AUDITORIA DE SISTEMAS

I. CONCEPTOS PREVIOS
Definicin de auditora:
Se define como un proceso sistemtico que consiste en
obtener

evaluar

objetivamente

evidencias

sobre

las

afirmaciones relativas los actos y eventos de carcter

econmico;

con

el

fin

de

determinar

el

grado

de

correspondencia entre esas afirmaciones y los criterios

establecidos, para luego comunicar los resultados a las
personas interesadas.
Definicin de Sistemas de Informacin

Es

un

conjunto

de

elementos

interrelacionados con el propsito de

prestar atencin a las demandas de
informacin de una organizacin, para
elevar el nivel de conocimientos que
permitan un mejor apoyo a la toma de
decisiones y desarrollo de acciones.

II.

AUDITORIA DE SISTEMAS

Definicin de Auditoria de Sistemas

La auditora de sistemas es una rama

especializada
promueve

de

la

aplica

auditora
conceptos

que
de

auditora en el rea o ambiente de

tecnologa de la informacin (TI).
Su finalidad es establecer el grado de
eficiencia, efectividad y economa de los
sistemas
entidad,

presentar

computarizados

conclusiones

en

una

recomendaciones

orientadas a corregir las deficiencias existentes para mejorar

su performance.

La auditora de sistemas tambin es la revisin y la evaluacin

de los controles, sistemas, procedimientos de informtica; de
los equipos de cmputo, su utilizacin, eficiencia y seguridad,
de la organizacin que participan en el procesamiento de la
informacin, a fin de que por medio del sealamiento de
cursos alternativos se logre una utilizacin ms eficiente y
segura de la informacin que servir para una adecuada toma
de decisiones.

Adems la auditora de sistemas deber comprender no slo

la evaluacin de los equipos de cmputo, de un sistema o
procedimiento especfico, sino que tambin habr de evaluar
los sistemas de informacin en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtencin de
informacin.
La auditora de sistemas es de vital importancia para el buen
desempeo

de

los

sistemas

de

informacin,

ya

que

proporciona los controles necesarios para que los sistemas

sean confiables y con un buen nivel de seguridad. Adems
debe evaluar todo (informtica, organizacin de centros de
informacin, hardware y software).

OBJETIVOS

ESPECIFICOS

DE

LA

AUDITORIA

SISTEMAS:
1. Participacin en el desarrollo de nuevos sistemas:

DE

 evaluacin de controles
cumplimiento de la metodologa.
2. Evaluacin de la seguridad en el rea informtica.
3. Evaluacin de suficiencia en los planes de contingencia.
respaldos, preveer qu va a pasar si se presentan fallas.
4. Opinin de la utilizacin de los recursos informticos.
resguardo y proteccin de activos.
5. Control de modificacin a las aplicaciones existentes.
fraudes
control a las modificaciones de los programas.
6. Participacin en la negociacin de contratos con los
proveedores.
7. Revisin de la utilizacin del sistema operativo y los
programas
utilitarios.
control sobre la utilizacin de los sistemas operativos
programas utilitarios.

8. Auditora de la base de datos.

estructura sobre la cual se desarrollan las aplicaciones...
9. Auditora de la red de teleprocesos.
10. Desarrollo de software de auditora.

Es el objetivo final de una auditora de sistemas bien

implementada, desarrollar software capaz de estar ejerciendo
un

control

continuo

de

las

operaciones

del

rea

de

procesamiento de datos.

FINES DE LA AUDITORIA DE SISTEMAS:

1. Fundamentar la opinin del auditor interno (externo) sobre
la confiabilidad de los sistemas de informacin.
2. Expresar la opinin sobre la eficiencia de las operaciones en
el rea de TI.

Similitudes y diferencias con la auditora tradicional:

Similitudes:
No se requieren nuevas normas de auditora, son las
mismas.
Los elementos bsicos de un buen sistema de control
contable interno siguen siendo los mismos; por ejemplo,
la adecuada segregacin de funciones.
Los propsitos principales del estudio y la evaluacin del
control contable interno son la obtencin de evidencia
para respaldar una opinin y determinar la base,

oportunidad y extensin de las pruebas futuras de

auditora.
Diferencias:
Se

establecen

algunos

nuevos

procedimientos

de

auditora.
Hay diferencias en las tcnicas destinadas a mantener
un adecuado control interno contable.
Hay alguna diferencia en la manera de estudiar y evaluar
el control interno contable. Una diferencia significativa es
que en algunos procesos se usan programas.
El nfasis en la evaluacin de los sistemas manuales esta
en la evaluacin de transacciones, mientras que el
nfasis

en

los

sistemas

informticos,

est

en

la

evaluacin del control interno.

III.

PROCEDIMIENTOS Y TECNICAS DE AUDITORIA.

Se requieren varios pasos para realizar una auditora. El

auditor de sistemas debe evaluar los riesgos globales y luego
desarrollar un programa de auditora que consta de objetivos
de control y procedimientos de auditora que deben satisfacer
esos objetivos. El proceso de auditora exige que el auditor de
sistemas rena evidencia, evale fortalezas y debilidades de
los controles existentes basado en la evidencia recopilada, y
que prepare un informe de auditora que presente esos temas
en forma objetiva a la gerencia. Asimismo, la gerencia de

auditora debe garantizar una disponibilidad y asignacin

adecuada de recursos para realizar el trabajo de auditora
adems de las revisiones de seguimiento sobre las acciones
correctivas emprendidas por la gerencia.

3.1. Planificacin de la auditora

Una planificacin adecuada es el primer paso necesario para

realizar auditoras de sistema eficaces. El auditor de sistemas
debe comprender el ambiente del negocio en el que se ha de
realizar la auditora as como los riesgos del negocio y control
asociado. A continuacin se menciona algunas de las reas
que deben ser cubiertas durante la planificacin de la
auditora:

a. Comprensin del negocio y de su ambiente.

Al planificar una auditora, el auditor de sistemas debe tener
una comprensin de suficiente del ambiente total que se
revisa. Debe incluir una comprensin general de las diversas
prcticas comerciales y funciones relacionadas con el tema de
la auditora, as como los tipos de sistemas que se utilizan. El
auditor de sistemas tambin debe comprender el ambiente

normativo en el que opera el negocio. Por ejemplo, a un banco

se le exigir requisitos de integridad de sistemas de
informacin y de control que no estn presentes en una
empresa manufacturera. Los pasos que puede llevar a cabo
un auditor de sistemas para obtener una comprensin del
negocio son: Recorrer las instalaciones del ente. Lectura de
material sobre antecedentes que incluyan publicaciones sobre
esa industria, memorias e informes financieros. Entrevistas a
gerentes claves para comprender los temas comerciales
esenciales.

Estudio

de

los

informes

sobre

normas

reglamentos. Revisin de planes estratgicos a largo plazo.

Revisin de informes de auditoras anteriores.
b. Riesgo y materialidad de auditora.
Se puede definir los riesgos de auditora como aquellos
riesgos de que la informacin pueda tener errores materiales
o que el auditor de sistemas no pueda detectar un error que
ha ocurrido. Los riesgos en auditora pueden clasificarse de la
siguiente manera:

Riesgo inherente: Cuando un error material no se puede

evitar

que

suceda

por

que

no

existen

controles

compensatorios relacionados que se puedan establecer.

Riesgo de Control: Cuando un error material no puede ser
evitado o detectado en forma oportuna por el sistema de
control interno.

Riesgo de deteccin: Es el riesgo de que el auditor realice

pruebas exitosas a partir de un procedimiento inadecuado.

El auditor puede llegar a la conclusin de que no existen

errores materiales cuando en realidad los hay. La palabra
"material" utilizada con cada uno de estos componentes o
riesgos,

se

refiere

un

error

que

debe

considerarse

significativo cuando se lleva a cabo una auditora. En una

auditora de sistemas de informacin, la definicin de riesgos
materiales depende del tamao o importancia del ente
auditado as como de otros factores. El auditor de sistemas
debe tener una cabal comprensin de estos riesgos de
auditora al planificar. Una auditora tal vez no detecte cada
uno de los potenciales errores en un universo. Pero, si el
tamao de la muestra es lo suficientemente grande, o se
utiliza procedimientos estadsticos adecuados se llega a
minimizar la probabilidad del riesgo de deteccin. De manera
similar al evaluar los controles internos, el auditor de sistemas
debe percibir que en un sistema dado se puede detectar un
error mnimo, pero ese error combinado con otros, puede
convertir en un error material para todo el sistema. La
materialidad en la auditora de sistemas debe ser considerada
en trminos del impacto potencial total para el ente en lugar
de alguna medida basado en lo monetario.
c. Tcnicas de evaluacin de Riesgos.

Al determinar que reas funcionales o temas de auditora que

deben auditarse, el auditor de sistemas puede enfrentarse
ante una gran variedad de temas candidatos a la auditora, el
auditor de sistemas debe evaluar esos riesgos y determinar
cules de esas reas de alto riesgo debe ser auditada. Existen
cuatro motivos por los que se utiliza la evaluacin de riesgos,
estos son: Permitir que la gerencia asigne recursos necesarios
para

la

auditora.

Garantizar

que

se

ha

obtenido

la

informacin pertinente de todos los niveles gerenciales, y

garantiza que las actividades de la funcin de auditora se
dirigen correctamente a las reas de alto riesgo y constituyen
un valor agregado para la gerencia. Constituir la base para la
organizacin de la auditora a fin de administrar eficazmente
el departamento. Proveer un resumen que describa como el
tema individual de auditora se relaciona con la organizacin
global de la empresa as como los planes del negocio.

d. Objetivos de controles y objetivos de auditora.

El objetivo de un control es anular un riesgo siguiendo alguna
metodologa, el objetivo de auditora es verificar la existencia
de estos controles y que estn funcionando de manera eficaz,
respetando las polticas de la empresa y los objetivos de la
empresa. As pues tenemos por ejemplo como objetivos de
auditora de sistemas los siguientes: La informacin de los
sistemas de informacin deber estar resguardada de acceso

incorrecto y se debe mantener actualizada. Cada una de las

transacciones que ocurren en los sistemas es autorizada y es
ingresada una sola vez. Los cambios a los programas deben
ser debidamente aprobados y probados. Los objetivos de
auditora se consiguen mediante los procedimientos de
auditora.
e. Procedimientos de auditora.
Algunos ejemplos de procedimientos de auditora son:
- Revisin

de

la

documentacin

de

sistemas

identificacin de los controles existentes.

- Entrevistas con los especialistas tcnicos a fin de
conocer las tcnicas y controles aplicados.
- Utilizacin de software de manejo de base de datos para
examinar el contenido de los archivos de datos.
- Tcnicas

de

diagramas

de

flujo

para

documentar

aplicaciones automatizadas.

3.3. Asignacin de Recursos de auditora.

La asignacin de recursos para el trabajo de auditora debe
considerar las tcnicas de administracin de proyectos las
cuales tienen los siguientes pasos bsicos:
Desarrollar un plan detallado: El plan debe precisar los
pasos a seguir para cada tarea y estimar de manera realista,
el tiempo teniendo en cuenta el personal disponible.

Contrastar

la

actividad

actual

con

la

actividad

planificada en el proyecto: debe existir algn mecanismo

que permita comparar el progreso real con lo planificado.
Generalmente se utilizan las hojas de control de tiempo.
Ajustar el plan y tomar las acciones correctivas: si al
comparar el avance con lo proyectado se determina avances o
retrasos, se debe reasignar tareas. El control se puede llevar
en un diagrama de Gantt

As mismo las hojas de control de tiempo son generalmente

como sigue:

Los recursos deben comprender tambin las habilidades con

las que cuenta el grupo de trabajo de auditora y el
entrenamiento y experiencia que estos tengan. Tener en
cuenta la disponibilidad del personal para la realizacin del
trabajo de auditora, como los perodos de vacaciones que
estos tengan, otros trabajos que estn realizando, etc.
3.4. Tcnicas de recopilacin de evidencias.
La recopilacin de material de evidencia es un paso clave en
el proceso de la auditora, el auditor de sistemas debe tener
conocimiento

de

cmo

puede

recopilar

examinada. Algunas formas son las siguientes:

la

evidencia

 Revisin de las estructuras organizacionales de sistemas

de informacin.
Revisin de documentos que inician el desarrollo del
sistema, especificaciones de diseo funcional, historia de
cambios

programas,

manuales

de

usuario,

especificaciones de bases de datos, arquitectura de

archivos de datos, listados de programas, etc.; estos no
necesariamente se encontrarn en documentos, si no en
medios magnticos para lo cual el auditor deber
conocer las formas de recopilarlos mediante el uso del
computador.
Entrevistas con el personal apropiado, las cuales deben
tener

una

naturaleza

de

descubrimiento

no

de

acusatoria.
Observacin de operaciones y actuacin de empleados,
esta es una tcnica importante para varios tipos de
revisiones, para esto se debe documentar con el
suficiente grado de detalle como para presentarlo como
evidencia de auditora.
Auto documentacin, es decir el auditor puede preparar
narrativas en base a su observacin, flujogramas,
cuestionarios de entrevistas realizados. Aplicacin de
tcnicas de muestreo para saber cundo aplicar un tipo
adecuado de pruebas (de cumplimiento o sustantivas)
por muestras.

 Utilizacin

de

tcnicas

de

auditora

asistida

por

computador CAAT, consiste en el uso de software

genrico, especializado o utilitario.

3.5. Evaluacin

de

fortalezas

debilidades

de

auditora.
Luego de desarrollar el programa de auditora y recopilar
evidencia de auditora, el siguiente paso es evaluar la
informacin recopilada con la finalidad de desarrollar una
opinin. Para esto generalmente se utiliza una matriz de
control con la que se evaluar el nivel de los controles
identificados, esta matriz tiene sobre el eje vertical los tipos
de errores que pueden presentarse en el rea y un eje
horizontal los controles conocidos para detectar o corregir los
errores, luego se establece un puntaje (puede ser de 1 a 10
0 a 20, la idea es que cuantifique calidad) para cada
correspondencia, una vez completada, la matriz muestra las
reas en que los controles no existen o son dbiles,
obviamente el auditor debe tener el suficiente criterio para
juzgar cuando no lo hay si es necesario el control. Por
ejemplo:

En esta parte de evaluacin de debilidades y fortalezas

tambin se debe elegir o determinar la materialidad de las
observaciones o hallazgos de auditora. El auditor de sistemas

debe juzgar cuales observaciones son materiales a diversos

niveles de la gerencia y se debe informar de acuerdo a ello.

3.6. Informe de auditora.

Los informes de auditora son el producto final del trabajo del

auditor de sistemas, este informe es utilizado para indicar las
observaciones y recomendaciones a la gerencia, aqu tambin
se expone la opinin sobre lo adecuado o lo inadecuado de los
controles o procedimientos revisados durante la auditora, no
existe un formato especfico para exponer un informe de
auditora de sistemas de informacin, pero generalmente
tiene la siguiente estructura o contenido:
Introduccin al informe, donde se expresara los objetivos
de la auditora, el perodo o alcance cubierto por la
misma, y una expresin general sobre la naturaleza o
extensin de los procedimientos de auditora realizados.
Observaciones

detalladas

recomendaciones

de

auditora.
Respuestas de la gerencia a las observaciones con
respecto a las acciones correctivas.
Conclusin global del auditor expresando una opinin
sobre los controles y procedimientos revisados.
3.7. Seguimiento de las observaciones de auditora.

El trabajo de auditora es un proceso continuo, se debe

entender que no servira de nada el trabajo de auditora si no
se comprueba que las acciones correctivas tomadas por la
gerencia, se estn realizando, para esto se debe tener un
programa de seguimiento, la oportunidad de seguimiento
depender del carcter crtico de las observaciones de
auditora. El nivel de revisin de seguimiento del auditor de
sistemas depender de diversos factores, en algunos casos el
auditor de sistemas tal vez solo necesite inquirir sobre la
situacin actual, en otros casos tendr que hacer una revisin
ms tcnica del sistema.

II.- CONTROL INTERNO DE LAS TI

Las organizaciones utilizan herramientas para poder
controlar las acciones que se realizan en el sistema de
informacin que se utiliza dentro la organizacin.
Estos controles tienen que ser preventivos, detectivos,
correctivos y proactivos para que sea efectiva la
consecucin del objetivo de este.

Qu evalua el control interno en los sistemas de

informacion?
El control interno es utilizado en las organizaciones con
el fin de ver como controlar y evaluar o manejar el riesgo
que causan factores vinculados con las tecnologas
utilizadas y los sistemas informaticos (siendo mas
especificos) como:

Tipos de Controles Internos

a. CONTROLES GENERALES O DE INTEGRIDAD
Son procedimientos diseados para asegurar que
programas computacionales funcionan adecuadamente.

los

Que las modificaciones a programas y datos son debidamente

autorizados, y que su administracin contribuye a lograr los
objetivos y la misin de la empresa.
Objetivos de los Controles Generales o de Integridad

Preservar los atributos de la informacin

Brindar apoyo competitivo

Mantener la continuidad y consistencia

Apoyar la eficiencia operativa

Mantener una cultura informtica adecuada

Apoyar la proteccin del Patrimonio

Emplear los recursos TI adecuadamente

Dentro de este tipo encontramos el CPD (______), cuyo

objetivo es apoyar a todas las dems funciones de la empresa
u organizacin, para que logren los objetivos fijados por la
Gerencia, usando la Tecnologa Informtica. La organizacion
puede ser formal e informal.
Funciones o Actividades del C.P.D.
Desarrollo
Mantencin
Control de Calidad
Operaciones
Explotacin
Ingreso de Datos

a.1. Control de Organizacin

Los Controles de Organizacin se refieren a la segregacin de
funciones y a la responsabilidad por el control.
Estn diseados para asegurar que la organizacin del C.P.D.,
su Hardware, su Software y sus Recursos Humanos estn al
servicio de la empresa y tienen la debida proteccin.
1. Segregacin
Se debe mantener la separacin de los usuarios que autorizan
una transaccin, de aquellos que la ejecutan y/o la registran;
de los que crean programas computaciones (aplicaciones) de
aquellos que operan dichos sistemas, como de los que
ejecutan los mismos.

Se trata entonces de evitar la concentracin de funciones en

una sola persona, disminuyendo el riesgo que ello significa.
En los sistemas manuales, el control por segregacin consiste
en separar las cuatros funciones primarias a saber:

Autorizacin

Ejecucin

Registro

Mantenimiento
Los Sistemas Computacionales ejecutan las funciones de
autorizacin, ejecucin y registro simultneamente, lo que
incide en buscar alternativas de control que permitan
compensar la ausencia de la segregacin de funciones.

2. Responsabilidad del Control

Cada usuario debe tener muy claro de la autoridad que le ha
sido delegada y la responsabilidad que esto conlleva.
Esto significa que la responsabilidad de un usuario, de un Jefe
de Proyecto, de un Analista, de un Programador y/o de un
Oficial de Seguridad, debe estar muy claras, para evitar
errores, irregularidades y cualquier atentado contra la
empresa.
No olvidarse que la responsabilidad no se delega.

3 Hardware
Se debe tener control sobre los siguientes aspectos del
Hardware:
Acceso Fsico:
Debe existir proteccin al acceso a la sala donde funciona el
equipo computacional y sus perifricos. Esto es vlido para el
hardware en poder de los usuarios.

Registro de Mantenimiento:

El Hardware cada vez es ms confiable, pero debe tener un

mantenimiento preventivo que debe realizarse con cierta
frecuencia. Para ello es conveniente llevar una bitcora de
mantenimiento, donde se registre cada reparacin o accin
preventiva, pudiendo con ello determinar frecuencia de
errores y correccin de la prevencin.

Medio Ambiente:
A pesar que el hardware est ms protegido, no debe
descuidarse el polvo del medio ambiente, los niveles de
humedad y las fluctuaciones en la temperatura ambiental.
Proteccin de Energa:
La fuente de energa debe estar protegida a las variaciones y
a los cortes accidentales con estabilizadores y UPS.
Las variaciones sobre el 10% del voltaje por ejemplo, puede
causar errores de procesamiento e inclusive daar la CPU, la
Memoria y/o los circuitos integrados.
a.2. Implementacin
Estn diseados para asegurar que los procedimientos
programados son:
Una respuesta a una idea o una solucin a un
problema,
de
acuerdo
a
procedimientos
preestablecidos.
Adecuados a los requerimientos de la empresa y de
los usuarios.
Se construyen con una metodologa adecuada y son
debidamente documentados.
Adecuadamente implementados.
Autorizadas las modificaciones a programas en
operaciones, cumplindose los objetivos precitados.
Se clasifican en:
Necesidad del Sistema

 Procedimiento de inicio de un sistema

Estudio de Factibilidad
Informe Comit de Informtica
Desarrollo del Sistema (Metodologa)
Anlisis y Diseo
Construccin (prueba de programas)
Implementacin (Catalogacin y prueba paralela).
Mantencin del Sistema
Procedimiento de Modificacin de un Sistema
Procedimiento de Emergencia (fuera de horario)

a.3. Seguridad de Programas y Datos

Estn diseados para asegurar que:
o Cambios no autorizados puedan ser hechos a
programas en explotacin ni a sus datos.
o Exista un procedimiento para autorizar las
modificaciones a los programas.
o Programas y datos en lnea, deben estar protegidos contra modificaciones no autorizadas.
o Programas y datos fuera de lnea, deben adems
estar custodiados fsicamente.

a.4. Operacin del Computador

Estn diseados para asegurar que:
Los sistemas funcionan continuamente en forma
consistente.
Las operaciones se realizan de acuerdo
planeado.
Los datos utilizados son los apropiados.

lo

La continuidad de las operaciones est asegurada.

(Recuperacin y Respaldos)
Custodia fsica de programas y datos
Planificacin y Preparacin de los trabajos
Los programas y datos a utilizar, deben estar
definidos por los usuarios (Planificacin)
Operaciones debe poner a disposicin de los
usuarios los programas y los datos de acuerdo a lo
planificado.
Deben existir procedimientos para evitar el uso de
archivos y tablas no adecuadas.
Programas de Operacin del computador
Uso de los lenguajes de control de tareas para
automatizar la operacin del computador y
disminuir los errores en los procesos.
Procedimientos de Recuperacin y Respaldos

 Facilidades para recomenzar un proceso en el punto

de interrupcin.
Sistemas de Respaldos (Backup) de acuerdo a la
dependencia de la T.I.
Plan de Contingencias y Recuperacin de Desastres.

a.5. Seguridad de Comunicaciones

Estn diseados para asegurar que: El acceso a los
sistemas se hace por personas autorizadas.
Confidencialidad
Autenticidad
Integridad
No repudio o rechazo
Cualquier acceso no autorizado es detectado, como las
modificaciones no autorizadas. Una forma de asegurar las
comunicaciones es a travs de la CRIPTOLOGIA.
El Mtodo de la Criptologia

Los elementos que forman parte de la criptologia son,

algoritmo, llave y los objetivos. El primero especifica la
transformacin matemtica que se realiza al mensaje o
datos, tanto para encriptarlos como desencriptarlos; el
segundo es un valor secreto, que permite encriptar un
mensaje de manera distinta. Y por ltimo los objetivos
que se busca llegar son la confidencialidad, integridad,
autentificacin y no repudio.
Funcionamiento Sistema Criptogrfico
Canal

Encriptacin Simtrica

Consideraciones a tener presente:

o Alicia y Beto debe convenir en un algoritmo a usar
en sus comunicaciones.
o Alicia y Beto deben compartir en forma segura la
llave:
Usando un medio de transporte fsico privado
Usando algun otro medio seguro

Ventajas de este mtodo:

o
o

Es relativamente simple
Desde el punto de vista tcnico es eficiente.

Ejemplo de Algoritmos:
o DES (Data Encryption Standard)
Tamao de llave: 40 y 56 bits
o Triple DES
Tamao de llave: 112 a 168 bits
Mayor seguridad que DES
o Blowfish
Tamao de llaves de 32 a 448 bits

Requiere pocos recursos

Muy rpido
IDEA (International Data Encription Algorithm)
Tamao de llaves: 128 bits
Requiere mucho procesamiento
RC5
Tamao de llave: hasta 255
caracteres
Requiere pocos recursos, pero es
lento.
Configuracin flexible por parmetros
CAST-128
Tamao llave: entre 5 y 15 caracteres
Algoritmo extensamente revisado por
criptoanalistas
RC2
Tamao llave de 8 a 1024 bits
Usado en microprocesadores de 16
bits

Encriptacin Asimtrica
Son algoritmos que utilizan llaves diferentes (relacionadas
entre si), para realizar la encriptacin y desencriptacin.
Esta metodologa se usa normalmente para la firma
digital, como tambin para el intercambio de llave
simtrica.
Estas llaves se les conoce como:
o Llave Pblica
o Llave Privada
Caractersticas del Sistema
o Mensaje encriptado con la llave pblica, la llave
privada lo desencripta y viceversa.

o La seguridad se basa en la imposibilidad de calcular

una llave, a partir de la otra.
o Tambin se basa la seguridad, en mantener la llave
privada como secreta (personal), y de mantener
la relacin con la llave pblica en forma confiable.
Propiedad de las llaves:
Los pares de llaves son identificados o asociados
con personas o con entidades.
La propiedad de las llaves pblicas, es publicada y
conocida por todos aquellos que les incumbe el
mensaje.
La llave privada es secreta y debe quedar bajo la
responsabilidad del dueo o responsable del
mensaje.

a.6. Sistema Operativo

Control de Administracin de la Seguridad
Establecer Objetivos de Seguridad
Evaluar los riesgos de Seguridad
Oficial de Seguridad
Perfil de Usuario
Control de Identificacin
Control de Autenticidad
Control de Acceso de Terminales y/o Externo
Monitoreo Sistema Seguridad
Registro de las Operaciones (LOG)

 Programas Ad-Hoc de Seguridad Activa

b. CONTROLES DE APLICACIN
Son procedimientos diseados para asegurar que las
transacciones son manejadas de acuerdo con los objetivos
especficos de control; que la informacin conserva todos sus
atributos y caractersticas, y que los sistemas cumplen los
objetivos para los cuales fueron creados.
b.1 Cobertura de los Controles de Aplicacin
La estructura de control adoptada para cada aplicacin,
debe tomar en cuenta la secuencia completa del
procesamiento (manual y computacional), desde que
ocurre el hecho econmico, hasta que el informe se
encuentra en manos del administrador o usuario
autorizado.
b.2 reas que deben ser
Controles de Aplicacin
Medio ambiente del SIA

protegidas

con

Identificacin de Eventos
Entrada, Mantencin y Actualizacin de los Datos.
Comunicacin de los Datos
Procesamiento de los Datos
Salida y distribucin de la Informacin
Acceso al SIA
Continuidad del SIA
b.3 Objetivos de los Controles de Aplicacin

los

Mantener las condiciones de confidencialidad, integridad

y disponibilidad de la informacin que se procese,
almacene y/o genere. Esto significa:
Totalidad
Exactitud
Autorizacin
Mantencin
Actualizacin
b.4 Acceso
Los paquetes y/o las aplicaciones deben tener control de
acceso, similares a los usados por los sistemas
operativos.
Debe poder definirse el perfil de cada usuario, en base a
la labor que realizar con el sistema:
Ingreso de Datos
Actualizacin de Datos
Modificacin de Datos
Generacin de Informes
La administracin de la Seguridad de Acceso al sistema,
le corresponde al Jefe de Aplicacin.
Es deseable que el paquete o la aplicacin tengan
utilidades de auditora, para dejar rastros de aquellas
transacciones que son riesgosas, tales como eliminacin
de datos, modificacin de datos u otras similares.
El acceso a esta utilidad debe estar restringido a
Auditora Interna.

b.5 Entrada

La entrada de los datos es una funcin riesgosa. Puede

ocurrir, entre otras acciones, lo siguiente:
Ingreso equivocado de datos. (perodos distintos,
sistemas distintos, otros)
Mala preparacin de la entrada, asignando
errneamente los cdigos. (Cuentas Contables, AFP,
ISAPRES, UF, Etc.)
Duplicar el ingreso de los datos.
Datos que no son actualizados
Ingreso de datos no autorizados.
Realizacin de transacciones no autorizadas.

b.6 Procesamiento
El procesamiento es la transformacin, agrupacin,
ordenamiento, validaciones, clculos, comparaciones,
actualizacin de archivos de datos, otras.
En el procesamiento de la informacin pueden ocurrir
errores tales como:
Clculo incorrecto o mal hecho.
Procesamiento lgico incorrecto. (Depreciar
despus corregir monetariamente)
Uso de un archivo de datos equivocado.

Uso de programas de versiones anteriores o no

actualizados.

b.7 Salida
La salida de los Sistemas de Informacin, puede
realizarse en papel, microfichas, u otros soportes, y es la
parte ms sensible de la seguridad.

Los informes deben ser entregados a los usuarios

autorizados, debiendo asegurarse que es el informe
correcto que se recibe.

Tcticas de Control ms utilizadas

TOTALIDAD
Totalidad de los Datos Ingresados y Actualizados:
Buscan asegurar que las transacciones son registradas
cuando se originan, ingresadas y aceptadas por el
sistema. (Sin omisiones y ni duplicaciones)

Comprobacin o verificacin de la secuencia de

documentos numerados en serie.

Pareo con datos procesados previamente

Concordancia de totales de lote

Verificacin uno a uno de los listados

EXACTITUD
Tienen relacin con los campos relevantes de los
registros que generan la informacin.
Aseguran que el registro inicial es correcto y exacto,
que toda la informacin es aceptada por el
computador, tanto en el proceso de ingreso, como en
la actualizacin.
Uso de las tcnicas de control de totalidad
Pareo con datos procesados previamente
Concordancia de totales de lote
Verificacin uno a uno de los listados
Control Programado de Validacin

 Controles de Razonabilidad: verifican si el contenido

de un campo ingresado corresponde a un rango
determinado.
Controles de Dependencia: verifican si el contenido
de dos o ms campos ingresados tienen una
relacin lgica correcta. (fechas, indicadores)
Controles de Existencia: verifican que el ingreso de
un campo, concuerda con cdigos vlidos preexistentes.
Controles de Formato: verifican que los datos
requeridos por un campo estn presentes.
Verificacin del Dgito de Control: verifica la
correspondencia de un campo numrico con un
nmero obtenido con un algoritmo especfico.
Ingreso pre-registrado
Ingreso de datos pre impresos, mediante perifricos
lectores.
o Mecnicos
o pticos
o Magnticos
o Electrnicos