Auditoria de Sistemas a Traves Del Computador
Post on 25-Jan-2016
214 Views
Preview:
DESCRIPTION
Transcript
Curso:
AUDITORIA DE SISTEMAS
TEMA:
Auditoría de sistemas a través del
computador
PROFESOR: SUASNABAR AGUILAR, ALEX
ALUMNOS: CÓDIGO:
IBERICO ZUMAETA, José Carlos 090327E
RETUERTO MANSILLA, Diego Fernando 090353F
SANTOS LLANCE, Gustavo 090312h
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
INTRODUCCIÓN
Este tema relata sobre la auditoria informática, su relación con el computador y
algunos aspectos que la engloban tales como: áreas de aplicación, que trata de
los diferentes procedimientos que se van a emplear en el área informática, así
como también el procesamiento electrónico de datos, puesto que el auditor debe
conocer el programa que va a utilizar.
También se observará cuáles son los objetivos primordiales de una auditoria
de sistemas, pues es de mucha importancia centrarse en ellos debido a que se
evalúa la operatividad del sistema y el control de la función informática, que
influyen mucho en los resultados obtenidos (informe final); los procedimientos que
se realizan en la auditoria consiste en la metodología que se va a aplicar para
realizar el análisis correspondiente.
En la actualidad la informática se encuentra evidentemente vinculada con
la gestión de las empresas y es por esto que es de vital importancia que exista la
auditoria informática, para analizar el desempeño y funcionamiento de los
sistemas de información, de los cuales depende la organización.
Cabe aclarar que la informática no gestiona propiamente la empresa, ayuda a la
toma de decisiones, pero no decide por sí misma.
UNIVERSIDAD NACIONAL DEL CALLAO Página 2
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
ÍNDICECAPITULO 1. CONCEPTO DE AUDITORIA DE SISTEMAS 4
1.1. CONCEPTO DE AUDITORIA DE SISTEMAS 4
1.2. CONCEPTO DE AUDITORÍA INFORMÁTICA 5
1.3. ENFOQUE DE LA AUDITORIA TRADICIONAL 7
1.4. ENFOQUE DE LA AUDITORIA MODERNA - EL AUDITOR DE SISTEMAS ASESOR GERENCIAL 7
1.5. ENFOQUE DE LA AUDITORIA INFORMÁTICA 9
CAPITULO 2. CONOCIMIENTOS GENERALES DEL CONTADOR PRINCIPIANTE 13
2.1. CONOCIMIENTO DEL COMPUTADOR 13
2.2. COMPOSICIÓN DE UN DEPARTAMENTO DE P.E.D. 18
2.3. TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR 19
2.4.CONCEPTO DE SISTEMAS AVANZADOS 22
2.5. MATRIZ DE PLANEAMIENTO 24
2.6. PLANILLA DE CONTROL INTERNO 25
CAPITULO 3. EVALUACIÓN DE LAS SEGURIDAD 27
3.1. SEGURIDAD LÓGICA Y CONFIDENCIAL 27
3.2. SEGURIDAD EN EL PERSONAL 33
3.3. SEGURIDAD FISICA 34
3.4. SEGUROS 35
3.5. SEGURIDAD EN A UTILIZACIÓN DEL EQUIPO 36
3.6. PROCEIMIENTO DE RESPALDO EN CASO DE DESASTRE 38
3.7. CONDICIONES, PROCEDIMIENTOS Y CONTROLES PARA OTORGAR SOPORTE A OTRAS INSTITUCIONES 41
CAPITULO 4. DISEÑO DE CONTROLES 42
4.1. CONTROL EN EL ORIGEN DE LAS TRANSACCIONES 43
CONCLUSIONES Y RECOMENDACIONES 45
GLOSARIO 46
UNIVERSIDAD NACIONAL DEL CALLAO Página 3
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
CAPITULO 1.
CONCEPTO DE AUDITORIA DE SISTEMAS
1.1. CONCEPTO DE AUDITORIA DE SISTEMAS
SISTEMA: Conjunto ordenado, lógico y secuencial de normas y procedimientos que
persiguen un fin determinado. Podemos hablar por ejemplo de Sistema:
Contable
Planeación
Capitalista
Operación
Educativo
Financiero
De Información, Etc.
Desde el punto de vista Administrativo.
Desde este punto de vista, cuando hablemos de Auditoria de Sistemas, nos referiremos a
los Sistemas de Información utilizados en las empresas públicas o privadas, más no al
computador, que en sí es una herramienta de los sistemas de información. Debemos
tener presente que la administración es un sistema abierto y por tanto cambiante en sus
conceptos, técnicas y que está influenciada por lo que acontece en su alrededor.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca
la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los
sistemas automáticos de procesamiento de la información, incluidos los procedimientos
no automáticos relacionados con ellos y las interfaces correspondientes; también
podemos decir que es el examen y evaluación de los procesos del área de Procesamiento
Electrónico de Datos (PED) y de la utilización de los recursos que en ellos intervienen,
para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas
computarizados en una empresa y presentar conclusiones y recomendaciones
encaminadas a corregir las deficiencias existentes y mejorarlas.
UNIVERSIDAD NACIONAL DEL CALLAO Página 4
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
Los Sistemas de Información en las organizaciones, son desarrollados con propósitos
diferentes dependiendo de las necesidades de cada una de ellas y los podemos clasificar
así:
Sistema de procesamiento de transacciones
Sistema de Automatización de oficina y de manejo de conocimiento
Sistemas de Información gerencial
Sistema de apoyo a decisiones
Sistemas expertos e inteligencia artificial
Sistema de apoyo a decisiones de grupo
Sistema de apoyo a ejecutivos
1.2. CONCEPTO DE AUDITORÍA INFORMÁTICA
El concepto de informática es más amplio que el simple uso del computador o de
procesos electrónicos. En 1977, la academia Mexicana de informática propuso la
siguiente definición: “Ciencia de los sistemas inteligentes de información”. El concepto de
informática considera como un todo el sistema de proceso electrónico, información y
computadora, y a esta última como una de sus herramientas.
La Auditoría Informática es la evaluación y verificación de las políticas, controles,
procedimientos y la seguridad en general, correspondiente al uso de los recursos de
informática por el personal de la empresa (usuarios, informática, alta dirección), a fin de
que se logre una utilización más eficiente y segura de la información que servirá para una
adecuada toma de decisiones.
UNIVERSIDAD NACIONAL DEL CALLAO Página 5
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
¿QUE ES AUDITORIA?
Hasta ahora la Auditoría, es esencialmente una metodología que permite el examen de
distintos objetos o campos auditables, en la perspectiva de emitir una opinión
independiente sobre la validez científica y/o la técnica del sistema de control que gobierna
una determinada realidad que pretende reflejar adecuadamente y/o cumple las
condiciones que le han sido prescritas.
En materia de auditoria, los desarrollos tecnológicos relevantes siempre han girado
alrededor del conocimiento contable o financiero únicamente. Sin embargo, los avances
modernos de las áreas económicas, administrativas y contables han puesto en evidencia
que no solo la contabilidad es objeto de auditoría. También son susceptibles de ser
auditados los impuestos, los procesos operativos, la informática, la acción social de las
organizaciones, el tratamiento del medio ambiente y los proyectos académicos,
económicos y sociales, entre otros.
El Auditor de Sistemas actúa sobre el área de sistemas de información, normalmente
representada por los siguientes componentes:
Desarrollo de sistemas de información
Asesoría técnica a usuarios
Servicio de procesamiento electrónico de datos
Apoyo técnico
Conocimientos de Hardware y Software
Desarrollo de Sistemas de Información
Base de datos
Redes
Manejo de personal
UNIVERSIDAD NACIONAL DEL CALLAO Página 6
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
1.3. ENFOQUE DE LA AUDITORIA TRADICIONAL
La palabra auditoría se ha empleado incorrectamente y se ha considerado como una
evaluación cuyo único fin es detectar errores y señalar fallas; por eso se ha llegado a
acuñar la frase “tiene auditoría” como sinónimo de que, desde antes de realizarse, ya se
encontraron fallas y por lo tanto se está haciendo auditoría. El concepto de auditoría es
más amplio: no solo detecta errores, sino que es un examen crítico que se realiza con
objeto de evaluar la eficacia y eficiencia de una sección o de un organismo con miras a
corregir o mejorar la forma de actuación.
Eficacia: Lograr los objetivos (gastar bien)
Eficiencia: Con el mejor uso de los recursos (gastar sabiamente)
1.4. ENFOQUE DE LA AUDITORIA MODERNA - EL AUDITOR DE SISTEMAS
ASESOR GERENCIAL
Los profesionales responsables del auditaje en ambientes computarizados, deben poseer
una sólida formación en Administración, Control interno, Informática y Auditoría.
En Administración deben manejar con habilidad y destreza las funciones básicas del
proceso administrativo, tales como: planeación, organización, dirección y control, con una
mentalidad de hombre de negocios y dentro de las modernas teorías de la Planeación
Estratégica, y la calidad total.
En la era de la informática, el auditor debe entender que su papel profesional debe ser el
de Asesor Gerencial para asegurar el éxito de la función y, en consecuencia, debe
visualizar la empresa y su futuro en forma sistémico-estructural, articulando
ordenadamente los objetivos del área informática con la misión y los objetivos de la
organización, en su conjunto.
En materia de Control Interno, el auditor informático, debe estar en capacidad de
diagnosticar su validez técnica, desde un punto de vista sistémico total. Esto quiere decir
UNIVERSIDAD NACIONAL DEL CALLAO Página 7
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
que deberá entender el control interno como sistema y no como un conjunto de controles
distribuidos de cualquier manera en las organizaciones.
El Auditor deberá analizar y evaluar la estructura conceptual del sistema de control
interno, teniendo en cuenta para ello los controles preventivos, detectivos y correctivos.
Comprometerse con una opinión objetiva e independiente, en relación con el grado de
seguridad y de confiabilidad del sistema de control vigente en el área de informática.
En esencia, un sistema de control interno, para el área de informática, comprende por lo
menos los siguientes elementos: Objetivos, políticas y presupuestos perfectamente
definido; estructura de organización sólida; personal competente; procedimientos
operativos y de control, efectivos y documentados; sistema de información confiable y
oportuno; sistema de seguridad de todos los recursos; sistema de auditoría efectivo.
Como puede observarse, la función de Auditoría es un elemento de control interno, solo
que goza de un privilegio muy especial y es el de monitorear permanentemente los otros
controles y operaciones del ente auditado.
La temática del concepto de control interno, exige del auditor una formación avanzada en
administración de recursos informáticos, sobre la base de que no se puede diagnosticar
una determinada realidad sin estar en condiciones de conocerla y entenderla plenamente.
En informática, el auditor debe conocer por lo menos, cómo funcionan los computadores,
cuáles son sus reales capacidades y limitaciones. Las marcas, las potencialidades y la
calidad de los componentes de hardware y de software. Los ambientes de procesamiento,
los sistemas operacionales, los sistemas de seguridad, los riesgos posibles, los
principales lenguajes de programación, las tecnologías de almacenamiento y la
metodología para la generación y mantenimiento de sistemas de información. En general
el Auditor de Sistemas debe estar al día en los avances científico-tecnológicos sobre la
materia.
En el campo de la auditoría, el auditor informático, debe conocer y manejar
deseablemente la teoría básica de la auditoría, en términos de conceptos, filosofía, ética,
UNIVERSIDAD NACIONAL DEL CALLAO Página 8
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
taxonomía, normatividad, técnicas, procedimientos, metodología, papeles de trabajo e
informes.
De otra parte, el auditor informático, debe ser una persona de muy buenas relaciones
humanas, respetuoso de la opinión de los demás, analítico, crítico y buen oidor. Amable,
objetivo, de espíritu científico, con habilidad y capacidad para trabajar bajo presión, con
un amplio sentido de responsabilidad social y por sobre todo, que goce de un
comportamiento ético a toda prueba.
TIPOS DE AUDITORIA DESDE EL PUNTO DE VISTA DEL CLIENTE
Auditoría Interna: Obedece a la necesidad de la administración de asegurar el resultado
económico planeado.
Auditoría Externa: Satisface la necesidad de información de terceros.
Revisoría Fiscal: Obedece básicamente a exigencias legales.
1.5. ENFOQUES DE LA AUDITORIA INFORMATICA
AUDITORIA ALREDEDOR DEL COMPUTADOR
En este enfoque de auditoría, los programas y los archivos de datos no se auditan.
La auditoría alrededor del computador concentra sus esfuerzos en la entrada de datos y
en la salida de información. Es el más cómodo para los auditores de sistemas, por cuanto
únicamente se verifica la efectividad del sistema de control interno en el ambiente externo
de la máquina. Naturalmente que se examinan los controles desde el origen de los datos
para protegerlos de cualquier tipo de riesgo que atente contra la integridad, completitud,
exactitud y legalidad.
UNIVERSIDAD NACIONAL DEL CALLAO Página 9
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
La auditoría alrededor del computador no es tan simple como aparentemente puede
presentarse, pues tiene objetivos muy importantes como:
1. Verificar la existencia de una adecuada segregación funcional.
2. Comprobar la eficiencia de los controles sobre seguridades físicas y lógicas de
los datos.
3. Asegurarse de la existencia de controles dirigidos a que todos los datos
enviados a proceso estén autorizados.
4. Comprobar la existencia de controles para asegurar que todos los datos
enviados sean procesados.
5. Cerciorarse que los procesos se hacen con exactitud.
6. Comprobar que los datos sean sometidos a validación antes de ordenar su
proceso.
7. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la
posterior realimentación de los datos corregidos al proceso.
8. Examinar los controles de salida de la información para asegurar que se eviten
los riesgos entre sistemas y el usuario.
9. Verificar la satisfacción del usuario. En materia de los informes recibidos.
10. Comprobar la existencia y efectividad de un plan de contingencias, para
asegurar la continuidad de los procesos y la recuperación de los datos en caso
de desastres.
Se puede apreciar la ambición de los objetivos planteados, pues solamente faltarían
objetivos relacionados con el examen de los archivos y los programas, lo cual es parte de
otro enfoque.
Informe de esta Auditoría: deberá redactarse en forma sencilla y ordenada, haciendo
énfasis en los riesgos más significativos e indicando el camino a seguir mediante
recomendaciones económicas y operativamente posibles.
UNIVERSIDAD NACIONAL DEL CALLAO Página 10
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
Pasos que se deben seguir en la auditoría:
- Metodología de la auditoría.
- Objetivos de la auditoría.
- Evaluación del sistema de control interno.
- Procedimientos de auditoría.
- Papeles de trabajo.
- Deficiencias de control interno.
- Informe de auditoría.
AUDITORIA A TRAVÉS DEL COMPUTADOR
Este enfoque está orientado a examinar y evaluar los recursos del software, y surge como
complemento del enfoque de auditoría alrededor del computador, en el sentido de que su
acción va dirigida a evaluar el sistema de controles diseñados para minimizar los fraudes
y los errores que normalmente tienen origen en los programas.
Este enfoque es más exigente que el anterior, por cuanto es necesario saber con cierto
rigor, lenguajes de programación o desarrollo de sistemas en general, con el objeto de
facilitar el proceso de auditaje.
Objetivos de esta auditoría
1. Asegurar que los programas procesan los datos, de acuerdo con las
necesidades del usuario o dentro de los parámetros de precisión previstos.
2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los
programas.
3. Verificar que los programadores modifiquen los programas solamente en los
aspectos autorizados.
4. Comprobar que los programas utilizados en producción son los debidamente
autorizados por el administrador.
5. Verificar la existencia de controles eficientes para evitar que los programas
sean modificados con fines ilícitos o que se utilicen programas no autorizados
para los procesos corrientes.
6. Cerciorarse que todos los datos son sometidos a validación antes de ordenar
su proceso correspondiente.
UNIVERSIDAD NACIONAL DEL CALLAO Página 11
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
Informe de Auditoría: deberá orientarse a opinar sobre la validez de los controles, en
este caso de software, para proteger los datos en su proceso de conversión en
información.
AUDITORIA CON EL COMPUTADOR
Este enfoque va dirigido especialmente, al examen y evaluación de los archivos de datos
en medios magnéticos, con el auxilio del computador y de software de auditoría
generalizado y /o a la medida. Este enfoque es relativamente completo para verificar la
existencia, la integridad y la exactitud de los datos, en grandes volúmenes de
transacciones.
La auditoría con el computador es relativamente fácil de desarrollar porque los programas
de auditoría vienen documentados de tal manera que se convierten en instrumentos de
sencilla aplicación. Normalmente son paquetes que se aprenden a manejar en cursos
cortos y sin avanzados conocimientos de informática. Los paquetes de auditoría permiten
desarrollar operaciones y prueba, tales como:
1. Re cálculos y verificación de información, como por ejemplo, relaciones sobre
nómina, montos de depreciación y acumulación de intereses, entre otros.
2. Demostración gráfica de datos seleccionados.
3. Selección de muestras estadísticas.
4. Preparación de análisis de cartera por antigüedad.
Informe de Auditoría: Este informe deberá versar sobre la confiabilidad del sistema de
control interno para proteger los datos sometidos a proceso y la información contenida en
los archivos maestros.
Los tres (3) enfoque de auditoría vistos, son complementarios, pues ninguno de los tres,
es suficiente para auditar aplicaciones en funcionamiento.
UNIVERSIDAD NACIONAL DEL CALLAO Página 12
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
CAPÍTULO 2. CONOCIMIENTOS GENERALES DEL CONTADOR
PRINCIPIANTE
1.1. CONOCIMIENTO DEL COMPUTADOR
TARJETA MADRE (MAIN BOARD)
Tarjeta madre, placa base o motherboard es una tarjeta de circuito impreso que permite la
integración de todos los componentes de una computadora. Para esto, cuenta con
un software básico conocido como BIOS, que le permite cumplir con sus funciones.
Término en inglés que significa ferretería, se emplea con una fina y poco disimulada
ironía, para referirse a los elementos tangibles del equipo, como la tarjeta madre, la
memoria, el disco duro y otros dispositivos de almacenamiento.
SOFTWARE.
Conjunto de instrucciones que ponen en comunicación los diferentes dispositivos del PC y
le permiten realizar cualquier tarea. Ej. El sistema operativo, los programas, los archivos
de configuración, etc.
UNIVERSIDAD NACIONAL DEL CALLAO Página 13
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
UNIDAD CENTRAL DE PROCESO.
Llamada CPU. Tradicionalmente se ha dicho que la CPU engloba las partes del hardware
de mayor importancia, como la tarjeta madre, el chip, la memoria o el disco duro en el que
se almacenan los datos. Realmente la CPU (conocida por sus siglas en inglés, CPU), es
un circuito microscópico que interpreta y ejecuta instrucciones. La CPU se ocupa del
control y el proceso de datos en las computadoras. Generalmente, la CPU es un
microprocesador fabricado en un chip, un único trozo de silicio que contiene millones de
componentes electrónicos. El microprocesador de la CPU está formado por una unidad
aritmético-lógica que realiza cálculos y comparaciones, y toma decisiones lógicas por una
serie de registros donde se almacena información temporalmente, y por una unidad de
control que interpreta y ejecuta las instrucciones. Para aceptar órdenes del usuario,
acceder a los datos y presentar los resultados, la CPU se comunica a través de un
conjunto de circuitos o conexiones llamado bus. El bus conecta la CPU a los dispositivos
de almacenamiento (por ejemplo, un disco duro), los dispositivos de entrada (por ejemplo,
un teclado o un mouse) y los dispositivos de salida (por ejemplo, un monitor o una
impresora).
RAM (Random Access memory).
Chip de almacenamiento temporal. Entre más RAM los programas trabajan a mayor
velocidad. Su unidad de medida es el Byte y su capacidad de almacenamiento actual está
dada en mega bytes (MB). La memoria RAM almacena instrucciones, variables y otros
parámetros de los programas que el usuario haya activado. Su contenido se pierde
cuando el PC es apagado.
ROM BIOS (Read only memory).
Chip que almacena en forma permanente instrucciones y datos del PC que son solo de
lectura, necesarios para activar el sistema operativo y reconocer los periféricos
conectados al sistema.
MEMORIA VIRTUAL.
Truco tecnológico que permite al PC tomar parte del disco duro como prolongación de la
RAM. Ayuda a salir del paso en una situación apurada, pero no puede considerarse como
una panacea. Al tener que leer y escribir en el disco duro, con un acceso mucho más
lento, la ejecución de los programas se resiente, y acaba siendo considerablemente lenta.
UNIVERSIDAD NACIONAL DEL CALLAO Página 14
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
MICROPROCESADOR.
Es el cerebro del PC. Chip que ejecuta las instrucciones y procesa los datos con los que
trabaja el computador. Su unidad de medida es el Hertz y su capacidad de
almacenamiento actual está dada en mega Hertz (MHz). El intenso ritmo de investigación
ha conseguido duplicar la capacidad de estos chips cada año y medio, aproximadamente.
(Ver CPU)
TARJETAS DE EXPANSION.
Con chips y otros componentes electrónicos que sirven para ampliar las capacidades del
PC o para controlar algunos periféricos. Estas tarjetas se instalan en ranuras de
expansión.
RANURAS DE EXPANSION
Comunicadas con el procesador a través del BUS. Permiten la inserción de chips de
memoria, aceleradoras gráficas, tarjetas de sonido o dispositivos de red.
BUS Avenida electrónica por medio de la cual se comunica el procesador, la memoria, los
periféricos y otros componentes del PC. Está formado por líneas de circuito paralelas que
transportan datos e instrucciones entre los dispositivos instalados en la tarjeta madre. De
su capacidad para asimilar el flujo de información depende en gran medida el rendimiento
del sistema.
BUS LOCAL
Autopista de alta capacidad y velocidad que comunica al procesador con algunos
dispositivos sin tener que usar el BUS principal.
TARJETA MADRE.
Plástica sobre la que están montados los principales componentes del PC: Procesador,
RAM, ROM, Ranuras de expansión, Bus. Si se escoge una tarjeta madre inadecuada para
el equipo, probablemente se producirá el efecto de cuello de botella: el chip central del PC
o sus periféricos llegarán a trabajar con un volumen de datos superior al que los circuitos
de la placa pueden soportar, los datos quedarían atrapados en un trancón y el PC
procesaría la información a una velocidad inferior al límite para el cual ha sido diseñado.
UNIVERSIDAD NACIONAL DEL CALLAO Página 15
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
TARJETA DE SONIDO.
Da al PC la capacidad de reproducir sonido, grabar o utilizar programas de
reconocimiento de voz. Los PC que no son multimedia, no tienen Tarjeta de Sonido.
TARJETA GRÁFICA. De aquí parte la imagen que se refleja en el monitor y de ella
depende el grado de fineza de la imagen resultante. Se complementa con un acelerador
gráfico.
DISCO DURO.
Almacena información y programas de computador de modo estable, su capacidad se
mide en MB o GB.
UNIDAD DE DISQUETE.
Almacena y permite leer información. 1.44 MB
UNIDAD DE CD-ROM.
Disco de metal recubierto por una capa plástica para almacenar datos. Su sistema de
lectura es por láser: un haz de luz recorre la superficie del disco, mientras que otro
dispositivo se encarga de analizar el reflejo del láser sobre el soporte. Los computadores
multimedia (que pueden manejar video, sonido y animaciones) usan esta unidad para leer
CD-ROM. 650-700 MB (486 disquetes), que pueden almacenar video, sonido, animación,
texto, gráfica, etc. Actualmente se consiguen unidades de grabación de CD.
DVD (Digital Video Disc).
Supera con creces la capacidad y rapidez del CD-ROM. Actualmente superan los 4 GB de
capacidad (7 CD) y usados en cinematografía por su calidad de imagen, sonido digital de
última generación y diálogos locutados en diferentes idiomas.
SISTEMAS DE COMPRESIÓN.
Apoyados por estudiadas rutinas, logran reducir el espacio de memoria necesario para
almacenar un documento. Existen dos tipos de compresores: destructivo y no destructivo.
La diferencia principal entre ambos sistemas hace referencia a la pérdida de calidad en el
archivo resultante, después de la compresión.
UNIVERSIDAD NACIONAL DEL CALLAO Página 16
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
CHIP
Pieza de silicio que contiene millones de componentes electrónicos (transistores y
resistores).
SILICIO (SILICON)
Material que se encuentra en estado natural en la arena y en las rocas.
TRANSISTOR
Dispositivo semiconductor que funciona como una especie de PUERTA que se abre o
cierra al paso de impulsos eléctricos. Un CHIP como el Pentium, agrupa + 3.3 millones de
transistores en una superficie de menos de 2 Cm cuadrados.
BYTE
Es una medida de la capacidad de almacenamiento de datos del PC. 1 byte equivale a un
carácter. Los textos, dibujos y sonidos están representados por Bytes.
PC computador personal.
Son el tipo de computadores más difundidos. Por unidades vendidas representan + del
90% del mercado.
PERIFÉRICOS
Son todos los dispositivos que se conectan al computador: Ratón, Teclado, Impresora,
Monitor, Audífonos, MODEM, Unidad de CD, etc.
UNIVERSIDAD NACIONAL DEL CALLAO Página 17
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
2.2. COMPOSICIÓN DE UN DEPARTAMENTO DE PROCESAMIENTO
ELECTRÓNICO DE DATOS P.E.D.
Debe existir un organigrama y una asignación clara de responsabilidades. Aunque los
cargos varían según el centro de procesos, las descripciones siguientes, abreviadas y
generales de puestos de trabajo, cubren la mayor parte de los puestos de proceso de
datos en los niveles que no sean de dirección.
ORGANIGRAMA CON UN GRADO DE DETALLE MÍNIMO:
CARGO DESCRIPCIÓN
Director del PED Como coordinador del Depto. De PED, le corresponde:
Ejecutar la autorización de ampliaciones o cambio en los sistemas principales.
Revisión, posterior a la instalación, del costo y eficacia reales de los proyectos de
sistemas.
Revisión de los proyectos de organización y control del PED.
Revisión del rendimiento.
O UN DIAGRAMA MÁS ELABORADO COMO:
CARGO DESCRIPCIÓN
Director del PED
Su responsabilidad consiste en presentar cada ampliación o cambio principal con una
propuesta, para ser evaluada desde el punto de vista del Costo - Beneficio que
ocasionará, ya que la adquisición o introducción de mejoras, equivale a una gran inversión
en la ampliación del Activo Fijo y debe estudiarse minuciosamente antes de comprometer
recursos en el proyecto.
Analista de Sistemas Analiza las necesidades de información, evalúa el sistema existente
y diseña procedimientos de procesos de datos nuevos o mejorados. Describe el sistema y
prepara las especificaciones que sirven de guía al programador.
UNIVERSIDAD NACIONAL DEL CALLAO Página 18
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
Programador Hace diagramas de la lógica de los programas del PC, especificados por el
sistema diseñado por el analista de Sistemas. Codifica la lógica para su traducción al
lenguaje del PC. Elimina errores del programa resultante. Prepara la documentación.
Operador del PC Opera el PC de acuerdo con los procedimientos de instalación y los
específicos para cada programa descrito en las instrucciones del funcionamiento del PC.
Operador de Textos Prepara información para su proceso en el PC, tecleando en un
dispositivo que lo traduce a lenguaje de máquina.
2.3. TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR - TAAC.
a. OPERACIONES EN PARALELO: Confrontación de resultados,
mediante el proceso de los mismos datos reales, entre un sistema
nuevo que sustituye a uno ya auditado. Los programas y
procedimientos actuales no se abandonarán hasta cuando los nuevos
arrojen los resultados esperados.
b. EVALUACIÓN DE UN SISTEMA CON DATOS DE PRUEBA:
Comúnmente llamada lotes de prueba. Se ensaya la aplicación con
datos de prueba contra resultados obtenidos inicialmente en las
pruebas del programa para detectar resultados no válidos. Los datos de
prueba deben representar la aplicación que se examina con todas las
posibles combinaciones de transacciones que se lleven a cabo en
situaciones reales. Esta técnica se utiliza en la fase de prueba del
programa, antes de ser enviada a producción y cuando se llevan a cabo
modificaciones a un programa, por tanto, los programas utilizados para
digitar los datos de prueba deben ser los mismos que se encuentran en
producción y que se utilizan para procesar los movimientos diarios.
Cuando esta técnica se mantiene en el tiempo para ser, consistente y
cotidianamente, aplicada al sistema en producción, toma el nombre de
EVALUACION DEL SISTEMA DEL CASO BASE - ESCB, en tal caso, la
prueba es más completa y requiere de un alto grado de cooperación en
tres usuarios, auditores y personal de sistemas.
UNIVERSIDAD NACIONAL DEL CALLAO Página 19
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
c. PRUEBAS INTEGRALES: Permite examinar el proceso de la
aplicación en su ambiente normal de producción, pues se procesan
datos de prueba en la misma aplicación en producción junto con los
datos reales, para lo cual se crea una compañía de prueba con fines de
auditoría dentro de la aplicación, lo cual permite disponer de los mismos
archivos maestros. Los resultados de la prueba se comparan contra
resultados pre calculados o predeterminados para examinar la lógica y
precisión de los procesos. Se presenta un proceso de información
simultáneo para comparar contra resultados predeterminados.
d. SIMULACIÓN: Se desarrolla un programa de aplicación para
determinada prueba y se compara el resultado con los arrojados por la
aplicación real.
e. REVISIONES DE ACCESO: Consiste en conservar un registro
computarizado de todos los accesos a determinados archivos
(información del usuario y terminal) Software de Auditoría.
f. REGISTROS EXTENDIDOS: Agregar un campo de control a un registro
- Software de Auditoría.
g. TOTALES ALEATORIOS DE CIERTOS PROGRAMAS: Consiste en
obtener totales de datos en alguna parte del sistema, para verificar su
exactitud en forma parcial - Software de Auditoría.
h. SELECCIÓN DE DETERMINADO TIPO DE TRANSACCIONES COMO
AUXILIAR EN EL ANÁLISIS DE UN ARCHIVO HISTÓRICO: Con el fin
de analizar en forma parcial el archivo histórico de un sistema, el cual
sería casi imposible verificar en forma total - Software de Auditoría.
i. RESULTADOS DE CIERTOS CÁLCULOS PARA
COMPARACIONES POSTERIORES: Con el fin de comparar en el
futuro los totales en diferentes fechas - Software de Auditoría.
La TAAC anteriormente descritas, ayudan al auditor a establecer una metodología para la
revisión de los sistemas de aplicación de una institución, empleando como herramienta el
mismo equipo de cómputo.
UNIVERSIDAD NACIONAL DEL CALLAO Página 20
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
El computador le facilita al auditor realizar tareas como:
a. Trasladar los datos del sistema a un ambiente de control del auditor.
b. Llevar a cabo la selección de datos.
c. Verificar la exactitud de los datos.
d. Hacer muestreo estadístico.
e. Visualización de datos.
f. Ordenamiento de la información.
g. Producción de reportes e histogramas.
Lo anterior implica una metodología que garantiza una revisión más extensa e
independiente, que podría consistir en los siguientes pasos:
1. Selección del sistema de información a revisar.
2. Obtención de la documentación de los archivos que incluye: Nombre del
archivo y descripción, nombre de los campos y descripción (longitud, tipo),
codificación empleada, etc.
3. Trasladar el archivo de datos a un PC con gran capacidad de almacenamiento.
4. Llevar a cabo con un software de auditoría las verificaciones que se mencionan
anteriormente.
5. Participación del Auditor en el desarrollo de sistemas.
En resumen: El Auditor debe tener la habilidad para revisar y probar la integridad de los
sistemas y sus actividades principales serán:
a. Verificar los controles y procedimientos de autorización de la utilización
y captura de los datos, su proceso y salida de información, así como los
programas que las generan. Es importante revisar los procedimientos
para el mantenimiento de los programas y las modificaciones a los
sistemas.
b. Revisar las transacciones realizadas para asegurarse de que los
archivos reflejan la situación actual.
UNIVERSIDAD NACIONAL DEL CALLAO Página 21
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
c. Revisar las transacciones y los archivos para detectar posibles
desviaciones de las normas establecidas.
d. Asegurarse de que las aplicaciones cumplan con los objetivos definidos
en la planeación.
e. Revisar todos los cambios hechos a los programas y sistemas para
verificar la integridad de las aplicaciones.
2.4. CONCEPTO DE SISTEMAS AVANZADOS
SISTEMAS EN LÍNEA
Las operaciones son procesadas al momento de registrarlas, en vez de acumularla en
lotes. Los datos pueden ser registrados en una terminal remota de entrada conectada a la
unidad central de proceso por líneas de comunicación. Se refiere a un sistema operativo
con terminales, sin implicar su modo de operación. Un sistema en línea acepta y
almacena datos desde varias terminales, pero no necesariamente implica la actualización
de archivo maestro.
SISTEMA EN TIEMPO REAL
Se refiere al tiempo requerido para que una acción, actividad o decisión tenga lugar. El
término se usa para referirse a sistemas de respuestas rápidas en los cuales los archivos
son actualizados tan pronto como las operaciones son registradas y en los cuales los
datos de salida son proporcionados inmediatamente al ser solicitados. Los sistemas en
tiempo real, son siempre en línea.
Un sistema de tiempo real es aquel en el que para que las operaciones computacionales
estén correctas no depende solo de que la lógica e implementación de los programas
computacionales sea correcto, sino también en el tiempo en el que dicha operación
entregó su resultado. Si las restricciones de tiempo no son respetadas el sistema se dice
que ha fallado; Por lo tanto, es esencial que las restricciones de tiempo en los sistemas
sean cumplidas. El garantizar el comportamiento en el tiempo requerido necesita que el
sistema sea predecible.
UNIVERSIDAD NACIONAL DEL CALLAO Página 22
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
SISTEMAS INTEGRADOS
Diseñados para minimizar las operaciones y los registros duplicados. El sistema se diseña
de tal manera, que los registros para las funciones diferentes con información similar,
sean combinados en un solo registro que los incluya a todos. Algunas características son:
1. Una vez iniciado el sistema, un solo documento fuente, con la descripción de la
operación o proporcionando otros datos inicia la actualización de todos los
registros asociados con la operación o con la partida de datos.
2. Las partes del sistema están interrelacionadas y se eliminan los registros
duplicados.
Un Sistema Integrado, no necesita ser un sistema en Tiempo Real. Un sistema puede
estar completo o parcialmente integrado.
BASES DE DATOS
Es cualquier conjunto de datos organizados para su almacenamiento en la memoria de un
ordenador o computadora, diseñado para facilitar su mantenimiento y acceso de una
forma estándar. La información se organiza en campos y registros. Un campo se refiere a
un tipo o atributo de información, y un registro, a toda la información sobre un individuo.
Por ejemplo, en una base de datos que almacene información de tipo agenda, un campo
será el nombre, otro el teléfono, otro la dirección..., mientras que un registro viene a ser
como la ficha en la que se recogen todos los valores de los distintos campos para un
individuo, esto es, su nombre, teléfono, dirección... Los datos pueden aparecer en forma
de texto, números, gráficos, sonido o vídeo. Normalmente las bases de datos presentan la
posibilidad de consultar datos, bien los de un registro o los de una serie de registros que
cumplan una condición.
PROCESO DE DATOS DISTRIBUIDOS
Hace mención a una red de ordenadores locales; es decir, que los datos están
distribuidos en los PC que conforman la red. A menudo se trata de mini-ordenadores
conectados en Línea a uno central. Los sistemas distribuidos pueden consistir en diversos
servidores que alojen datos, de forma que el cliente no tiene por qué conocer
exactamente dónde se encuentran, simplemente hace una petición de servicio, y es el
sistema servidor el encargado de localizarlos y proporcionar el resultado de la consulta al
usuario que hizo la petición
UNIVERSIDAD NACIONAL DEL CALLAO Página 23
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
SISTEMAS EXPERTOS
Es un sistema informático que incorpora en forma operativa el conocimiento de una
persona experimentada, de forma que es capaz tanto de responder como esa persona,
como de explicar y justificar sus respuestas. Actúan como ayudantes inteligentes de los
expertos humanos y como consultores cuando no se tiene ninguna otra posibilidad de
acceder a la experiencia y al conocimiento. Este sistema adopta decisiones o resuelve
problemas de un determinado campo, como las finanzas o la medicina, utilizando los
conocimientos y las reglas analíticas definidas por los expertos en dicho campo. Los
expertos solucionan los problemas utilizando una combinación de conocimientos basados
en hechos y en su capacidad de razonamiento. En los sistemas expertos, estos dos
elementos básicos están contenidos en dos componentes separados, aunque
relacionados: una base de conocimientos y una máquina de deducción, o de inferencia.
La base de conocimientos proporciona hechos objetivos y reglas sobre el tema, mientras
que la máquina de deducción proporciona la capacidad de razonamiento que permite al
sistema experto extraer conclusiones. Los sistemas expertos facilitan también
herramientas adicionales en forma de interfaces de usuario y los mecanismos de
explicación. Las interfaces de usuario, al igual que en cualquier otra aplicación, permiten
al usuario formular consultas, proporcionar información e interactuar de otras formas con
el sistema. Los mecanismos de explicación, la parte más fascinante de los sistemas
expertos, permiten a los sistemas explicar o justificar sus conclusiones, y también
posibilitan a los programadores verificar el funcionamiento de los propios sistemas.
2.5. MATRIZ DE PLANEACIÓN
Es un documento que sirve de guía para seguir una secuencia lógica en la realización de
la auditoría. En este documento, se informa el personal a cargo de cada labor de
auditoría, las pruebas a realizar, los procedimientos a seguir, el tiempo estimado e
invertido, el riesgo y la referencia a papeles de trabajo con el fin de permitir el seguimiento
y control del desarrollo de la auditoría. (Ver modelo propuesto).
UNIVERSIDAD NACIONAL DEL CALLAO Página 24
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
2.6. PLANILLA DE CONTROL INTERNO
Es un informe de las situaciones que se presentan en la organización que se deben
corregir, sustentando las apreciaciones y recomendando las acciones a tomar para
encausarlas o corregirlas. Su contenido recomendado es el siguiente:
Planilla de análisis de control interno
Nombre de la compañía Fecha:
Deficiencia:
Consiste en identificar y transcribir, en forma clara y concreta, la deficiencia de control
interno detectada al interior de la organización; en nuestro caso, al interior de cualquiera
de los procesos del sistema de información que este siendo objeto de auditoría.
Sustentación:
Consiste en redactar, en forma clara e inequívoca, la evidencia que sustenta la existencia
de la deficiencia sobre la cual el auditor se apoya para identificar su materialización. Esta
sustentación debe ser:
o *Relevante - Lógica
o *Fiable - Válida, Objetiva
o *Suficiente - Cuantitativa
o *Adecuada - Cualitativa
Firma Auditor: _____________________
Recomendación:
Es la propuesta del auditor tendiente a contrarrestar la deficiencia de control interno. Debe
ser coherente con la deficiencia detectada consultado la relación costo-beneficio.
Para verificar lo acertado de la recomendación, podemos responder las siguientes
preguntas:
UNIVERSIDAD NACIONAL DEL CALLAO Página 25
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
1. ¿La recomendación es coherente con la deficiencia?
2. ¿La recomendación aplica al problema?
3. La recomendación es suficiente?; ¿con su aplicación la deficiencia no se vuelve a
presentar?
Beneficio:
Se debe indicar cuál es el beneficio que se obtendrá con la implantación de la
recomendación, el cual debe ser representativo, tangible y atractivo para la
administración.
Compromiso:
Se debe obtener el compromiso de parte del responsable del área o de la administración
en el sentido de que se acoge la recomendación para implantarla, definiendo fecha en
que se hará y firma, de estos, en señal de compromiso y ejecución operativa.
Firma responsable: __________________
UNIVERSIDAD NACIONAL DEL CALLAO Página 26
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
CAPITULO 3. EVALUACIÓN DE LA SEGURIDAD
3.1. SEGURIDAD LÓGICA Y CONFIDENCIAL
La seguridad Lógica y Confidencial hace un gran énfasis en la conservación y protección
de la información y valora esa información como el activo más importante de la empresa y
por eso tiene en cuenta que:
La computadora es un instrumento que almacena información y por tanto:
o Es confidencial
o Puede ser mal utilizada
o Se puede prestar para Fraudes
o Se pueden presentar sabotajes que provoquen destrucción de información
La información puede ser de gran importancia y el no tenerla puede provocar
atrasos sumamente costosos.
o Cuanto tiempo pasaría para que una organización nueva estuviese en
operación?
o El centro de cómputo puede ser el activo + valioso y al también el +
vulnerable.
o El 95% de los delitos por computadora han sido descubiertos por
casualidad y no se divulgan para no dar ideas a personas mal
intencionadas.
o Los fraudes, falsificaciones y venta de información hechos a la
computadora o por medio de ellas es una constante.
o El incremento de los fraudes por computadora crece más rápido que los
sistemas de seguridad.
o Los procedimientos de Auditoría y seguridad son responsabilidad del
Usuario y del Depto. De Auditoría Interna.
Al auditar los sistemas, se debe tener en cuenta que no se tengan copias piratas y que al
conectarnos en RED no exista posibilidad de transmisión de VIRUS.
UNIVERSIDAD NACIONAL DEL CALLAO Página 27
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
MOTIVO DE LOS DELITOS POR COMPUTADORA
- Beneficio Personal
- Beneficios para la organización
- Síndrome de Robin Hood (Para beneficiar a otras personas)
- Jugando a jugar
- Fácil desfalcar
- El Depto. Es deshonesto
- Odio a la organización (Revancha)
- El individuo tiene problemas financieros
- La computadora no tiene sentimientos ni delata
- Equivocación de ego (Deseo de sobresalir en alguna forma)
- Mentalidad turbada
FACTORES QUE PERMITEN EL INCREMENTO DE DELITOS POR PC.
1. Aumento del número de personas que estudia computación
2. Aumento del número de empleados con acceso a los equipos
3. Facilidad en el uso de los equipos de computo
4. Incremento en la concentración del # de aplicaciones, y de la información
Estos factores son el objetivo del centro de cómputo, pero también constituye un
incremento del riesgo del delito.
El uso inadecuado del computador empieza con la utilización del tiempo de máquina para
usos ajenos al de la organización, la copia de programas para fines comerciales, el
acceso vía telefónica para copiar o modificar datos con fines fraudulentos.
UNIVERSIDAD NACIONAL DEL CALLAO Página 28
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
Los delitos pueden ser no intencionales. Ejemplos:
Una compañía de publicidad por correo. ¿Cuánto podría costarle que la
competencia adquiriera su lista de correo o que la información sea cambiada o
dañada?
Una Cía. De venta puerta a puerta, le sustrajeron la lista de clientes, la cual fue
vendida a la competencia; la Cía. Estimó la perdida en ventas en $ 7.062.00.
Actualmente las Cías. Tienen grandes dispositivos de seguridad física de las
computadoras; lo grave, es que se tiene la idea que los sistemas no pueden se violados si
no se entra a la sala de computo, olvidándose del uso de terminales y de sistemas
remotos de teleproceso.
Se piensa como en el caso de Incendio o robo, que “eso no me puede suceder a mí” o
“Es poco probable que suceda aquí”
Algunos gerentes creen que las computadoras y sus programas son tan complejos, que
nadie fuera de la Cía. Los va a entender y no les van a servir; pero existe gran número de
personas que pueden captar la información de un sistema y hacer de ella su segundo
ingreso.
El incremento en los Fraudes, ha ocasionado el incremento en la seguridad Física y
Lógica con la desventaja que la seguridad Lógica requiere mucho recurso de computador.
Lo ideal es obtener la seguridad adecuada, de acuerdo a la seguridad requerida con el
menor costo posible.
Se debe tener en cuenta la posibilidad de Fraude cometida por los empleados en el
desarrollo de sus funciones. A) el más común es en el desarrollo de programas, en el cual
se pueden insertar rutinas con fines dañinos (borrar información, beneficio personal-
nómina, robar información, venganza, etc.), de ahí la necesidad de tener los programas
fuente y/o debidamente documentados.
UNIVERSIDAD NACIONAL DEL CALLAO Página 29
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
Peligroso no tener los programas documentados, porque se crea dependencia con
aquellos empleados que concentran en su memoria toda la información referente a la
construcción, mantenimiento y reformas de los programas.
La seguridad empieza con la simple clave de acceso (password), hasta sistemas
complicados, pero debe evaluarse que entre + complicados los dispositivos de seguridad,
resultan + costosos; por tanto, se debe mantener una adecuada relación de seguridad-
costo en los sistemas de información.
Un sistema integral de seguridad debe comprender:
1. Elementos administrativos
2. Definición de una política de seguridad
3. Organización y definición de responsabilidades
4. Seguridad física y contra catástrofes (incendio, terremoto, etc.)
5. Prácticas de seguridad del personal
6. Pólizas de seguros
7. Elementos técnicos y procedimientos
8. Sistemas de seguridad de equipos y de sistemas, incluyendo redes y
terminales
9. Aplicación de los sistemas de seguridad incluyendo datos y archivos
10. El papel de los Auditores tanto interno como externo
11. Planeación de programas de desastre y su prueba. Los accidentes pueden
surgir por mal manejo de la Admón., por negligencia o por ataques
intencionales hechos por ladrones, fraudes, sabotajes o por situaciones propias
de la Cía. Ej. huelgas
El poder trabajar con la posibilidad de un desastre debe ser algo común, debe planearse
como evitarlo y qué hacer cuando ocurra.
Se debe evaluar el riesgo que pueda tener el daño en las instalaciones y/o en las
aplicaciones, con gran impacto en la Cía. y/o en la comunidad si el servicio se interrumpe
por cierto período; otras pueden fácilmente continuar sin afectar fuertemente la Cía. Por
ejemplo por medio de métodos manuales.
UNIVERSIDAD NACIONAL DEL CALLAO Página 30
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
Para establecer la relación costo/beneficio entre el costo por pérdida de información y el
costo de un sistema de seguridad debemos tener en cuenta algunos puntos como:
1. Clasificar la aplicación en términos de riesgo (alto, medio, bajo)
2. Identificar aplicaciones con alto riesgo
3. Impacto en la suspensión de aplicaciones con alto riesgo
4. Medidas de seguridad necesarias acorde a la seguridad requerida
5. Justificar el costo de implantar las medidas de seguridad
IDENTIFICACIÓN DE LAS APLICACIONES DE ALTO RIESGO Y CLASIFICACIÓN
DEL RIESGO
Para esto debemos preguntarnos:
1. ¿Qué sucedería si no se puede usar el sistema?
¿Se puede trabajar normalmente? Si la respuesta es No, entonces podemos
concluir que la aplicación es de alto riesgo.
2. ¿Qué implicaciones tiene el que no se obtenga el sistema y cuánto tiempo
podríamos estar sin utilizarlo? Unos minutos?, un día? Una semana?
3. ¿Existe un procedimiento alterno y qué problemas ocasionaría?, si existe,
manual, datos telefónicos, procesar en otro sistema; no existe. Ej. Reserva de
tiquetes por las redes y bancos de datos, retraso e ineficiencia en los
despachos de vuelos.
4. ¿Qué se ha hecho para un caso de emergencia? Sistemas paralelos, sistemas
duplicados en áreas críticas (aires acondicionados, discos, etc.), sistemas de
energía no interrumpible. Ej. Elaborar la NOMINA en forma manual o pagarla
con la de la quincena anterior.
Una vez definido el grado de riesgo (alto, medio, bajo), se debe elaborar una lista de
medidas preventivas a tomar y las correctivas en caso de desastre señalando prioridades.
Hay que tener mucho cuidado con la información que sale de la oficina, con su utilización
y que sea borrada al momento de dejar la instalación de respaldo.
UNIVERSIDAD NACIONAL DEL CALLAO Página 31
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
LOS PLANES DE SEGURIDAD DEBEN ASEGURAR:
1. La integridad y exactitud de los datos
2. Identificar la información confidencial, de uso exclusivo y la delicada
3. Proteger y asegurar los activos de desastres provocados por la mano del
hombre y de actos abiertamente hostiles
4. Asegurar la capacidad de la organización para sobrevivir accidentes
5. Proteger a los empleados contra tentaciones o sospechas innecesarias
6. Proteger a la Administración contra cargos de imprudencia
CLASIFICACIÓN DE LA APLICACIÓN EN TÉRMINOS DE RIESGO
1. Clasificar los datos, archivos y programas con información confidencial, con un
alto valor en el mercado de competencia de una Cía.
2. Clasificar la información de difícil recuperación
3. Identificar la información con un alto costo financiero en caso de pérdida
4. Identificar la información que pueda provocar un gran impacto en la toma de
decisiones
5. Determinar la información que tenga una gran pérdida en la Cía. Y
posiblemente pueda ocasionar que no pueda sobrevivir sin esa información.
CUANTIFICACIÓN DEL RIESGO
Se debe entrevistar a los niveles administrativos afectados directamente por la
suspensión del proceso para averiguar en qué forma afecta la organización.
A. Ejemplo:
a. ALTO RIESGO: Información sobre el mercado y publicidad de una Cía.
b. MEDIO RIESGO: La nómina, que puede ser hecha a mano, utilizar
procedimientos alternos (pagar con la nómina anterior) o un adecuado
sistema de respaldo.
c. BAJO RIESGO: Los estado financieros, los que se pueden reestructurar
con cierta facilidad, salvo la presentación con fines fiscales.
UNIVERSIDAD NACIONAL DEL CALLAO Página 32
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
PRECAUCIONES EN LA DIVISIÓN DEL TRABAJO
1. El personal que prepara la información no debe tener acceso a la operación
2. Los analistas y programadores no deben tener acceso al área de operación y
viceversa
3. Los operadores deben tener acceso restringido a las librerías y a lugares
donde se tenga archivos almacenados; es importante separar las funciones de
librería y de operación
4. Los operadores no deben ser los únicos que tengan el control sobre los
trabajos procesados y no deben hacer las correcciones a los errores
detectados
5. Evaluar y revisar en forma visual el orden y limpieza de la sala de cómputo y
las oficinas, ya que una inadecuada limpieza en el trabajo refleja problemas de
disciplina y crea posibilidades de fallas en la seguridad, además de perjudicar
el desarrollo normal del trabajo
Los sistemas de seguridad pueden reducir flexibilidad en el trabajo, pero no deben reducir
la eficiencia (IMPORTANTE.)
3.2. SEGURIDAD EN EL PERSONAL
El centro de cómputo depende en gran medida de:
1. Integridad del personal
2. Estabilidad del personal
3. Lealtad del personal
4. Adecuada política de vacaciones
5. Adecuada política de reemplazo, lo cual permite en caso necesario, poder
cambiar a una persona sin riesgo de funcionamiento para la organización.
6. Adecuada política de rotación en puestos de alto nivel de confianza, para
mermar la posibilidad de fraude, identificar el personal indispensable y
eliminarlos.
7. Adecuada política motivacional con el fin de fortalecer la lealtad
8. Fomentar la cultura de seguridad en los programas para protegerlos de
posibles fraudes.
Se recomienda, pues, los exámenes psicológicos, médicos, antecedentes laborales,
Valores sociales, estabilidad ya que normalmente son personas que trabajan bajo presión
y estrés, por lo que importa mucho su actitud y comportamiento.
UNIVERSIDAD NACIONAL DEL CALLAO Página 33
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
3.3. SEGURIDAD FÍSICA
El objetivo es establecer POLÍTICAS, PROCEDIMIENTOS Y PRACTICAS para evitar la
interrupción prolongada del proceso de datos y continuar en un medio de emergencia
hasta que sea restaurado el servicio. Se debe asegurar contra:
1. Incendio
2. Inundación
3. Huelgas
4. Disturbios
5. Sabotaje
6. Material de la construcción (no inflamable, no tóxicos, sin polvo)
7. Temperatura de la sala de computo
8. Ductos, del aire acondicionado, limpios
9. Detectores de humo
10. Equipos de fuente no interrumpible en instalaciones de alto riesgo en la
computadora, la red y equipos de teleproceso
11. Número de extintores, capacidad, fácil acceso (cerca, altura), peso, tipo de
producto (que no sean líquidos, no produzcan gases tóxicos), vencimiento de
la carga
12. Entrenamiento del personal en el uso de los equipos contra incendio
13. Suficientes salidas de emergencia debidamente controladas
14. Almacenamiento adecuado de cintas que produce gases tóxicos y papel
altamente inflamable
Fue costumbre exhibir la sala de cómputo en grandes ventanales al público como símbolo
de orgullo de la organización, y con gran cantidad de invitados visitándola. Eso cambió
radicalmente para prevenir el riesgo de terrorismo y sabotaje.
UNIVERSIDAD NACIONAL DEL CALLAO Página 34
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
3.4. SEGUROS
El seguro es muy importante. Pero existe un gran problema:
El agente de seguros es experto en Riesgos Comerciales, de Vida, etc., pero sabe
muy poco sobre computadoras.
El personal de Informática es experto en computadoras, pero conoce muy poco
sobre seguros.
En la compra de seguros, se debe tener en cuenta que el proveedor del equipo y/o del
mantenimiento, cubre ciertos riesgos, con el fin de no duplicar el seguro.
Se debe comprobar:
Póliza adecuada actualizada con los nuevos equipos
Que la póliza debe cubrir todo el equipo y su instalación
La fecha de vencimiento del SEGURO
El valor del seguro debe estar a precio de COMPRA del mercado y no al precio al
momento de la compra de SEGURO.
El seguro debe cubrir:
o Daños causados por factores externos (Terremotos, inundación, etc.)
o Daños causados por factores internos (Negligencia, Aire acondicionado,
Polvo, etc.)
El seguro en programas debe tener en cuenta:
o Costo de elaborarlos en determinado equipo
o Costo de crearlos nuevamente
o Valor comercial
El seguro en cuanto a personal debe cubrir:
o Fianzas contra robo
o Negligencia
o Daños causados por el personal
o Sabotaje
o Acciones deshonestas
UNIVERSIDAD NACIONAL DEL CALLAO Página 35
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
o Confidencialidad
3.5. SEGURIDAD EN LA UTILIZACIÓN DEL EQUIPO
La tendencia en los programas y equipos, son ser más sofisticados y solo algunas
personas del centro PED conocen el detalle el diseño, lo cual puede provocar deterioro de
los sistemas, para lo cual se deberán tomar medidas como:
1. Restringir el acceso a los programas y archivos
2. Los operadores deben trabajar con poca supervisión y sin la participación de
los programadores, y no deben modificar los programas ni los archivos.
3. Asegurar en todo momento que los datos y archivos usados sean los
adecuaros, procurando no usar respaldos inadecuados.
4. No debe permitirse entrar a la red a personas no autorizadas, ni usar las
terminales.
5. La información confidencial debe usar formas codificadas o encriptadas.
6. Revisión periódica física del uso de terminales y de los reportes obtenidos.
7. Auditoria periódica sobre el área de operación y utilización de terminales.
8. Asegurar el proceso completo de los datos.
9. Debe existir registros de transferencia de información ente las funciones de un
sistema.
10. Debe controlarse la distribución de las salidas (reportes, cintas, etc.)
11. Guardar copia de archivos fuera del Dpto., de PED y en instalaciones de alta
seguridad (Bancos)
12. Control estricto en el transporte de cintas y discos del PED al local de
almacenaje distante.
13. Identificar y controlar perfectamente los archivos.
14. Estricto control en el acceso físico a los archivos.
Se debe tener un estricto control en el manejo de la información; por tanto se debe:
1. Cuidar que no se obtengan copias de información sin la debida autorización.
2. Solo el personal autorizado debe tener acceso a la información confidencial.
3. Controlar el destino final de los listados correctos e incorrectos.
4. Controlar el número de copias y la destrucción de información y del papel
carbón de la información confidencial.
UNIVERSIDAD NACIONAL DEL CALLAO Página 36
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
El factor más importante en la eliminación del riesgo en la programación es que todos
los programas y archivos estén debidamente documentados; por lo cual, se debe tener
alto grado de seguridad desde el momento del diseño preliminar del sistema.
El siguiente punto en importancia es contar con los respaldos y duplicados de los
sistemas, programas, archivos y documentación necesaria para que pueda funcionar el
plan de emergencia.
SEGURIDAD AL RESTAURAR EL EQUIPO
Cuando ocurre una contingencia, es esencial conocer el motivo que la generó y el daño
causado, lo que permite recuperar en el menor tiempo posible el proceso perdido. Se
debe analizar el impacto futuro en el funcionamiento de la organización y prevenir
implicaciones negativas.
En una situación ideal, se debe elaborar planes para manejar cualquier contingencia que
se presente.
Se debe definir planes de recuperación y reanudación, para asegurar que los usuarios se
afecten lo menos posible en caso de falla o siniestro. Entre ellas tenemos:
a. No realizar ninguna acción y reanudar el proceso
b. Con copias periódicas de los archivos reanudar un proceso a partir de
una fecha determinada.
c. Cambiar el proceso normal por uno alterno de emergencia (Manual, en
otro equipo, en equipo paralelo, en otra instalación, etc.)
Cualquier procedimiento a usar deberá ser planeado y probado previamente.
UNIVERSIDAD NACIONAL DEL CALLAO Página 37
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
3.6. PROCEDIMIENTO DE RESPALDO EN CASO DE DESASTRE
Debe elaborarse en cada Depto. De PED un plan de emergencia, el cual debe ser
aprobado por el Depto. De Informática y definir los procedimientos e información para
ayudar a la recuperación de información en caso de interrupciones en la operación del
sistema de cómputo.
El plan de emergencia debe ser probado y utilizado en condiciones anormales para en
caso de usarse en condiciones de emergencia se tenga la seguridad de que funcione. Se
debe considerar:
Que la emergencia existe
Utilizar respaldos (en otros sitios)
Cambiar la configuración
Usar métodos manuales
La desventaja de un plan de emergencia es su costo, pero al igual que un seguro, solo se
puede evaluar la ventaja del plan de emergencia si el desastre ocurre.
Una vez aprobado el plan de emergencia, se debe distribuir entre el personal responsable
de su operación y es conveniente guardar copia fuera del Depto. PED.
La información que contiene el plan de emergencia es confidencial o de acceso
restringido.
El plan debe permitir su revisión constante y su actualización y a cada responsable debe
asignársele su tarea y una persona de respaldo para cada uno de ellos, con anotación de
su nombre, dirección y número telefónico.
UNIVERSIDAD NACIONAL DEL CALLAO Página 38
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
EN LOS DESASTRES PUEDE SUCEDER LO SIGUIENTE:
a. Completa destrucción del centro de cómputo
b. Destrucción parcial del centro de cómputo
c. Destrucción o mal funcionamiento de los equipos auxiliares del centro
de cómputo (electricidad, aire acondicionado, etc.)
d. Destrucción parcial o total de los equipos descentralizados
e. Pérdida total o parcial de información, manuales o documentos
f. Pérdida de personal clave
a- Huelga o problemas laborales
EL PLAN DE DESASTRE DEBE INCLUIR
A. La documentación de programas y de operación
B. El acuerdo de soporte recíproco, para lo cual se debe tener en cuenta:
C. Configuración de equipos
a. Configuración de equipo de captación de datos
b. Sistemas operativos
c. Configuración de equipos periféricos
D. Los equipos
E. El equipo completo
a. El ambiente de los equipos
b. Datos y archivos
c. Papelería y equipo accesorio
d. Sistemas (operativo, base de datos, programas, programas de utilería)
UNIVERSIDAD NACIONAL DEL CALLAO Página 39
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
CUANDO EL PLAN SEA REQUERIDO EN EMERGENCIA, el grupo deberá:
A. Asegurar que todos los miembros sean notificados
B. Informar al director de informática (Jefe de sistemas)
C. Cuantificar el daño o pérdida del equipo, archivos y documentos para
definir qué parte del plan debe ser activada
D. Determinar el estado de todos los sistemas en proceso
E. Notificar a los proveedores del equipo cual fue el daño
F. Establecer la estrategia para llevar a cabo las operaciones de emergencia
tomando en cuenta:
a. Elaborar lista con métodos disponibles para llevar a cabo la
recuperación
b. Señalar la posibilidad de alternar los procedimientos de operación
(cambio en dispositivos, sustituir procesos en línea por lotes)
c. Señalar la necesidad para agrupar y transportar al lugar de respaldo
los archivos, programas, etc., que se requieran
d. Estimación del tiempo de computadora para periodo largo.
e. Posponer las aplicaciones de prioridad más baja
f. Cambiar la frecuencia del proceso de trabajos
h. Suspender las aplicaciones en desarrollo
UNIVERSIDAD NACIONAL DEL CALLAO Página 40
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
3.7. CONDICIONES, PROCEDIMIENTOS Y CONTROLES PARA OTORGAR
SOPORTE A OTRAS INSTITUCIONES
La idea es establecer convenios con otros centros de PED para utilizar su equipo en caso
de fallas mayores o de desastre, a fin de evitar interrupciones de los servicios de
procesamiento por largo período.
Es importante la intervención de la administración de las empresas o centros que hacen el
convenio PARA ASEGURAR LA SERIEDAD DEL COMPROMISO y para esto se debe
considerar:
a. Calidad de la persona a la que se le otorga el respaldo
b. Condiciones en las que se otorga el respaldo
c. Procedimientos y controles para el uso del lugar y equipos de respaldo
d. Tiempo durante el cual se otorga el respaldo
e. Periodicidad para otorgar el respaldo
f. Costo del servicio de respaldo
UNIVERSIDAD NACIONAL DEL CALLAO Página 41
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
CAPÍTULO 4. DISEÑO DE CONTROLES
En los sistemas de información, el control interno se materializa básicamente en
controles de dos tipos.
1. CONTROLES MANUALES: Realizados normalmente por el personal del
área usuaria. Son controles previstos para asegurar que se preparan,
autorizan y procesan todas las operaciones, se subsanan adecuadamente
todos los errores, son coherentes los resultados de salida.
2. CONTROLES AUTOMÁTICOS: Incorporados a los programas de la
aplicación que sirven de ayuda para tratar de asegurar que la información
se registre y mantenga completa y exacta, los procesos de todo tipo sean
correctos y su utilización por parte de los usuarios respete la
confidencialidad y permita la aplicación de la segregación de funciones.
Según su finalidad, los controles son:
1. CONTROLES PREVENTIVOS: Se diseñan patrones de formatos y
estructura (dato numérico, fecha válida, valores válidos, dígitos de control
para códigos de identificación, de documentos, nomenclaturas etc.) para
evitar los errores a base de exigir el ajuste de los datos a formatos
prediseñados
2. CONTROLES DETECTIVOS: con el fin de descubrir errores que no hayan
sido posible evitar.
3. CONTROLES CORRECTIVOS: para asegurar que se subsanen los errores
identificados mediante controles detectivos.
Los controles anteriores pueden ser utilizados en las transacciones de recogida o toma de
datos, en los procesos de información de la aplicación y en la generación de informes y
resultados de salida.
UNIVERSIDAD NACIONAL DEL CALLAO Página 42
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
4.1. CONTROL EN EL ORIGEN DE LAS TRANSACCIONES
En el origen de las transacciones deben establecerse controles básicamente, sobre la
AUTORIZACIÓN y PROCESAMIENTO DE DOCUMENTOS FUENTE. Como ejemplo
tenemos:
PROCEDIMIENTOS EN EL ÁREA USUARIA: Se debe trabajar con base en
procedimiento escritos y aprobados por la dirección, en el proceso de iniciación,
revisión y autorización de las transacciones de entrada, y se utilizan
principalmente para las siguientes actividades operativas:
- Preparar documentos fuente.
- Regular el flujo de documentos.
- Establecer la necesidad de ceñirse a los programas de trabajo, como
por ejemplo, las fechas de corte.
- Controlar el uso de códigos espaciales, como los passwords entre
otros.
- Describir los requisitos claves de entrada de datos.
- Precisar las correcciones que en nombre de los usuarios pueden hacer
el personal de sistemas.
FORMULARIOS PREIMPRESOS: Guían el registro inicial de las transacciones en
un formato uniforme. El diseño de formularios es un eficiente control preventivo
para los sistemas en funcionamiento, en la etapa de entrada de datos. Un buen
diseño de formularios permite que los datos sean completos y precisos, evitando
de esta forma errores y omisiones, logrando un sistema correcto de autorizaciones
y apoyando la objetividad de la contabilidad o de otras aplicaciones, de las
organizaciones. Los formularios diseñados a la medida del sistema facilitan el
registro de transacciones y el establecimiento de controles a través de:
- Bloques de autorización
- Totales de control
- Totalizaciones verticales u horizontales
- Fechas de retención de datos
Los documentos fuente pre-impresos permiten la serialización de los mismos, esto
es, verificar la secuencia del procedimiento de entrada de datos. La identificación y
UNIVERSIDAD NACIONAL DEL CALLAO Página 43
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
serialización de los documento fuente facilitan el rastreo de las transacciones hacia
delante y hacia atrás, cuando se hace el trabajo de auditoría.
IDENTIFICACIÓN DE TRANSACCIONES: Toda operación que se registre en un
proceso computarizado, debe estar suficientemente identificada como norma de
control interno; Ej. Número de serie, número de secuencia, código de la
transacción.
REFERENCIA CRUZADA: En el computador, las transacciones incluyen
generalmente un campo, que tiene por objeto identificar el documento fuente. Si
este número hace parte de la identificación de la transacción, entonces se
convertirá en una referencia cruzada que sirve para rastrear la información hacia
delante y hacia atrás. En el registro de CxC, existe un campo para el número de la
factura; esta referencia puede utilizarse para recuperar los documentos fuente
cuando sea necesario.
LOG DE SECUENCIA: Normalmente se identifican las transacciones con números
de secuencia y lleva además, un LOG interno de los números de secuencia que
sirve para asegurarse de que los datos de entrada estén completos, y como pista
de auditoría.
ACCESO RESTRINGIDO A LOS FORMULARIOS EN BLANCO: Los documentos
y formularios en blanco deben estar adecuadamente controlados para evitar uso
fraudulento, en la entrada de datos. Esta restricción incluye los documentos
negociables.
CUSTODIA DOBLE DE FORMULARIOS: Se acostumbra básicamente para
controlar formularios contables de alto nivel de criticidad. Se requiere que un
miembro del Depto. De usuario y otro del Depto. De PED autoricen conjuntamente
la entrega de formularios pre numerados. El control exige hacer seguimiento
riguroso a los formularios en blanco para que sean devueltos y archivados
oportunamente.
UNIVERSIDAD NACIONAL DEL CALLAO Página 44
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
CONCLUSIONES Y RECOMENDACIONES
Las auditorias informáticas se conforman obteniendo información
y documentación de todo tipo. Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de debilidad o fortaleza de los
diferentes medios. El trabajo del auditor consiste en lograr obtener toda la
información necesaria para emitir un juicio global objetivo, siempre amparando las
evidencias comprobatorias.
El auditor debe estar capacitado para comprender los mecanismos que se
desarrollan en un procesamiento electrónico. También debe estar preparado para
enfrentar sistemas computarizados en los cuales se encuentra la información
necesaria para auditar.
Toda empresa, pública o privada, que posean Sistemas de Información
medianamente complejos, deben de someterse a un control estricto
de evaluación de eficacia y eficiencia. Hoy en día, la mayoría de
las empresas tienen toda su información estructurada en Sistemas Informáticos,
de aquí, la vital importancia que los sistemas de información funcionen
correctamente.
El éxito de una empresa depende de la eficiencia de sus sistemas de información.
Una empresa puede contar con personal altamente capacitado, pero si tiene un
sistema informático propenso a errores, lento, frágil e inestable; la empresa nunca
saldrá a adelante.
La auditoría de Sistemas debe hacerse por profesionales expertos, una auditoria
mal hecha puede acarrear consecuencias drásticas para la empresa auditada,
principalmente económicas.
En conclusión la auditoria de sistemas es la indicada para evaluar de manera
profunda, una determinada organización a través de su sistema de información
automatizado, de aquí su importancia y relevancia.
UNIVERSIDAD NACIONAL DEL CALLAO Página 45
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
GLOSARIO
TARJETA MADRE (MAIN BOARD)
Tarjeta madre, placa base o motherboard es una tarjeta de circuito impreso que permite la
integración de todos los componentes de una computadora. Para esto, cuenta con
un software básico conocido como BIOS, que le permite cumplir con sus funciones.
HARDWARE.
Término en inglés que significa ferretería, se emplea con una fina y poco disimulada
ironía, para referirse a los elementos tangibles del equipo, como la tarjeta madre, la
memoria, el disco duro y otros dispositivos de almacenamiento.
SOFTWARE.
Conjunto de instrucciones que ponen en comunicación los diferentes dispositivos del PC y
le permiten realizar cualquier tarea. Ej. El sistema operativo, los programas, los archivos
de configuración, etc.
UNIDAD CENTRAL DE PROCESO.
Llamada CPU. Tradicionalmente se ha dicho que la CPU engloba las partes del hardware
de mayor importancia, como la tarjeta madre, el chip, la memoria o el disco duro en el que
se almacenan los datos. Realmente la CPU (conocida por sus siglas en inglés, CPU), es
un circuito microscópico que interpreta y ejecuta instrucciones. La CPU se ocupa del
control y el proceso de datos en las computadoras. Generalmente, la CPU es un
microprocesador fabricado en un chip, un único trozo de silicio que contiene millones de
componentes electrónicos. El microprocesador de la CPU está formado por una unidad
aritmético-lógica que realiza cálculos y comparaciones, y toma decisiones lógicas por una
serie de registros donde se almacena información temporalmente, y por una unidad de
control que interpreta y ejecuta las instrucciones. Para aceptar órdenes del usuario,
acceder a los datos y presentar los resultados, la CPU se comunica a través de un
conjunto de circuitos o conexiones llamado bus. El bus conecta la CPU a los dispositivos
de almacenamiento (por ejemplo, un disco duro), los dispositivos de entrada (por ejemplo,
un teclado o un mouse) y los dispositivos de salida (por ejemplo, un monitor o una
impresora).
UNIVERSIDAD NACIONAL DEL CALLAO Página 46
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
RAM (Random Access memory).
Chip de almacenamiento temporal. Entre más RAM los programas trabajan a mayor
velocidad. Su unidad de medida es el Byte y su capacidad de almacenamiento actual está
dada en mega bytes (MB). La memoria RAM almacena instrucciones, variables y otros
parámetros de los programas que el usuario haya activado. Su contenido se pierde
cuando el PC es apagado.
ROM BIOS (Read only memory).
Chip que almacena en forma permanente instrucciones y datos del PC que son solo de
lectura, necesarios para activar el sistema operativo y reconocer los periféricos
conectados al sistema.
MEMORIA VIRTUAL.
Truco tecnológico que permite al PC tomar parte del disco duro como prolongación de la
RAM. Ayuda a salir del paso en una situación apurada, pero no puede considerarse como
una panacea. Al tener que leer y escribir en el disco duro, con un acceso mucho más
lento, la ejecución de los programas se resiente, y acaba siendo considerablemente lenta.
MICROPROCESADOR.
Es el cerebro del PC. Chip que ejecuta las instrucciones y procesa los datos con los que
trabaja el computador. Su unidad de medida es el Hertz y su capacidad de
almacenamiento actual está dada en mega Hertz (MHz). El intenso ritmo de investigación
ha conseguido duplicar la capacidad de estos chips cada año y medio, aproximadamente.
(Ver CPU)
TARJETAS DE EXPANSION.
Con chips y otros componentes electrónicos que sirven para ampliar las capacidades del
PC o para controlar algunos periféricos. Estas tarjetas se instalan en ranuras de
expansión.
RANURAS DE EXPANSION
Comunicadas con el procesador a través del BUS. Permiten la inserción de chips de
memoria, aceleradoras gráficas, tarjetas de sonido o dispositivos de red.
UNIVERSIDAD NACIONAL DEL CALLAO Página 47
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
BUS Avenida electrónica por medio de la cual se comunica el procesador, la memoria, los
periféricos y otros componentes del PC. Está formado por líneas de circuito paralelas que
transportan datos e instrucciones entre los dispositivos instalados en la tarjeta madre. De
su capacidad para asimilar el flujo de información depende en gran medida el rendimiento
del sistema.
BUS LOCAL
Autopista de alta capacidad y velocidad que comunica al procesador con algunos
dispositivos sin tener que usar el BUS principal.
TARJETA MADRE.
Plástica sobre la que están montados los principales componentes del PC: Procesador,
RAM, ROM, Ranuras de expansión, Bus. Si se escoge una tarjeta madre inadecuada para
el equipo, probablemente se producirá el efecto de cuello de botella: el chip central del PC
o sus periféricos llegarán a trabajar con un volumen de datos superior al que los circuitos
de la placa pueden soportar, los datos quedarían atrapados en un trancón y el PC
procesaría la información a una velocidad inferior al límite para el cual ha sido diseñado.
TARJETA DE SONIDO.
Da al PC la capacidad de reproducir sonido, grabar o utilizar programas de
reconocimiento de voz. Los PC que no son multimedia, no tienen Tarjeta de Sonido.
TARJETA GRÁFICA. De aquí parte la imagen que se refleja en el monitor y de ella
depende el grado de fineza de la imagen resultante. Se complementa con un acelerador
gráfico.
DISCO DURO.
Almacena información y programas de computador de modo estable, su capacidad se
mide en MB o GB.
UNIDAD DE DISQUETE.
Almacena y permite leer información. 1.44 MB
UNIVERSIDAD NACIONAL DEL CALLAO Página 48
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
UNIDAD DE CD-ROM.
Disco de metal recubierto por una capa plástica para almacenar datos. Su sistema de
lectura es por láser: un haz de luz recorre la superficie del disco, mientras que otro
dispositivo se encarga de analizar el reflejo del láser sobre el soporte. Los computadores
multimedia (que pueden manejar video, sonido y animaciones) usan esta unidad para leer
CD-ROM. 650-700 MB (486 disquetes), que pueden almacenar video, sonido, animación,
texto, gráfica, etc. Actualmente se consiguen unidades de grabación de CD.
DVD (Digital Video Disc).
Supera con creces la capacidad y rapidez del CD-ROM. Actualmente superan los 4 GB de
capacidad (7 CD) y usados en cinematografía por su calidad de imagen, sonido digital de
última generación y diálogos locutados en diferentes idiomas.
SISTEMAS DE COMPRESIÓN.
Apoyados por estudiadas rutinas, logran reducir el espacio de memoria necesario para
almacenar un documento. Existen dos tipos de compresores: destructivo y no destructivo.
La diferencia principal entre ambos sistemas hace referencia a la pérdida de calidad en el
archivo resultante, después de la compresión.
CHIP
Pieza de silicio que contiene millones de componentes electrónicos (transistores y
resistores).
SILICIO (SILICON)
Material que se encuentra en estado natural en la arena y en las rocas.
TRANSISTOR
Dispositivo semiconductor que funciona como una especie de PUERTA que se abre o
cierra al paso de impulsos eléctricos. Un CHIP como el Pentium, agrupa + 3.3 millones de
transistores en una superficie de menos de 2 Cm cuadrados.
UNIVERSIDAD NACIONAL DEL CALLAO Página 49
AUDITORÍA DE SISTEMAS A TRAVÉS DE UN COMPUTADOR
BYTE
Es una medida de la capacidad de almacenamiento de datos del PC. 1 byte equivale a un
carácter. Los textos, dibujos y sonidos están representados por Bytes.
MEGABYTE (MB) = a 1.000.000 de bytes.
GIGABYTE (GB) = A 1.000 MB.
TERABYTE (TB) = A 1.000 GB.
EXABYTE (EB)=A 5.000.000 TB.
HERTZ (Hz) medida de cuantas vibraciones eléctricas (ciclos) se producen en 1 segundo.
1 Hz = a un ciclo por segundo.
MEGAHERTZ (MHz) = a 1.000.000 de Hz son la unidad de medida del procesador.
PC COMPUTADOR PERSONAL.
Son el tipo de computadores más difundidos. Por unidades vendidas representan + del
90% del mercado.
PERIFÉRICOS
Son todos los dispositivos que se conectan al computador: Ratón, Teclado, Impresora,
Monitor, Audífonos, MODEM, Unidad de CD, etc.
UNIVERSIDAD NACIONAL DEL CALLAO Página 50
top related