ue de e contar con la apro acin de los proveedores del e#uipo' ,la orar un instructivo con procedimientos a seguir para la seleccin y ad#uisicin de e#uipos" programas y servicios computacionales' ,ste proceso de e enmarcarse en normas y disposiciones legales' ,fectuar las acciones necesarias para una mayor participacin de proveedores' Asegurar respaldo de mantenimiento y asistencia t)cnica'

Controles de organizacin y Planificacin

Se refiere a la definicin clara de funciones" l!nea de autoridad y responsa ilidad de las diferentes unidades del rea PAD" en la ores tales como* =' =' B' C' Dise%ar un sistema ,la orar los programas Operar el sistema Control de calidad

Se de e evitar #ue una misma persona tenga el control de toda una operacin' ,s importante la utilizacin ptima de recursos en el PAD mediante la preparacin de planes a ser evaluados continuamente Acciones a seguir La unidad informtica de e estar al mas alto nivel de la pirmide administrativa de manera #ue cumpla con sus o $etivos" cuente con el apoyo necesario y la direccin efectiva' Las funciones de operacin" programacin y dise%o de sistemas de en estar claramente delimitadas' De en e&istir mecanismos necesarios a fin de asegurar #ue los programadores y analistas no tengan acceso a la operacin del computador y los operadores a su vez no conozcan la documentacin de programas y sistemas' De e e&istir una unidad de control de calidad" tanto de datos de entrada como de los resultado del procesamiento'

,l mane$o y custodia de dispositivos y arc(ivos magn)ticos de en estar e&presamente definidos por escrito' Las actividades del PAD de en o edecer a planificaciones a corto" mediano y largo plazo su$etos a evaluacin y a$ustes peridicos ;Plan Maestro de 2nformtica; De e e&istir una participacin efectiva de directivos" usuarios y personal del PAD en la planificacin y evaluacin del cumplimiento del plan' Las instrucciones de en impartirse por escrito'

Controles de Sistema en Desarrollo y Produccin

Se de e $ustificar #ue los sistemas (an sido la me$or opcin para la empresa" a$o una relacin costo7 eneficio #ue proporcionen oportuna y efectiva informacin" #ue los sistemas se (an desarrollado a$o un proceso planificado y se encuentren de idamente documentados' Acciones a seguir' Los usuarios de en participar en el dise%o e implantacin de los sistemas pues aportan conocimiento y e&periencia de su rea y esta actividad facilita el proceso de cam io ,l personal de auditor!a internaGcontrol de e formar parte del grupo de dise%o para sugerir y solicitar la implantacin de rutinas de control ,l desarrollo" dise%o y mantenimiento de sistemas o edece a planes espec!ficos" metodolog!as estndares" procedimientos y en general a normatividad escrita y apro ada' Cada fase concluida de e ser apro ada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores' Los programas antes de pasar a Produccin de en ser pro ados con datos #ue agoten todas las e&cepciones posi les' 9odos los sistemas de en estar de idamente documentados y actualizados' La documentacin de er contener* 2nforme de facti ilidad Diagrama de lo#ue Diagrama de lgica del programa O $etivos del programa Listado original del programa y versiones #ue incluyan los cam ios efectuados con antecedentes de pedido y apro acin de modificaciones 4ormatos de salida 1esultados de prue as realizadas 2mplantar procedimientos de solicitud" apro acin y e$ecucin de cam ios a programas" formatos de los sistemas en desarrollo' ,l sistema concluido ser entregado al usuario previo entrenamiento y ela oracin de los manuales de operacin respectivos

Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo #ue sigue la informacin desde la entrada (asta la salida de la informacin" lo #ue conlleva al esta lecimiento de una serie de seguridades para* Asegurar #ue todos los datos sean procesados

+arantizar la e&actitud de los datos procesados +arantizar #ue se gra e un arc(ivo para uso de la gerencia y con fines de auditor!a Asegurar #ue los resultados sean entregados a los usuarios en forma oportuna y en las me$ores condiciones'

Acciones a seguir' 3alidacin de datos de entrada previo procesamiento de e ser realizada en forma automtica* clave" d!gito autoverificador" totales de lotes" etc' Preparacin de datos de entrada de e ser responsa ilidad de usuarios y consecuentemente su correccin' 1ecepcin de datos de entrada y distri ucin de informacin de salida de e o edecer a un (orario ela orado en coordinacin con el usuario" realizando un de ido control de calidad' Adoptar acciones necesaria para correcciones de errores' Analizar conveniencia costo7 eneficio de estandarizacin de formularios" fuente para agilitar la captura de datos y minimizar errores' Los procesos interactivos de en garantizar una adecuada interrelacin entre usuario y sistema' Planificar el mantenimiento del (ard8are y soft8are" tomando todas las seguridades para garantizar la integridad de la informacin y el uen servicio a usuarios'

Controles de Operacin

A arcan todo el am iente de la operacin del e#uipo central de computacin y dispositivos de almacenamiento" la administracin de la cintoteca y la operacin de terminales y e#uipos de comunicacin por parte de los usuarios de sistemas on line' Los controles tienen como fin* Prevenir o detectar errores accidentales #ue puedan ocurrir en el Centro de Cmputo durante un proceso ,vitar o detectar el mane$o de datos con fines fraudulentos por parte de funcionarios del PAD +arantizar la integridad de los recursos informticos' Asegurar la utilizacin adecuada de e#uipos acorde a planes y o $etivos'

1ecursos 2nformticos Acciones a seguir' ,l acceso al centro de computo de e contar con las seguridades necesarias para reservar el ingreso al personal autorizado 2mplantar claves o pass8ord para garantizar operacin de consola y e#uipo central .mainframe/" a personal autorizado' 4ormular pol!ticas respecto a seguridad" privacidad y proteccin de las facilidades de procesamiento ante eventos como* incendio" vandalismo" ro o y uso inde ido" intentos de violacin y como responder ante esos eventos' Mantener un registro permanente . itcora/ de todos los procesos realizados" de$ando constancia de suspensiones o cancelaciones de procesos'

Los operadores del e#uipo central de en estar entrenados para recuperar o restaurar informacin en caso de destruccin de arc(ivos' Los acHups no de en ser menores de dos .padres e (i$os/ y de en guardarse en lugares seguros y adecuados" preferentemente en vedas de ancos' Se de en implantar calendarios de operacin a fin de esta lecer prioridades de proceso' 9odas las actividades del Centro de Computo de en normarse mediante manuales" instructivos" normas" reglamentos" etc' ,l proveedor de (ard8are y soft8are de er proporcionar lo siguiente* Manual de operacin de e#uipos Manual de lengua$e de programacin Manual de utilitarios disponi les Manual de Sistemas operativos

Las instalaciones de en contar con sistema de alarma por presencia de fuego" (umo" as! como e&tintores de incendio" cone&iones el)ctricas seguras" entre otras' 2nstalar e#uipos #ue prote$an la informacin y los dispositivos en caso de variacin de volta$e como* reguladores de volta$e" supresores pico" 0PS" generadores de energ!a' Contratar plizas de seguros para proteger la informacin" e#uipos" personal y todo riesgo #ue se produzca por casos fortuitos o mala operacin'

Controles en el uso del Microcomputador

,s la tarea mas dif!cil pues son e#uipos mas vulnera les" de fcil acceso" de fcil e&plotacin pero los controles #ue se implanten ayudaran a garantizar la integridad y confidencialidad de la informacin' Acciones a seguir' Ad#uisicin de e#uipos de proteccin como supresores de pico" reguladores de volta$e y de ser posi le 0PS previo a la ad#uisicin del e#uipo 3encida la garant!a de mantenimiento del proveedor se de e contratar mantenimiento preventivo y correctivo' ,sta lecer procedimientos para o tencin de acHups de pa#uetes y de arc(ivos de datos' 1evisin peridica y sorpresiva del contenido del disco para verificar la instalacin de aplicaciones no relacionadas a la gestin de la empresa' Mantener programas y procedimientos de deteccin e inmunizacin de virus en copias no autorizadas o datos procesados en otros e#uipos' Propender a la estandarizacin del Sistema Operativo" soft8are utilizado como procesadores de pala ras" (o$as electrnicas" mane$adores de ase de datos y mantener actualizadas las versiones y la capacitacin so re modificaciones incluidas'

Analizados los distintos tipos de controles #ue se aplican en la Auditor!a de Sistemas efectuaremos a continuacin el anlisis de casos de situaciones (ipot)ticas planteadas como pro lemticas en distintas empresas " con la finalidad de efectuar el anlisis del caso e identificar las acciones #ue se de er!an implementar '

Anlisis de Casos de Controles Administrativos

Controles sobre datos fijos (ea cada situacin atentamente y ='7 ,nuncie un control #ue (u iera prevenido el pro lema o posi ilitado su deteccin' B'7 2dentifi#ue uno o ms controles alternativos #ue (u ieran ayudado a prevenir o a detectar el pro lema' Situacin ) 0n empleado del grupo de control de datos o tuvo un formulario para modificaciones al arc(ivo maestro de proveedores .en lanco/ y lo completo con el cdigo y nom re de un proveedor ficticio" asignndole como domicilio el numero de una casilla de correo #ue previamente (a !a a ierto a su nom re' Su o $etivo era #ue el sistema emitiera c(e#ues a la orden del referido proveedor" y fueran luego remitidos a la citada casilla de correo' Cuando el listado de modificaciones al arc(ivo maestro de proveedores .impreso por esta 5nica modificacin procesada en la oportunidad / le fue enviado para su verificacin con los datos de entrada" procedi a destruirlo' Alternativas de Solucin Los formularios para modificarse a los archivos maestros deberan ser prenumerados; el departamento usuario respectivo debera controlar su secuencia numrica. Los listados de modificaciones a los archivos maestros no slo deberan listar los cambios recientemente procesados, sino tambin contener totales de control de los campos importantes,(nmero de registros, suma de campos importantes, fecha de la ltima modificacin ,etc.) que deberan ser reconciliados por los departamentos usuarios con los listados anteriores.

Situacin * Al realizar una prue a de facturacin los auditores o servaron #ue los precios facturados en algunos casos no coincid!an con los indicados en las listas de precios vigente' Posteriormente se compro #ue ciertos cam ios en las listas de precios no (a !an sido procesados" razn por la cual el arc(ivo maestro de precios esta a desactualizado' Alternativas de Solucin so de formularios prenumerados para modificaciones ! controles programados dise"ado para detectar alteraciones en la secuencia numrica de los mismos. #reacin de totales de control por lotes de formularios de modificaciones ! su posterior reconciliacin con un listado de las modificaciones procesadas. #onciliacin de totales de control de campos significativos con los acumulados por el computador. $eneracin ! revisin de los listados de modificaciones procesadas por un delegado responsable. %evisin de listados peridicos del contenido del archivo maestro de precios.

Situacin + ,l operador del turno de la noc(e" cuyos conocimientos de programacin eran mayores de los #ue los dems supon!an" modifico .por consola/ al arc(ivo maestro de remuneraciones a efectos de lograr #ue se a onara a una remuneracin ms elevada a un operario del rea de produccin con el cual esta a emparentado' ,l fraude fue descu ierto accidentalmente varios meses despu)s' Alternativas de Solucin

&reparacin de totales de control del usuario ! reconciliacin con los acumulados del campo remuneraciones, por el computador. 'plicacin de control de lmites de ra(onabilidad.

Situacin , II 2nc' ,s un mayorista de e#uipos de radio #ue comercializa sus e#uipos a trav)s de una vasta red de representantes' Sus clientes son minoristas locales y del e&terior> algunos son considerados ; clientes especiales;" de ido al volumen de sus compras" y los mismos son atendidos directamente por los supervisores de ventas' Los clientes especiales no se incrementan por lo general" en la misma proporcin #ue a#uellas facturadas a los clientes especiales' Al incrementarse los precios" el arc(ivo maestro de precios y condiciones de venta a clientes especiales no es automticamente actualizado> los propios supervisores estipulan #u) porcin del incremento se aplica a cada uno de los clientes especiales' ,l B de mayo de =JKC la compa%!a increment sus precios de venta en un BCL> el arc(ivo maestro de precios y condiciones de venta a clientes comunes fue actualizado en dic(o porcenta$e' ,n lo #ue ata%e a los clientes especiales" algunos supervisores incrementaron los precios en el referido porcenta$e" en tanto #ue otros 7por razones comerciales7 recomendaron incrementos inferiores #ue oscilaron entre un =?L y un B?L' ,stos nuevos precios de venta fueron informados a la oficina central por medio de formularios de datos de entrada" dise%ados al efecto" procedi)ndose a la actualizacin del arc(ivo maestro' ,n la oportunidad" uno de los supervisores acord con uno de sus clientes especiales no incrementar los precios de venta .omiti remitir el citado formulario para su procesamiento/ a cam io de una ;comisinMM del EL de las ventas' <ing5n funcionario en la oficina central detect la no actualizacin de los precios facturados a referido cliente razn por la cual la compa%!a se vio per$udicada por el e#uivalente a 0SN E?'???' ,l fraude fue descu ierto accidentalmente" despidi)ndose al involucrado" pero no se interrumpi la relacin comercial' Alternativas de Solucin La empresa debera actuali(ar el archivo maestro de precios ! condiciones de venta aplicando la totalidad del porcenta)e de incremento. Los supervisores de venta deberan remitir formularios de entrada de datos transcribiendo los descuentos propuestos para clientes especiales. Los formularios deberan ser prenumerados, controlados ! aprobados, antes de su procesamiento, por funcionarios competentes en la oficina central. *ebe reali(arse una revisin critica de listados de e+cepcin emitidos con la nmina de aquellos clientes cu!os precios de venta se hubiesen incrementado en menos de un determinado porcenta)e.

Situacin 0n empleado del almac)n de productos terminados ingresos al computador ordenes de despac(o ficticias" como resultado de las cuales se despac(aron mercader!as a clientes ine&istentes' ,sta situacin fue descu ierta (asta #ue los auditores realizaron prue as de cumplimientos y compro aron #ue e&ist!an algunos despac(os no autorizados' Alternativas de Solucin n empleado independiente de la custodia de los inventarios debera reconciliar diariamente la informacin sobre despachos generada como resultado del procesamiento de las rdenes de despacho, con documentacin procesada independientemente, por e)emplo, notas de pedido aprobadas por la gerencia de ventas.

*e esta manera se detectaran los despachos ficticios. Situacin . Al realizar una prue a de facturacin" los auditores o servaron #ue los precios facturados en algunos casos no coincid!an con los indicados en las listas de precios vigentes' Posteriormente se compro #ue ciertos cam ios en las listas de precios no (a !an sido procesados" razn por la cual el arc(ivo maestro de precios esta a desactualizado' Alternativas de Solucin #reacin de totales de control por lotes de formularios de modificaciones ! su posterior reconciliacin con un listado de las modificaciones procesadas. #onciliacin de totales de control con los acumulados por el computador referentes al contenido de campos significativos. $eneracin ! revisin, por un funcionario responsable, de los listados de modificaciones procesadas. $eneracin ! revisin de listados peridicos del contenido del archivo maestro de precios.

Situacin / 0na co ranza en efectivo a un cliente registrada claramente en el correspondiente reci o como de N =K"?=" fue ingresada al computador por N ='K?= seg5n surge del listado diario de co ranzas en efectivo' Alternativas de Solucin #ontralora,'uditora debera preparar ! conservar totales de control de los lotes de recibos por cobran(as en efectivo. -stos totales deberan ser luego comparados con los totales segn el listado diario de cobran(as en efectivo. n test de ra(onabilidad asumiendo que un pago de ./01./22 est3 definido como no ra(onable. #omparacin autom3tica de los pagos recibidos con las facturas pendientes por el nmero de factura ! recha(ar o imprimir aquellas discrepancias significativas o no ra(onables. -fectuar la *oble digitacin de campos crticos tales como valor o importe.

0etodologa de una Auditora de Sistemas ,&isten algunas metodolog!as de Auditor!as de Sistemas y todas depende de lo #ue se pretenda revisar o analizar" pero como estndar analizaremos las cuatro fases sicas de un proceso de revisin* ,studio preliminar 1evisin y evaluacin de controles y seguridades ,&amen detallado de reas criticas Comunicacin de resultados

Estudio pre iminar'7 2ncluye definir el grupo de tra a$o" el programa de auditor!a" efectuar visitas a la unidad informtica para conocer detalles de la misma" ela orar un cuestionario para la o tencin de informacin para evaluar preliminarmente el control interno" solicitud de plan de actividades" Manuales de pol!ticas" reglamentos" ,ntrevistas con los principales funcionarios del PAD' -evisin % eva uacin de contro es % se#uridades./ Consiste de la revisin de los diagramas de flu$o de procesos" realizacin de prue as de cumplimiento de las seguridades" revisin de

aplicaciones de las reas criticas" 1evisin de procesos (istricos . acHups/" 1evisin de documentacin y arc(ivos" entre otras actividades' E0amen deta ado de &reas criticas./Con las fases anteriores el auditor descu re las reas criticas y so re ellas (ace un estudio y anlisis profundo en los #ue definir concretamente su grupo de tra a$o y la distri ucin de carga del mismo" esta lecer los motivos" o $etivos" alcance 1ecursos #ue usara" definir la metodolog!a de tra a$o" la duracin de la auditor!a" Presentar el plan de tra a$o y analizara detalladamente cada pro lema encontrado con todo lo anteriormente analizado en este folleto' Comunicacin de resu tados./ Se ela orara el orrador del informe a ser discutido con los e$ecutivos de la empresa (asta llegar al informe definitivo" el cual presentara es#uemticamente en forma de matriz" cuadros o redaccin simple y concisa #ue desta#ue los pro lemas encontrados " los efectos y las recomendaciones de la Auditor!a' ,l informe de e contener lo siguiente* Motivos de la Auditor!a O $etivos Alcance ,structura Orgnico74uncional del rea 2nformtica Configuracin del :ard8are y Soft8are instalado Control 2nterno 1esultados de la Auditor!a

Caso Prctico

A continuacin se presenta una pol!tica en 2nformtica esta lecida como propuesta a fin de ilustrar el tra a$o realizado de una auditor!a de sistemas enfocada en los controles de Organizacin y planificacin' ,sta pol!tica fue creada con la finalidad de #ue satisfaga a un grupo de empresas $ur!dicamente esta lecidas con una estructura departamental del Area de Sistemas integrada por* Direccin " Su direccin" Oefes Departamentales del Area de Sistemas en cada una de las empresas #ue pertenecen al grupo' As! mismo los Departamentos #ue la componen son* Departamento de Desarrollo de Sistemas y Produccin" Departamento de Soporte 9)cnico y Departamento de 1edesG Comunicaciones" Departamento de Desarrollo de Proyectos' Para el efecto se (a creado una Administracin de Sistemas #ue efect5a reuniones peridicas a fin de regular y normar el funcionamiento del rea de Sistemas y un Comit) en el #ue participan personal del rea de Sistemas y personal administrativo' $OL1TICAS EN IN2O-'3TICA TIT*LO I DIS$OSICIONES GENE-ALES A-TIC*LO 45./ ,l presente ordenamiento tiene por o $eto estandarizar y contri uir al desarrollo informtico de las diferentes unidades administrativas de la ,mpresa <<' A-TIC*LO 65./ Para los efectos de este instrumento se entender por*

Comit(* Al e#uipo integrado por la Direccin " Su direccin" los Oefes departamentales y el personal administrativo de las diferentes unidades administrativas .Ocasionalmente/ convocado para fines espec!ficos como* Ad#uisiciones de :ard8are y soft8are ,sta lecimiento de estndares de la ,mpresa << tanto de (ard8are como de soft8are ,sta lecimiento de la Ar#uitectura tecnolgica de grupo' ,sta lecimiento de lineamientos para concursos de ofertas

Administracin de In"orm&tica7 ,st integrada por la Direccin" Su direccin y Oefes Departamentales" las cuales son responsa les de* 3elar por el funcionamiento de la tecnolog!a informtica #ue se utilice en las diferentes unidades administrativas ,la orar y efectuar seguimiento del Plan Maestro de 2nformtica Definir estrategias y o $etivos a corto" mediano y largo plazo Mantener la Ar#uitectura tecnolgica Controlar la calidad del servicio rindado Mantener el 2nventario actualizado de los recursos informticos 3elar por el cumplimiento de las Pol!ticas y Procedimientos esta lecidos'

A-TIC*LO 85./ Para los efectos de este documento" se entiende por Pol!ticas en 2nformtica" al con$unto de reglas o ligatorias" #ue de en o servar los Oefes de Sistemas responsa les del (ard8are y soft8are e&istente en la ,mpresa <<" siendo responsa ilidad de la Administracin de 2nformtica" vigilar su estricta o servancia en el m ito de su competencia" tomando las medidas preventivas y correctivas para #ue se cumplan'

A-TIC*LO 95./ Las Pol!ticas en 2nformtica son el con$unto de ordenamientos y lineamientos enmarcados en el m ito $ur!dico y administrativo de la ,mpresa <<' ,stas normas inciden en la ad#uisicin y el uso de los 6ienes y Servicios 2nformticos en la ,mpresa <<" las cuales se de ern de acatar invaria lemente" por a#uellas instancias #ue intervengan directa yGo indirectamente en ello' A-TIC*LO :5./ La instancia rectora de los sistemas de informtica de la ,mpresa << es la Administracin" y el organismo competente para la aplicacin de este ordenamiento" es el Comit)' A-TIC*LO ;5./ Las presentes Pol!ticas a#u! contenidas" son de o servancia para la ad#uisicin y uso de ienes y servicios informticos" en la ,mpresa <<" cuyo incumplimiento generar #ue se incurra en responsa ilidad administrativa> su$etndose a lo dispuesto en la seccin 1esponsa ilidades Administrativas de Sistemas' A-TIC*LO <5./ Las empresas de la ,mpresa << de ern contar con un Oefe o responsa le del Area de Sistemas" en el #ue recaiga la administracin de los 6ienes y Servicios" #ue vigilar la correcta aplicacin de los ordenamientos esta lecidos por el Comit) y dems disposiciones aplica les' TIT*LO II LINEA'IENTOS $A-A LA AD=*ISICION DE BIENES DE IN2O-'ATICA

A-TIC*LO >5./ 9oda ad#uisicin de tecnolog!a informtica se efect5a a trav)s del Comit)" #ue est conformado por el personal de la Administracin de 2nformtica y +erente Administrativo de la unidad solicitante de ienes o servicios informticos' A-TIC*LO ?5./ La ad#uisicin de 6ienes de 2nformtica en la ,mpresa <<" #uedar su$eta a los lineamientos esta lecidos en este documento' A-TIC*LO 4@5./ La Administracin de 2nformtica" al planear las operaciones relativas a la ad#uisicin de 6ienes informticos" esta lecer prioridades y en su seleccin de er tomar en cuenta* estudio t)cnico" precio" calidad" e&periencia" desarrollo tecnolgico" estndares y capacidad" entendi)ndose por*

$recio./ Costo inicial" costo de mantenimiento y consumi les por el per!odo estimado de uso de los e#uipos> Ca idad'7 Parmetro cualitativo #ue especifica las caracter!sticas t)cnicas de los recursos informticos' E0periencia'7 Presencia en el mercado nacional e internacional" estructura de servicio" la confia ilidad de los ienes y certificados de calidad con los #ue se cuente> Desarro o Tecno #ico./ Se de er analizar su grado de o solescencia" su nivel tecnolgico con respecto a la oferta e&istente y su permanencia en el mercado>

Est&ndares./ 9oda ad#uisicin se asa en los estndares" es decir la ar#uitectura de grupo empresarial esta lecida por el Comit)' ,sta ar#uitectura tiene una permanencia m!nima de dos a cinco a%os' Capacidades./ Se de er analizar si satisface la demanda actual con un margen de (olgura y capacidad de crecimiento para soportar la carga de tra a$o del rea'

A-TIC*LO 445./ Para la ad#uisicin de :ard8are se o servar lo siguiente* a/ ,l e#uipo #ue se desee ad#uirir de er estar dentro de las listas de ventas vigentes de los fa ricantes yGo distri uidores del mismo y dentro de los estndares de la ,mpresa <<' / De ern tener un a%o de garant!a como m!nimo c/ De ern ser e#uipos integrados de f rica o ensam lados con componentes previamente evaluados por el Comit)' d/ La marca de los e#uipos o componentes de er contar con presencia y permanencia demostrada en el mercado nacional e internacional" as! como con asistencia t)cnica y refaccionaria local' e/ 9ratndose de e#uipos microcomputadoras" a fin de mantener actualizado la ar#uitectura informtico de la ,mpresa <<" el Comit) emitir peridicamente las especificaciones t)cnicas m!nimas para su ad#uisicin' f/ Los dispositivos de almacenamiento" as! como las interfaces de entradaGsalida" de ern estar acordes con la tecnolog!a de punta vigente" tanto en velocidad de transferencia de datos" como en el ciclo del proceso' g/ Las impresoras de ern apegarse a los estndares de :ard8are y Soft8are vigentes en el mercado y la ,mpresa <<" corro orando #ue los suministros .cintas" papel" etc'/ se consigan fcilmente en el mercado y no est)n su$etas a un solo proveedor' (/ Con$untamente con los e#uipos" se de er ad#uirir el e#uipo complementario adecuado para su correcto funcionamiento de acuerdo con las especificaciones de los fa ricantes" y #ue esta ad#uisicin se manifieste en el costo de la partida inicial' i/Los e#uipos complementarios de ern tener una garant!a m!nima de un a%o y de ern contar con el servicio t)cnico correspondiente en el pa!s' $/ Los e#uipos ad#uiridos de en contar" de preferencia con asistencia t)cnica durante la instalacin de los mismos'

H/ ,n lo #ue se refiere a los computadores denominados servidores" e#uipo de comunicaciones como enrutadores y concentradores de medios" y otros #ue se $ustifi#uen por ser de operacin cr!tica yGo de alto costo> al vencer su per!odo de garant!a" de en de contar con un programa de mantenimiento preventivo y correctivo #ue incluya el suministro de refacciones' l/ ,n lo #ue se refiere a los computadores denominados personales" al vencer su garant!a por ad#uisicin" de en de contar por lo menos con un programa de servicio de mantenimiento correctivo #ue incluya el suministro de refacciones' 9odo proyecto de ad#uisicin de ienes de informtica" de e su$etarse al anlisis" apro acin y autorizacin del Comit)' A-TIC*LO 4657 ,n la ad#uisicin de ,#uipo de cmputo se de er incluir el Soft8are vigente precargado con su licencia correspondiente considerando las disposiciones del art!culo siguiente'

A-TIC*LO 485./ Para la ad#uisicin de Soft8are ase y utilitarios" el Comit) dar a conocer peridicamente las tendencias con tecnolog!a de punta vigente" siendo la lista de productos autorizados la siguiente* a' Plataformas de Sistemas Operativos* MS7DOS" MS7 @indo8s JE ,spa%ol" @indo8s <9" <ovell <et8are" 0ni&.Automotriz/' ' 6ases de Datos* 4o&Pro" 2nformi& c' Mane$adores de ases de datos*

4o&Pro para DOS" 3isual4o&" Access d' Lengua$es de programacin*

Los lengua$es de programacin #ue se utilicen de en ser compati les con las plataformas enlistadas' SPL @indo8s 3isual 6asic 3isual4o& Centura@e <otes Designer

e' :o$as de clculo*

,&cel f' Procesadores de pala ras*

@ord g' Dise%o +rfico*

Page MaHer" Corel Dra8 (' Programas antivirus'

47prot" Command Antivirus" <orton Antivirus i' Correo electrnico <otes Mail $' 6ro8ser de 2nternet <etscape ,n la generalidad de los casos" slo se ad#uirirn las 5ltimas versiones li eradas de los productos seleccionados" salvo situaciones espec!ficas #ue se de ern $ustificar ante el Comit)' 9odos los productos de Soft8are #ue se ad#uieran de ern contar con su licencia de uso" documentacin y garant!a respectivas' A-TIC*LO 495./ 9odos los productos de Soft8are #ue se utilicen a partir de la fec(a en #ue entre en vigor el presente ordenamiento" de ern contar con su licencia de uso respectiva> por lo #ue se promover la regularizacin o eliminacin de los productos ya instalados #ue no cuenten con la licencia respectiva' A-TIC*LO 4:5./ Para la operacin del soft8are de red se de e tener en consideracin lo siguiente* a/ 9oda la informacin institucional de e invaria lemente ser operada a trav)s de un mismo tipo de sistema mane$ador de ase de datos para eneficiarse de los mecanismos de integridad" seguridad y recuperacin de informacin en caso de falla del sistema de cmputo' / ,l acceso a los sistemas de informacin" de e contar con los privilegios niveles de seguridad de acceso suficientes para garantizar la seguridad total de la informacin institucional' Los niveles de seguridad de acceso de ern controlarse por un administrador 5nico y poder ser manipulado por soft8are' Se de en delimitar las responsa ilidades en cuanto a #ui)n est autorizado a consultar yGo modificar en cada caso la informacin" tomando las medidas de seguridad pertinentes para cada caso' c/ ,l titular de la unidad administrativa responsa le del sistema de informacin de e autorizar y solicitar la asignacin de clave de acceso al titular de la 0nidad de 2nformtica' d/ Los datos de los sistemas de informacin" de en ser respaldados de acuerdo a la frecuencia de actualizacin de sus datos" rotando los dispositivos de respaldo y guardando respaldos (istricos peridicamente' ,s indispensa le llevar una itcora oficial de los respaldos realizados" asimismo" las cintas de respaldo de ern guardarse en un lugar de acceso restringido con condiciones am ientales suficientes para garantizar su conservacin' Detalle e&plicativo se aprecia en la Pol!tica de respaldos en vigencia'

e/ ,n cuanto a la informacin de los e#uipos de cmputo personales" la 0nidad de 2nformtica recomienda a los usuarios #ue realicen sus propios respaldos en la red o en medios de almacenamiento alternos' f/ 9odos los sistemas de informacin #ue se tengan en operacin" de en contar con sus respectivos manuales actualizados' 0no t)cnico #ue descri a la estructura interna del sistema as! como los programas" catlogos y arc(ivos #ue lo conforman y otro #ue descri a a los usuarios del sistema" los procedimientos para su utilizacin' (/ Los sistemas de informacin" de en contemplar el registro (istrico de las transacciones so re datos relevantes" as! como la clave del usuario y fec(a en #ue se realiz .<ormas 6sicas de Auditor!a y Control/' i /Se de en implantar rutinas peridicas de auditor!a a la integridad de los datos y de los programas de cmputo" para garantizar su confia ilidad' A-TIC*LO 4;5./ Para la contratacin del servicio de desarrollo o construccin de Soft8are aplicativo se o servar lo siguiente* 9odo proyecto de contratacin de desarrollo o construccin de soft8are re#uiere de un estudio de facti ilidad #ue permita esta lecer la renta ilidad del proyecto as! como los eneficios #ue se o tendrn del mismo' 9odo proyecto de er ser apro ado por el Comit) en ase a un informe t)cnico #ue contenga lo siguiente* 6ases del concurso .1e#uerimientos claramente especificados/ Anlisis de ofertas .9res oferentes como m!nimo/ y Seleccin de oferta ganadora

Bases de Concurso Las ases del concurso especifican claramente los o $etivos del tra a$o" delimita las responsa ilidades de la empresa oferente y la contratante' De las empresas oferentes* Los re#uisitos #ue se de en solicitar a las empresas oferentes son* a' Copia de la C)dula de 2dentidad del o los representantes de la compa%!a ' Copia de los nom ramientos actualizados de los representantes legales de la compa%!a c' Copia de los ,statutos de la empresa" en #ue aparezca claramente definido el o $eto de la compa%!a" esto es para determinar si est o no facultada para realizar la o ra d' Copia del 10C de la compa%!a e' 1eferencias de clientes .M!nimo C/ f' La carta con la oferta definitiva del contratista de e estar firmada por el representante legal de la compa%!a oferente'

De la contratante Las responsa ilidades de la contratante son* a' ' c' d' Delinear adecuadamente los o $etivos y alcance del aplicativo' ,sta lecer los re#uerimientos del aplicativo Definir responsa ilidades de la contratista y contratante ,sta lecer campos de accin

An& isis de o"ertas % Se eccin de o"erta #anadora7

Para definir la empresa oferente ganadora del concurso" el Comit) esta lecer una reunin en la #ue se de e considerar los siguientes factores* a' ' c' d' e' f' Costo Calidad 9iempo de permanencia en el mercado de la empresa oferente ,&periencia en el desarrollo de aplicativos 1eferencias compro adas de Clientes Cumplimiento en la entrega de los re#uisitos

Apro ada la oferta se de e considerar los siguientes lineamientos en la ela oracin de contratos* 9odo contrato de e incluir lo siguiente* Antecedentes" o $eto del contrato" precio" forma de pago" plazo" o ligaciones del contratista" responsa ilidades" fiscalizador de la o ra" garant!as" entrega recepcin de o ra provisional y definitiva" sanciones por incumplimientos" rescisin del contrato" disposiciones supletorias" documentos incorporados" solucin de controversias" entre otros aspectos' Las garant!as necesarias para cada contrato de en ser inclu!das en forma con$unta con el Departamento Legal" #uienes de en asesorar el tipo de garant!a necesaria en la ela oracin de cada contrato' Las garant!as #ue se de en aplicar de acuerdo al tipo de contrato son* a' 0na garant!a ancaria o una pliza de seguros" incondicional" irrevoca le y de co ro inmediato por el EL del monto total del contrato para asegurar su fiel cumplimiento" la cual se mantendr vigente durante todo el tiempo #ue su sista la o ligacin motivo de la garant!a'

' 0na garant!a ancaria o una pliza de seguros" incondicional" irrevoca le y de co ro inmediato e#uivalente al =?? L .ciento por ciento/ del anticipo' ,sta garant!a se devolver en su integridad una vez #ue el anticipo se (aya amortizado en la forma de pago estipulada en el contrato' c' 0n fondo de garant!a #ue ser retenido de cada planilla en un porcenta$e del E L' Ounto al contrato se de er mantener la (istoria respectiva del mismo #ue se compone de la siguiente documentacin soporte* ,studio de facti ilidad 6ases del concurso Ofertas presentadas Acta de aceptacin de oferta firmada por los integrantes del Comit) 2nformes de fiscalizacin Acta de entrega provisional y definitiva

TIT*LO III INSTALACIONES A-TIC*LO 4<5./ La instalacin del e#uipo de cmputo" #uedar su$eta a los siguientes lineamientos* a/ Los e#uipos para uso interno se instalarn en lugares adecuados" le$os de polvo y trfico de personas' ,n las reas de atencin directa al p5 lico los e#uipos se instalarn en lugares adecuados' / La Administracin de 2nformtica" as! como las reas operativas de ern contar con un cro#uis actualizado de las instalaciones el)ctricas y de comunicaciones del e#uipo de cmputo en red' c/ Las instalaciones el)ctricas y de comunicaciones" estarn de preferencia fi$as o en su defecto resguardadas del paso de personas o m#uinas" y li res de cual#uier interferencia el)ctrica o magn)tica' d/ Las instalaciones se apegarn estrictamente a los re#uerimientos de los e#uipos" cuidando las especificaciones del ca leado y de los circuitos de proteccin necesarios> e/ ,n ning5n caso se permitirn instalaciones improvisadas o so recargadas' f/ Cuando en la instalacin se alimenten elevadores" motores y ma#uinaria pesada" se de er tener un circuito independiente" e&clusivo para el e#uipo yGo red de cmputo' A-TIC*LO 4>5./ La supervisin y control de las instalaciones se llevar a ca o en los plazos y mediante los mecanismos #ue esta lezca el Comit)'

TIT*LO I) LINEA'IENTOS EN IN2O-'ATICA CA$IT*LO I IN2O-'ACION A-TIC*LO 4?5./ Los arc(ivos magn)ticos de informacin se de ern inventariar" ane&ando la descripcin y las especificaciones de los mismos" clasificando la informacin en tres categor!as* =' 2nformacin (istrica para auditor!as B' 2nformacin de inter)s de la ,mpresa << C' 2nformacin de inter)s e&clusivo de alg5n rea en particular' A-TIC*LO 6@5./ Los $efes de sistemas responsa les del e#uipo de cmputo y de la informacin contenida en los centros de cmputo a su cargo" delimitarn las responsa ilidades de sus su ordinados y determinarn #uien est autorizado a efectuar operaciones emergentes con dic(a informacin tomando las medidas de seguridad pertinentes' A-TIC*LO 645./ Se esta lecen tres tipos de prioridad para la informacin* =' 2nformacin vital para el funcionamiento de la unidad administrativa> B' 2nformacin necesaria" pero no indispensa le en la unidad administrativa> C' 2nformacin ocasional o eventual' A-TIC*LO 665./ ,n caso de informacin vital para el funcionamiento de la unidad administrativa" se de ern tener procesos concomitantes" as! como tener el respaldo diario de las modificaciones efectuadas" rotando los dispositivos de respaldo y guardando respaldos (istricos semanalmente' A-TIC*LO 685./ La informacin necesaria pero no indispensa le" de er ser respaldada con una frecuencia m!nima de una semana" rotando los dispositivos de respaldo y guardando respaldos (istricos mensualmente'

A-TIC*LO 695./ ,l respaldo de la informacin ocasional o eventual #ueda a criterio de la unidad administrativa' A-TIC*LO 6:5./ Los arc(ivos magn)ticos de informacin" de carcter (istrico #uedarn documentados como activos de la unidad acad)mica y estarn de idamente resguardados en su lugar de almacenamiento' ,s o ligacin del responsa le del e#uipo de cmputo" la entrega conveniente de los arc(ivos magn)ticos de informacin" a #uien le suceda en el cargo'

A-TIC*LO 6;5./ Los sistemas de informacin en operacin" como los #ue se desarrollen de ern contar con sus respectivos manuales' 0n manual del usuario #ue descri a los procedimientos de operacin y el manual t)cnico #ue descri a su estructura interna" programas" catlogos y arc(ivos' CA$IT*LO II 2*NCIONA'IENTO A-TIC*LO 6<5./ ,s o ligacin de la Administracin de 2nformtica vigilar #ue el e#uipo de cmputo se use a$o las condiciones especificadas por el proveedor y de acuerdo a las funciones del rea a la #ue se asigne' A-TIC*LO 6>5./ Los cola oradores de la empresa al usar el e#uipo de cmputo" se a stendrn de consumir alimentos" fumar o realizar actos #ue per$udi#uen el funcionamiento del mismo o deterioren la informacin almacenada en medios magn)ticos" pticos" etc' A-TIC*LO 6?5./ Por seguridad de los recursos informticos se de en esta lecer seguridades* 4!sicas Sistema Operativo Soft8are Comunicaciones 6ase de Datos Proceso Aplicaciones

Por ello se esta lecen los siguientes lineamientos* Mantener claves de acceso #ue permitan el uso solamente al personal autorizado para ello' 3erificar la informacin #ue provenga de fuentes e&ternas a fin de corro orar #ue est)n li res de cual#uier agente e&terno #ue pueda contaminarla o per$udi#ue el funcionamiento de los e#uipos' Mantener plizas de seguros de los recursos informticos en funcionamiento

A-TIC*LO 8@5./ ,n ning5n caso se autorizar la utilizacin de dispositivos a$enos a los procesos informticos de la unidad administrativa' Por consiguiente" se pro(! e el ingreso yGo instalacin de (ard8are y soft8are particular" es decir #ue no sea propiedad de una unidad administrativa de la ,mpresa <<" e&cepto en casos emergentes #ue la Direccin autorice' CA$IT*LO III $LAN DE CONTINGENCIAS

A-TIC*LO 845./ La Administracin de 2nformtica crear para las empresas y departamentos un plan de contingencias informticas #ue incluya al menos los siguientes puntos* a/ Continuar con la operacin de la unidad administrativa con procedimientos informticos alternos> / 9ener los respaldos de informacin en un lugar seguro" fuera del lugar en el #ue se encuentran los e#uipos' c/ 9ener el apoyo por medios magn)ticos o en forma documental" de las operaciones necesarias para reconstruir los arc(ivos da%ados> d/ Contar con un instructivo de operacin para la deteccin de posi les fallas" para #ue toda accin correctiva se efect5e con la m!nima degradacin posi le de los datos> e/ Contar con un directorio del personal interno y del personal e&terno de soporte" al cual se pueda recurrir en el momento en #ue se detecte cual#uier anomal!a> f/ ,$ecutar prue as de la funcionalidad del plan f/ Mantener revisiones del plan a fin de efectuar las actualizantes respectivas

CA$IT*LO I) EST-ATEGIAS A-TIC*LO 86./ La estrategia informtica de la DD9 se consolida en el Plan Maestro de 2nformtica y est orientada (acia los siguientes puntos* a/ Plataforma de Sistemas A iertos> / Descentralizacin del proceso de informacin c/ ,s#uemas de operacin a$o el concepto clienteGservidor d/ ,standarizacin de (ard8are" soft8are ase" utilitarios y estructuras de datos e/ 2ntercomunicacin entre unidades y e#uipos mediante protocolos estndares f/ 2ntercam io de e&periencias entre Departamentos de 2nformtica' g/ Mane$o de proyectos con$untos con las diferentes unidades administrativas' (/ Programa de capacitacin permanente para los cola oradores de la empresa del rea de informtica i/ 2ntegracin de sistemas y ases de datos de la ,mpresa <<" para tener como meta final un Sistema 2ntegral de 2nformacin Corporativo' $/ Programacin con ayudas visuales e interactivas' 4acilitando interfases amiga les al usuario final' H/ 2ntegracin de sistemas teleinformticos .2ntranet De grupo empresarial/'

A-TIC*LO 885./ Para la ela oracin de los proyectos informticos y para la presupuestacin de los mismos" se tomarn en cuentan tanto las necesidades de (ard8are y soft8are de la unidad administrativa solicitante" como la disponi ilidad de recursos con #ue )stas cuenten'

DIS$OSICIONES T-ANSITO-IAS A-TIC*LO $-I'E-O./ Las disposiciones a#u! enmarcadas" entrarn en vigor a partir del d!a siguiente de su difusin' A-TIC*LO SEG*NDO./ Las normas y pol!ticas o $eto de este documento" podrn ser modificadas o adecuadas conforme a las necesidades #ue se vayan presentando" mediante acuerdo del Comit) 9)cnico de 2nformtica de la ,mpresa << .C92/> una vez apro adas dic(as modificaciones o adecuaciones" se esta lecer su vigencia' A-TIC*LO TE-CE-O./ Las disposiciones a#u! descritas constan de forma detallada en los manuales de pol!ticas y procedimientos espec!ficos e&istentes'

A-TIC*LO C*A-TO./ La falta de desconocimiento de las normas a#u! descritas por parte de los cola oradores no los li era de la aplicacin de sanciones yGo penalidades por el incumplimiento de las mismas' Pala ras clave* Controles automticos o lgicos" Controles Administrativos del PAD" Conceptos de Auditor!a de Sistemas' 9ra a$o enviado por* anaran$oQ onita'com