que es auditoria a

8/8/2019 Que Es Auditoria a

1/52

Instituto Nacional de Estadsticae Informtica

QU ES LA AUDITORAINFORMTICA?

COLECCIN CULTURA INFORMTICA


2/52

_________________________________________________________INSTITUTO NACIONAL DE ESTADSTICA E INFORMTICAElaborado por la Subjefatura de InformticaDireccin Tcnica Desarrollo InformticoTelfono 433-4223 Anexos 314 315Telefax 433-5568

INTERNET [email protected]

Impreso en los talleres de la Oficina de Impresiones de la Oficina

Tcnica de Difusin Estadstica y Tecnologa Informtica del Instituto

Nacional de Estadstica e Informtica (INEI)

Edicin :Direccin, Redaccin y Talleres: Av. General Garzn N 658

Jess Mara

Orden :
mailto:[email protected]:[email protected]


3/52

PRESENTACIN

El Instituto Nacional de Estadstica e Informtica(INEI), como ente rector del Sistema Nacional de Informtica,continuando con la publicacin de la Coleccin Cultura

Informtica, pone a disposicin su Vigsimo Sexto Nmero

titulado: Qu es la Auditora Informtica?.

En esta oportunidad la publicacin que se presenta como Qu es

la Auditora Informtica?, pretende despertar el inters,despejando asimismo dudas e inquietudes con respecto a ste tema.

Por su contenido, esperamos que sea del agrado de nuestro

distinguido pblico lector, ya que el tema es muy interesante, debido

a que la auditora Informtica es una actividad de suma importancia

para el desarrollo de las empresas por que la gran mayora tiene las

bases de su desarrollo en esta actividad. Los temas que se tratan

durante el desarrollo de esta publicacin son los que generalmente

se dan en una Auditora Informtica, como por ejemplo, conceptosgenerales de Auditora, Auditora Interna y Externa, alcance de la

Auditora Informtica, sus objetivos principales, Auditora

Informtica de Explotacin, de Desarrollo de Proyectos, de

Sistemas, de Comunicaciones y Redes, de Seguridad Informtica y

otros temas que son importantes como: Metodologa de Trabajo,

Determinacin de los recursos a utilizar, Actividades que realiza la

Auditora Informtica, hasta el Informe final, para finalmente llegar

a las conclusiones.

El Instituto Nacional de Estadstica e Informtica, pone a

disposicin de sus lectores, la presente publicacin, esperando sea

de utilidad.

Econ. Flix Murillo AlfaroJEFE

INSTITUTO NACIONAL DE ESTADTICA

E INFORMTICA


4/52

CONTENIDO

Introduccin 7

Auditora 10

Auditora Interna y Auditora Externa 11

Alcance de la Auditora Informtica 13

Tipos y Clases de Auditora 16

Cules son los objetivos principales? 17

Auditora Informtica de Explotacin 20Auditora Informtica de Desarrollo de Proyectos 23

Auditora Informtica de Sistemas 25

Auditora Informtica de Comunicaciones y Redes 30

Auditora de Seguridad Informtica 30

Tcnicas y Herramientas usadas por la Auditora

Informtica 33

Metodologa de Trabajo 39

Determinacin de Alcances y Objetivos 39

Anlisis de Ambiente a Auditar y del entorno Auditable 40Determinacin de Recursos de la Auditora Informtica 42

Elaboracin y Planteamiento del plan de trabajo

y de los Programas 43

Actividades a realiza en la Auditora 44

Elaboracin del Informe Final 45

Elaboracin de la Carta de Introduccin

Correspondiente al Informe Final 48

Conclusiones 49


5/52


6/52

Qu es la Auditora Informtica?

Instituto Nacional de Estadstica e Informtica8

Si nos remontamos al campo de la etimologa veremos que

auditora viene del latn auditorius, proviniendo de aqu la

palabra auditor, la misma que significa o que se refiere a aquel

que tiene la virtud de oir.

La Auditora informtica puede ser definida de diversas

formas, y una de las definiciones que tienen la da el

diccionario Espaol Sopena, el cual define a la auditora como

Revisor de Cuentas colegiado. Careciendo inicialmente de unadefinicin clara por que no se explica el objetivo fundamental,

es decir no se especifica labor del auditor, la cual es evaluar la

eficacia y eficiencia.

Si hacemos una investigacin tratando de documentarnos con

respecto al rol que cumple la auditora entonces llegaremos a

concluir en que esta actividad no es slo una actividad

mecnica, donde se apliquen conocimientos y procedimientos

ya establecidos, sino que tambin es una actividad en la que elauditor realizar un a anlisis crtico, en el cual no implica que

ya hayan existido fallas en la entidad auditada, y que la

finalidad est en que se trata de evaluar y mejorar la eficiencia

y eficacia de una entidad o en todo caso la seccin que se est

evaluando.


7/52


Instituto Nacional de Estadstica e Informtica 9

El objetivo principal de laAuditora Informtica es llegar

a tener un control en la

actividad informtica, tambin

se rige de la normatividad que

rige los parmetros

establecidos por la empresa y

su cumplimiento, el anlisis de

la eficiencia de los sistemas

informticos, supervisin de lagestin de los recursos

humanos informticos y materiales. Los sistemas de

informacin son recursos de vital importancia para las

empresas de hoy, es entonces que el auditor tiene la

responsabilidad de hacer que el uso de los recursos de la

empresa se lleven en buena forma y correctamente. Cabe

destacar que una Auditora bien realizada es la que toma en

cuenta a todas las instituciones de forma igual e importante,

debido a que un ministerio, una universidad o una entidadpblica deben ser consideradas de la misma manera

tomndolas en su ms amplio sentido. Y es que en todas estas

entidades la informtica es importante pues la utilizan para

realizar la gestin de negocios en forma ptima con la

finalidad de obtener los beneficios econmicos y de costes

deseados.

De acuerdo a todo esto los sistemas de informacin estn

sujetos a un control permanente y se toman en cuenta tantocomo los otros rganos de la empresa o entidad a la que se

est haciendo la auditora.

El hecho de realizar una auditora informtica es importante

debido a que las herramientas que se utilizan pueden definir o

marcar la diferencia con respecto a la competencia o al

momento en que se est viviendo. Algunos de los aspectos que

deben ser considerados son:


8/52



El mal diseo de los sistemas puedeser muy perjudicial, por que puede

traer consecuencias desastrosas para

la organizacin debido a que las

mquinas slo acatan rdenes

recibidas de forma irrefutable, y el

modelamiento de las organizaciones

se encuentra supeditada al buen

funcionamiento de estas mismas,

las cuales materializan los sistemasde informacin, entonces la empresa no puede permitir

que el software y el hardware presenten falta de eficiencia

por que va en contra de sus propios intereses.

La sofisticacin en los equipos informticos han dado pie

para que los centros de control de procesos sean los

puntos en el blanco para la delincuencia, el espionaje, o

para manifestaciones terroristas. Para esto la seguridad en

Auditora informtica es importante.

Todos sabemos que hasta las

computadoras pueden tener fallas

en la informacin elaborada y

arrojar resultados errneos, pero si

es que dichos datos son

igualmente errneos. Esto se da

frecuentemente cuando las

instituciones pierden de vista lanaturaleza y calidad de la

informacin que ingresan a sus

sistemas de consulta, con el peligro de que otros sistemas

que son independientes se vean afectados por este hecho,

para este hecho la Auditora de datos es la ms

recomendable.


9/52



La necesidad de realizar una auditora informtica esimportante para las empresas, por que les permitir conocer la

capacidad que tienen, a nivel informtico para poder afrontar

sus necesidades ms importantes.

AUDITORIA

La Auditora cumple una funcin muy valiosa e

independiente, no toma acciones pero da sugerencias, y sus

conclusiones deben tomarse en cuenta en la toma dedecisiones. La auditora se apoya de herramientas de anlisis,

verificacin y exposicin conformando as elementos de

juicio, los cuales permitirn determinar las debilidades y

disfunciones.

Es muy probable que se afecte la susceptibilidad del personal

auditado, debido a que se interrumpe de alguna manera sus

tareas, en el momento de realizar la auditora, adems esta

actitud es comprensible. Pero los sistemas en ocasiones sonmuy sofisticados, lo cual hace que el auditor disponga de un

nivel tcnico adecuado e insuficiente frente al tiempo que

tiene para realizar su trabajo.

Como parte de la auditora est la evaluacin del personal,

para esto existe el Chek List, que es un cuestionario, el cual esarchivado bajo estrictas medidas de seguridad por las

empresas que se encargan de realizar este trabajo de Auditora,

por considerarse informacin confidencial y activos muy

importantes que respaldan su actividad. La evaluacin debeceirse de acuerdo a las normas o reglas implantadas y se

considera que debe aplicarse una metodologa que pueda

resolver los problemas que puedan presentarse.


10/52



Con todos los elementos de juicio

recolectados el Auditor podr emitir un

informe en el cual expresara el estado

en el que ha encontrado los sistemas,

expondr las fallas en cuento a

hardware y software encontradas y

tambin sobre la correcta utilizacin

del recurso informtico.

AUDITORA INTERNA Y AUDITORA EXTERNA

Existen dos tipos de auditora, como se ve en el titulo de este

prrafo, y estas son dos La Auditora Interna y la Auditora

Externa, de las cuales en el caso de la Auditora Interna es

realizada con recursos humanos propios de la empresa, lo

mismo sucede con los recursos materiales, pues todos estos

pertenecen a la empresa auditada. Considerando que losempleado que realizan esta labor reciben una remuneracin

econmica. La Auditora es una actividad que existe por

decisin propia de la empresa, es decir, que la empresa puede

decidir en el momento en que esta labor puede ser disuelta.

En el caso de la Auditora Externa el personal que debe

realizarla es un personal que debe guardar afinidad a la

empresa que es auditada, este tipo de Auditora tiene ms

consideracin debido a que tiene una mayor objetividad porexistir un mayor distanciamiento entre el personal auditor y el

personal auditado.

El caso de la Auditora informtica es ventajoso en vista de

que puede ser realizada peridicamente, la cual puede ser

incluida en el plan anual de trabajo realizando una revisin

completa de los sistemas y los equipos de cmputo, es por ello

que guarda cierta ventaja con la auditora externa.


11/52



Esto permite tambin al personal auditado a poder adecuarseal plan de trabajo de la auditora, y mucho ms cuando las

consecuencias de las recomendaciones crean beneficio laboral.

Es tarea del personal de informtica de escuchar y orientar

sobre las ventajas o desventajas tcnicas que puedan existir y

sobre los costos que pueda demandar un sistema.

Generalmente su opinin no tiene voto en las decisiones que

se toman en la empresa pero si tiene voz para dar la opininque sea ms adecuada y as poder satisfacer las necesidades

ms apremiantes.

Todas las empresas desean tener un control sobre sus sistemas

informticos, necesitando tambin que su gestin est

adecuada a los procedimientos, que todo esto implica. Es por

ello que esta necesidad se ve reflejada en la imagen del auditor

interno informtico.

Slo las empresas grandes pueden contar con una oficina de

auditora, debido a que es costoso contar con este servicio

permanentemente, es as que las empresas pequeas acuden a

la auditora externa.

Pero cuando la empresa adopta por tener este servicio como

auditora interna, parte del personal informtico pasa a formar

parte de esta actividad.

Se puede dar que una institucin que cuente con una oficina de

auditora interna solicite los servicios de una auditora externa,

debido a razones que pueden ser:

La falta de capacidad tcnica, para realizar la auditora demateria especializada en gran cantidad.

Cruzar las informaciones emitidas tanto de la auditorainterna como de la auditora externa, sobre todo con laemisiones internas de graves recomendaciones las mismas


12/52



que pueden discrepar con la opinin general de la empresamisma.

Esto puede servir como mecanismo protector ante laposibilidad de auditoras informticas externas que hayan

sido solicitadas por la empresa.

La oficina de auditora interna forma parte de la mismaempresa pero es independiente del Departamento de

Sistemas es por ello que es recomendable solicitar losservicios de una auditora externa, lo cual permitir tener

una visin externa de la empresa.

Tanto la auditora externa como interna, debern estar libres

de toda influencia poltica, debido a que pueden afectargravemente la estrategia y poltica general de la empresa. La

oficina de auditora puede actuar por decisin propia ya que es

un rgano independiente de la empresa an estando dentro de

la misma, tambin acta a solicitud de la direccin o de partedel cliente.

ALCANCE DE LA AUDITORA INFORMTICA:La auditora informtica actuar dentro de parmetros

establecidos, es decir que se desarrollar en un entorno y

lmites determinados, y es complementada con los objetivos.

Estos lmites deben estar claramente estipulados en el informe

final, para que quede claro hasta donde puede llegar la

auditora y no solamente eso sino que hay materias fronterizasque pueden ser omitidas. Cuando estos puntos no son bien

definidos, puede implicar el que esta no tenga xito.


13/52



Auditora Informtica y sus caractersticas:

La informacin es netamente confidencial, es de la empresa y

para la empresa, tendr una importancia especial, adems esta

informacin es considerada como un activo real que al igual

que sus stocks y materias primas, si es que las hay. Debido a

esto es que se realizan inversiones de carcter informtico, y

de esto se ocupa la Auditora de Inversin Informtica.

La Auditora de Seguridad Informticase encargar de la proteccin los

sistemas informticos, o tambin

pueden ocuparse de esto la auditora

de seguridad de cada rea, si es que

existe. La funcin de la informtica

puede ser reorganizada, si es que se

producen cambios estructurales, y esto

es lo ve la Auditora de Organizacin

Informtica.

Es as que una auditora parcial esta conformada por estos tres

tipos de actividades auditoras. De otra forma cuando se lleva a

cabo una auditora informtica en un rea de desarrollo de

Proyectos Informticos es por que existen ineficiencias,

debilidades de organizacin, de inversiones, de seguridad, o

alguna mezcla de ellas.

Razones para determinar la necesidad de una AuditoraInformtica:Cuando existen sntomas de debilidad en la empresa, stas

acuden a las auditoras externas para poder determinar en

donde estn las falencias. Estos sntomas se pueden agrupar

clases:

Cuando existe Desorganizacin y descoordinacin:- Los promedios conseguidos no se habitan a los

estimados, por que los parmetros de productividadno son respetados y sufren un desvo.


14/52



- Los objetivos que la empresa persigue, no coinciden

con los obtenidos.- Esto puede darse debido a un cambio masivo de

personal, o tambin por que un rea tuvo una mala

reestructuracin, tambin puede deberse a una norma

importante que haya sido modificada.

Cuando hay insatisfaccin del cliente y una malaimagen- Cuando no hay capacidad de satisfacer las

necesidades del cliente.- Las fallas en hardware no son reparadas, ni se

resuelven las incidencias en plazos establecidos y

razonables, ocasionando un descontento en el usuario

por sentirse abandonado.

- Los resultados peridicos no son entregados en los

plazos establecidos. Las pequeas imprecisiones

pueden ocasionar que la informacin no refleje lo real

y que la actividad que ejerce el usuario se vea

afectada por este motivo.

Debilidades Econmico-Financieras:- Elevacin de costos de forma repentina y

desmesurada.

- Cuando se da la necesidad de justificar las

inversiones informticas.

- Cuando se dan otras prioridades en el aspecto

presupuestario.

- Costos y plazos de nuevos proyectos.

Cuando existe inseguridad:Se da una evaluacin de nivel de riesgos, la que

contempla los puntos siguientes:

Seguridad Lgica.

Seguridad Fsica.

Aspectos de confidencialidad.

-

La continuidad en el servicio es importante. Enocasiones se considera ms importante que los

aspectos de seguridad.


15/52



- Si existen problemas en los que el centro de

procesamiento de datos se encontrara fuera decontrol, una auditora no tendra sentido por

considerarse intil, por eso deben tomarse en cuenta

los ms mnimos indicios para su aplicacin.

Planes de Contingencia:Por lo general las empresas deben aplicar una poltica de

Backups, lo la cual puedan resguardar la informacin en forma

diaria, estos backups debern ser en forma doble asegurndose

que uno de ellos se encuentre dentro de la empresa y otro fuerade ella. Estos backups pueden estar guardados el tiempo que la

empresa lo determine, de acuerdo a la periodicidad con la que

van renovando sus backups.


16/52



TIPOS Y CLASES DE AUDITORAEl departamento deinformtica a pesar de tener

sus actividades dentro de la

misma empresa, trabaja como

si fuera una entidad

independiente, debido a que

su actividad est proyectada

al exterior y a los usuarios, de

aqu nace la Auditora Informtica de Usuario, la mismaque se distingue de la informtica interna, ya que en estaltima se realiza una actividad informtica cotidiana y real, es

por ello que existe una Auditora Informtica deActividades Internas.

La direccin es quien realiza el control de las actividades del

departamento de informtica con el exterior. La importancia

de se control se debe a que es posible entender las necesidades

que tiene la compaa. El apoyo de la direccin a laInformtica frente al exterior es muy importante para que

esta sea eficiente y eficaz. Este tipo de relaciones forma lo que

se conoce como Auditora Informtica de Direccin y suobjetivo.

Con estos tres tipos de Auditora, y sumado a esta la

Auditora de Seguridad, se determina las cuatro grandesAreas Generales de la Auditora Informtica ms importantes.

Dentro de estas Areas Generales existen otras divisiones en la

que la Auditora Informtica se subdivide, estas son:

Auditoras de Explotacin, de Sistemas, de Comunicaciones y

de Desarrollo de Proyectos. Conformando as las reas

especficas de la Auditora Informtica ms importantes.

Los criterios que se aplican para cada rea especfica en una

auditora son:

-


17/52



- Se debe tomar desde el punto de vista de la seguridadque la informtica ofrece en general, o en la rama que

se est auditando.

- Desde el funcionamiento interno.

- De acuerdo al apoyo que se recibe desde la direccin,

realizndola en un sentido ascendente, del grado de

cumplimiento de las directrices de sta.

- Considerando las necesidades de los usuarios

juntamente con sus perspectivas.

Los criterios que se han mencionado pueden ser ampliados, y

establecidos de acuerdo a la real necesidad de la empresa

Auditada y a sus caractersticas.


18/52



CULES SON LOS OBJETIVOS PRINCIPALES?La auditora Informtica tiene muchos fines y entre los queson ms importantes tenemos:

Operatividad: Esta funcin consisteen que la organizacin pueda

funcionar con la cantidad mnima de

recursos. No se puede permitir que la

maquinaria detenga sus actividades

para poder detectar los fallos, y asempezar de nuevo. Cabe destacar

que la auditora debe llevarse a cabo

estando los sistemas en marcha, y este es un proceso que debe

realizarse tanto a nivel global, como parcial.

El auditor tiene una principal preocupacin y esta es la de

conseguir que los sistemas se encuentren en total operatividad,

para lograr esto se deben realizar una serie de Controles

Tcnicos Generales de Operatividad, y dentro de ellos unosControles Tcnicos Especficos de Operatividad, los que

deben estar desarrollados previamente

- Controles Tcnicos Generales:Estos son controles que verifican la compatibilidad

que existe entre el Sistema Operativo y el Software de

base con todos los subsistemas existentes, as como la

compatibilidad entre el Hardware y el Software

instalado. La importancia de estos controles en lasinstalaciones que cuentan con varios competidores se

da debido a que como existen entornos de trabajo

muy diferenciados se obliga a contratar diferentes

productos de software bsico, existiendo el riesgo de

que se pueda desaprovechar parte del software que a

sido contratado.

Esto se puede dar tambin con los productos de

software bsico que han sido desarrollados por el

propio personal de la empresa, en especial cuando laubicacin de los equipos se encuentra


19/52



geogrficamente distante. Tambin se puede ver queesto tiene un aspecto negativo, el cual se puede

reflejar en la inoperatividad del grupo. La

interconexin o intercomunicacin. Es posible que

cada Centro de Proceso de Datos sea operativo

trabajando slo e independiente, pero lo que no podr

ser posible ser la interconexin e intercomunicacin

de todos los centros de procesos de datos si es que no

existen productos compatibles y comunes.

- Controles Tcnicos Especficos:Son igual de importantes como los Controles

Tcnicos Generales para lograr la Operatividad de los

Sistemas. Estos se encargan de verificar el

funcionamiento correcto de partes especficas del

sistema, como parmetros de asignacinautomtica de espacio en el disco, los cualespueden crear dificultad o impedir su uso posterior por

una seccin diferente a la que lo genero. Tambin losperiodos de retencin de los ficheros comunes a

varias aplicaciones pueden estar definidos con

distintos plazos en cada una de ellas, de modo que la

perdida de informacin es un hecho que podr

producirse con facilidad, quedando inoperativa la

explotacin de alguna de las aplicaciones

mencionadas.

Qu son los parmetros de asignacin automticade espacio en disco?

Las aplicaciones a desarrollarse son super-

parametrizadas, lo que significa que existen muchos

parmetros los cuales permiten la configuracin del

sistema. Es decir que cada aplicacin necesitar un

espacio de disco determinado. Si es que no se pudo

analizar cual es el tiempo que se emplear en la

asignacin del espacio durante la operacin, es muy


20/52



probable que la aplicacin no funcione y se caiga.Sera muy arriesgado el volver a levantar la

aplicacin haciendo una nueva asignacin de espacio

y una reconversin ya que demandara demasiado

tiempo.

Verificacin de Controles de la Gestin Informtica:Cuando ya se ha conseguido

que los sistemas se encuentren

en total operatividad, seprocede a cumplir el siguiente

objetivo de la auditora, el cual

es el cumplimiento exacto de

las normas previamente

establecidas en el departamento

de informtica y que tengan

coherencia con el resto de la empresa. Esto se realiza

siguiendo un orden el cual es el siguiente:

- Las Normas Generales de la InstalacinInformtica. Se har una verificacin inicial noconsiderando a fondo las contraindicaciones que

puedan existir, pero si anotando las zonas que se

encuentren en carencia de aspectos normativos

requeridos, y por sobre todo teniendo mucho cuidado

en que esta normativa no se encuentre en

contradiccin con las normas generales de la

empresa.

- Los Procedimientos Generales Informticos. Seproceder a la comprobacin de su existencia,

mnimo en los sectores ms importantes.

- Los Procedimientos Especficos Informticos: Deigual forma se proceder a la verificacin de su

existencia en las principales reas. Hay que asegurar

que los Procedimientos Especficos no se opongan alos Procedimientos Generales. En los casos antes


21/52



- mencionados sin excepcin se deber tener cuidado

en no contradecir ninguna normativa y los

Procedimientos Generales de la propia empresa. Los

procedimientos que se dan a continuacin son los que

se han estado mencionando.

AUDITORA INFORMTICA DE EXPLOTACIN

En la Explotacin

Informtica se producen los

resultados informticos de

todo tipo, es as que arroja

resultados como: listados

impresos, ficheros

soportados magnticamente

para otros informticos,ordenes automatizadas para

lanzar o modificar procesos

industriales, etc. Esta es vista como la fabrica un centro de

produccin que tiene caractersticas particulares, las cuales la

hacen diferente a las reales. La materia prima es importante,

los datos sern transformados en la informacin requerida esta

informacin pasar por un control de integridad y calidad

previamente. El proceso informtico es la va para esta

transformacin el cual es gobernado por programas. Al finallos resultados se someten a controles de calidad, para asegurar

que la salida al mercado del producto final se haga en ptimas

condiciones.

La Explotacin Informtica est dividida en tres grandes reas.

Estas son: Planificacin, Produccin y Soporte Tcnico, y

estas a su vez estn subdivididas en varios grupos.

1.Planificacin

2.

Produccin

3.Soporte

Tcnico

Explotacin Informtica


22/52



1 Control de Entrada de DatosLa informacin obtenida ser analizada para su compatibilidad

con los sistemas, se debe tomar en cuenta los plazos

establecidos para la entrega de los datos y la correcta entrega

de la informacin a los entornos diferentes. Tambin se tomar

en cuenta que estos procedimientos se realicen de acuerdo a

las normas vigentes.

2 Planificacin y Recepcin de AplicacionesLas normas de entrega de Aplicaciones por parte de desarrollosern auditadas, comprobando su cumplimiento y su calidad.

Una forma de evaluar la informacin tambin es escogiendo

una serie de muestras representativas de la documentacin de

las aplicaciones en explotacin. Se har las investigaciones

pertinentes a fin de determinar sobre la anticipacin de

contactos con desarrollo para la planificacin a medio y largo

plazo.

3 Centro de Control y Seguimiento de Trabajos:La produccin diaria es un

procedimiento al que se realizar un

anlisis exhaustivo. La explotacin

informtica dar ejecucin bsicamente

a procesos por cadenas o lotes

sucesivos(Batch), o en tiempo

real(Tiempo Real). Las aplicaciones de

teleproceso se encuentran enpermanente actividad limitando a las

funciones de Explotacin a vigilar y recuperar incidencias, y

mientras esto sucede el trabajo Batch absorbe una buena parte

de los efectivos de Explotacin. Aqu se determina el xito de

la explotacin, debido a que este se considera uno de los

artfices en el mantenimiento de la produccin.


23/52



Batch y Tiempo RealAplicaciones Batch, son un tipo de aplicacin que carga

mucha informacin en el transcurso del da, durante la noche

corre un proceso, el cual relaciona a la

informacin en general, tambin lo que hace es

calcular cosas y obtener como salida alguna

accin. Entonces lo que hace es slo recaudar

informacin sin que sea procesada, es decir que

solamente se trata de un tema Data Entry, elcual recolecta la informacin y corre el proceso

batch(por lotes), este realiza posteriormente

clculos para comenzar a trabajar el da siguiente. En cambio

lo que sucede con las aplicaciones que son Tiempo Real, es

que estas procesan la informacin inmediatamente despus de

ser ingresada devolviendo el resultado en el preciso instante.

Operacin, Salas de ordenadores

Las relaciones que unen a las personas y la conexin lgicaque existe de cargos y salarios sern estudiadas, tambin se

ver si es que la distribucin de turnos es equitativa. Cada

turno de trabajo estar bajo el cargo de un responsable de sala.

Los Manuales de Operacin son importantes, as como su

utilizacin, tambin los comandos y su grado de

automatizacin sern analizados con el fin de despejar dudas

acerca de su buen funcionamiento. Los planes de formacin

deben ser analizados, adems estos deben ser cumplidos

tambin es importante que se cumpla el tiempo transcurridopara cada operador, desde le tiempo en que recibi el ltimo

curso. Se verificarn los montajes diarios y por horas de cintas

o cartuchos, luego el tiempo que transcurre a solicitud de

montaje por parte del sistema hasta el montaje real. Sern

verificadas las lneas de papel impresas da a da y en las horas

de impresin, as tambin la manipulacin de papel que este

implica.


24/52



Control de Red y Control de DiagnosisExiste un centro de control de red, el cual se encuentra

siempre ubicado dentro del rea de produccin Explotacin.

Este centro dedica sus funciones exclusivamente al entorno de

las comunicaciones, se relaciona mucho con el Software de

Comunicaciones de Tcnicas de Sistemas. La fluidez en

cuanto a la relacin y el grado de coordinacin entre ambos

debe ser analizado. La existencia de un punto equidistante

ser estudiada, desde donde sean perceptibles todas las lneasque se encuentren asociadas al sistema.

En cuanto al Centro de Diagnosis,

aqu se atienden llamadas de los

usuarios clientes, quienes se ha

averiado o han sufrido alguna

incidencia, tanto en Software como

en Hardware. Este centro es para

informticos grandes con usuariosdispersos en un territorio amplio.

El Centro de Diagnosis es uno de

los que ms ayuda a disponer la

configuracin de la imagen de la

informtica de la empresa. La auditora debe tomar este punto

de vista. Desde el punto de eficacia y eficiencia del usuario en

cuanto al servicio que recibe. La verificacin de la eficiencia

tcnica del centro no es suficiente, por que ser necesario un

anlisis simultneo, en el entorno del usuario.

AUDITORA INFORMTICA DE DESARROLLO DEPROYECTOSEl Anlisis y, la Programacin de Sistemas y Aplicaciones es

lo que ha dado lugar al nacimiento del llamado Desarrollo.

Este ltimo abarca muchas reas, y son tantas como sectores

informticos tiene la empresa. Sencillamente, una aplicacin

tiene fases, las mismas que son:


25/52



- Prerequisitos del usuario (nico o plural) y delentorno.

- Anlisis Funcional.

- Diseo.

- Anlisis orgnico (preorogramacin y programacin).

- Pruebas.

- Entrega a explotacin y alta para el proceso.

El control interno es una actividad a la cual estn sujetas estas

fases, si se diera el caso contrario puede originarse un usuarioinsatisfecho, provocado tambin por un elevamiento de los

costes.

Al final debe comprobarse la total garanta en la seguridad de

los programas, es decir que los resultados que se arrojen sean

los deseados.

Se deben considerar cuatro puntos que son importantes para la

Auditora de Aplicaciones, quien obligadamente deber pasar

por la observacin y el anlisis.

1. Una revisin obligada de las metodologas utilizadas, es

decir estas sern analizadas, para as asegurar la

modularidad de las nuevas ampliaciones de aplicacin, as

como tambin su mantenimiento.

2. Dentro del control interno se revisarn las mismas fases,

las mismas que han debido continuar en el rea

correspondiente de desarrollo:

Cuando la aplicaciones son grandes, caras ycomplejas es importante un anlisis de su aplicacin.

Las aplicaciones debern ser definidas de acuerdo auna lgica. Se observan los postulados, en funcin

de la metodologa que se aplica y los objetivos que el

proyecto persigue.

El Desarrollo Tcnico de la Aplicacin. Esimportante que este desarrollo tcnico sea ordenado y

correcto. Debern ser compatibles las herramientas

tcnicas que se usen ya que la diversidad deprogramas as lo requiere.


26/52



Diseo de Programas, deben ser muy sencillos, serntambin econmicos y tendrn modularidad, es decirregulable.

Debe haber un periodo de pruebas y para eso se debeutilizar un mtodo, el cual ser realizado de acuerdo a

las normas de instalacin. Se harn pruebas de

ensayo de datos, para mayor seguridad y los datos

reales no sern permitidos.

Documentacin. Toda actividad realizada serdocumentada y deber cumplir la normativaestablecida en la instalacin.

Habr un equipo de programacin. Debido a que haytareas que deben ser observadas, estas son tareas de

anlisis puro, de programacin e intermedias.

3. Los usuarios cumplen un rol importante debido a que las

aplicaciones que se encuentren tcnicamente eficientes y

bien desarrolladas, que no satisfagan los requerimientos

de estos mismos, sern vistas como fracasadas, laaceptacin por parte del usuario otorga ventajas, debido a

que se podrn evitar nuevas programaciones, ahorrando

en mantenimiento de la aplicacin.


27/52



4. Otro punto son los programas crticos a quienes hay quemantener un control de procesos

y ejecuciones: entonces el

Auditor debe tener la

posibilidad de ejecutar un

mdulo el cual no corresponde

con el programa fuente que

desarrollo, codific y prob en

el rea de Desarrollo de

Aplicaciones. La compilacindebe corresponder al programa

codificado, de no ser as podran

provocar graves daos y altos

costes de mantenimiento, lo que tambin puede suceder

es que se prestara para fraudes y sabotajes, etc. Cuando

un programa se da por bueno entonces se sujeta a ciertas

normas que determinan el ser entregados a explotacin

con el fin de copiar el programa fuente en la librera de

fuentes de explotacin, ha esta librera nadie ms tieneacceso. Despus la compilacin y el montaje del

programa ponindolo en la librera de mdulos de

explotacin, a esta tampoco nadie tiene acceso, y por

ltimo hacer una copia de los programas fuente que se

soliciten para modificarlos o en todo caso para ser

arreglados una vez hecho esto es necesario volver a

verificar todo.

Este sistema para auditar es bastante complejo y arduo, poreso se utiliza un sistema llamado U.A.T. (User Acceptance

Test). Este sistema consiste en la medida en que el usuario de

uso a una aplicacin los errores sean detectados. Estos errores

que van encontrndose deben ser corregidos a medida que se

va desarrollando el sistema U.A.T. cuando se consigue el

U.A.T. el usuario debe dar el visto, es decir el Sing Off (esto

esta bien). La Auditora debe controlar todo este testeo,

adems deber analizar que este sea correcto, y que exista un

planeamiento para esto, donde se encuentren involucrados el


28/52



cliente y el desarrollador a fin de corregir estos errores. Esteanlisis al final debe ser confirmado.

AUDITORA INFORMTICA DE SISTEMAS

La tcnica de Sistemas

tiene varias facetas de

las cuales sta rama de

la auditora esta

ocupndose yanalizando. Con el

avance de la

tecnologa en cuanto a

las

telecomunicaciones se

ha dado origen a que

se den auditoras de las comunicaciones, redes y lneas de

instalaciones informticas sean auditadas individualmente, as

sean parte del entorno general de sistemas.

Tenemos a los Sistemas Operativos:Los sistemas deben encontrarse actualizados y esto es tarea del

sistema operativo, quien abarca los sub-sistemas de

procesamiento de data, los dispositivos de Entrada/Salida,

etc., la verificacin de esto debe hacerse con las ltimas

versiones de la casa fabricante o proveedora, se debe hacer un

seguimiento por posibles fallas u omisiones si es que las

hubiera.

Con esta labor se puede determinar la incompatibilidad que

existe entre un software bsico que pueda haber sido

adquirido, o quizs el posible conflicto que pueda estarse

generando entre un software con otro. Los lmites variables de

las libreras deben ser observados constantemente, sobre todo

los ms importantes de los sistemas, debido a que hay que

tener cuidad para que no cumplan otra funcin sino para la que

ha sido creada por fabricante.


29/52



Software Bsico:Los software bsicos son

productos que muchas veces han

sido adquiridos posteriormente a

la adquisicin de los equipos de

cmputo, y siendo as, el auditor

debe tener pleno conocimiento

de la facturacin de estos

productos. Debido a intereseseconmicos y a razn de que la

computadora pueda funcionar sin

el producto adquirido

posteriormente por el cliente. Despus debe comprobarse que

el software desarrollado por el propio personal de la empresa

no cree conflicto con el Sistema. En el aspecto econmico, si

se presentara el caso de encontrar alternativas que signifiquen

una mejora en trminos de costes y esfuerzo, deber ser

tomado en cuenta.Software de Teleproceso (Tiempo Real):Por la funcin especfica que cumple e importancia el

Software Bsico no es incluido. Pero las consideraciones antes

establecidas son vlidas para ste tambin.

El Tunning:La conducta de los sub-sistemas es evaluada por un conjunto

de tcnicas de observacin y de medida, as tambin el

Sistema es evaluado en todo su conjunto. El tunning debe serdiferenciado de otros controles que el personal de sistemas

realiza normalmente.

De acuerdo a los indicios observados es que se establecen

planes y programas de accin, estos planes pueden ser

desarrollados cuando se determina que existe deterioro en

cuanto a la actitud parcial o general del sistema. Y de forma

peridica, aplicando alguna metodologa, por cada cierto

tiempo las acciones que se toman tienen un planeamiento yadeterminado.


30/52



El tunning es una actividad que debe ser realizada un

determinado nmero de veces por ao, y esto debe ser de

conocimiento pleno del auditor, as como tambin los

resultados que arrojen estos. Las observaciones deben ser

consideradas por ser de mucha importancia.

Los Sistemas, Sub-Sistemas y su Optimizacin:

A consecuencia de lostunnings que se han realizado,

el personal de sistemas har

una accin de optimizacin

permanente. Las acciones de

optimizacin estarn

monitoreadas por el auditor

quien se encargar de

comprobar que estas son

efectivas y que no perjudicarn el sistema mantenindolooperativo juntamente con el plan critico de produccin diaria.

La optimizacin viene a ser nada ms que la mejora en el

rendimiento del software, ya que estos a veces se ponen muy

lentos por toda la informacin manejan y a medida que se van

cargando ms, se van volviendo ms lentos. Y esto se logra

con un anlisis de la performance de la aplicacin.

Administracin de Base de Datos

Una tarea bastante complicada se ha convertido laconstruccin de Bases de Datos, ya sean relaciones o

jerrquicas, generalmente estas se desarrollan en un entorno de

tcnica de sistemas, de acuerdo a las reas de desarrollo y

usuarios de la empresa. La administracin de la arquitectura y

diseo de programas esta a cargo de Sistemas. Se han

observado algunas deficiencias por el mal funcionamiento,

debido a la falta de experiencia que el personal de sistemas

tiene sobre el problema general de usuarios de Bases de Datos.


31/52



Quien debera estar a cargo de la explotacin es laadministracin. El auditor de bases de datos debera

asegurarse que explotacin conoce suficientemente las que son

accedidas

por los procedimientos que ella ejecuta. Revisar los sistemas

de seguridad que puedan existir, los que son de competencia

de Explotacin. Por ltimo se verificar la integridad y

consistencia de los datos, tambin se verificar la ausencia de

repeticiones innecesarias entre ellos.

Investigacin y DesarrolloLas empresas de hoy necesitan de informticas desarrolladas,

y saben que su propio personal desarrolla aplicaciones y

ganancias que, pensadas inicialmente para su utilizacin

interna, pueden ser susceptibles de otras empresas, creando

una competencia a las compaas del ramo. La auditora

informtica debe tener cuidado que la Investigacin y el

Desarrollo no sea una actividad que estorbe a otras actividades

internas de la empresa.

AUDITORA INFORMTICA DE COMUNICACIONESY REDESTanto el informtico como el auditor, las Redes Nodales,

Concentradores, Redes Locales, Lneas, Multiplexores

conforman lo que ellos conocen como la estructura de lo que

conocen como el soporte fsico-lgico del Tiempo Real. El

auditor debe saber enfrentar las deficiencias tcnicas delentorno, debido a que debe realizar un estudio profundo de

todas las actividades, siendo partcipe de situaciones y hechos

alejados entre s, encontrndose parametrado a la participacin

del monopolio telefnico que se presta por parte de soporte.

Aqu la auditora necesita de especialistas expertos que presten

servicio simultneo en Redes Locales y Comunicaciones.

En las comunicaciones el auditor deber estudiar sobre el uso

de las lneas contratadas con gran cantidad de informacinsobre tiempos de desuso. La topologa de red con la que


32/52



trabaje deber ser la ms actualizada, de no ser as significara

una debilidad grande.

La carencia de informacin provocara la inoperatividad

informtica. Pero el mal funcionamiento organizativo es en

muchos casos el producto de las debilidades ms frecuentes.

Los puestos de trabajo van de acuerdo a como estn dispuestas

las contrataciones e instalaciones de lneas.

Las actividades en su conjunto deben tener una buena

coordinacin o en todo caso depender de una solaorganizacin.

AUDITORA DE SEGURIDAD INFORMTICA

Los equipos de cmputo son

herramientas muy tiles,

debido a que agilizan

enormemente elprocesamiento de

informacin, esta informacin

puede ser confidencial, para

las personas, tambin para

empresas o instituciones, la cual puede ser a su vez mal

utilizada. La seguridad es importante en todo sentido debido a

que puede prestarse para realizar robos, fraudes o sabotajes, lo

que podran causar la destruccin de esta actividad en su

totalidad o parcialmente, y junto con ello vendra un retraso noesperado.

Los virus informticos tienen intenciones diversas, los hay

para softwares que no tienen autorizacin generalmente y que

han sido copiados, es decir los que son piratas, causando

mucho dao a la informacin que Ud., pueda tener en su disco

incluso podra llegar a borrarla.

El auditor debe cuidar este aspecto debido a que al momentode conectarse con otros equipos en red, podra infectarse de


33/52



virus. Esto comienza cuando la actividad que se le asigna al

equipo de cmputo no es cumplida totalmente y se le da unuso ajeno a la organizacin, por lo general se da estos casos

por tratarse de fines de comerciales en algunos casos

fraudulentos.

La seguridad fsica y lgica son dos conceptos que la

seguridad informtica toma. La seguridad fsica se ocupa del

Hardware y de los soportes de datos, tambin se ocupa de

toda la estructura de la que forman parte es decir los ambientes

e instalaciones que alberga al hardware, toma en cuentasituaciones de desastres como incendios, sabotajes, catstrofes

naturales, robos, etc.

Obviamente la seguridad lgica se refiere al cuidado del

software y a la proteccin de los datos, programas y dems

procesos, adems est incluido la forma de acceso a la

informacin por parte de los usuarios.

Cuando se puede tener el software dentro del control de

acceso, se puede manejar mucho mejor el control deproteccin del sistema. Es decir que los accesos son

controlados a usuarios no autorizados, ya que la informacin

se considera como confidencial.

En los ltimos aos se ha observado un incremento en cuanto

a los delitos informticos y las agresiones a centros e

instalaciones informticas, dando lugar a que se tomen las

medidas pertinentes, con el fin de mejorar la seguridad

informtica en un nivel fsico. Para esto se ha acelerado eldesarrollo de productos de seguridad lgica y el uso de medios

criptogrficos bastante desarrollados. Podemos dividir a la

seguridad informtica en Area General y como Area especfica

(seguridad de Explotacin, seguridad de Aplicaciones). Los

sistemas integrales de seguridad deben considerar lo siguiente:

Se debe definir una poltica de seguridad en la empresa. La seguridad fsica es importante y debe considerar

catstrofes como incendios, terremotos, etc. Elementos administrativos.


34/52



Deben ser organizados y deben dar responsabilidades. Se deben ejecutar prcticas de seguridad del personal. Deben contemplar elementos tcnicos y procedimientos. Seguridad de los equipos, de los sistemas, de redes y de

terminales y de todos los elementos en general.

La aplicacin de sistemas de seguridad debe ser extensivaa datos y archivos.

Por seguridad debe planearse programas de desastre yprobarse constantemente.

Debe definirse el rol que cumplirn los auditores internoscomo externos.

Los riesgos potenciales son uno de los factores a los que se

debe la decisin de optar por una Auditora Informtica de

Seguridad Global. Para esto se desarrollan matrices de riesgo,

donde son consideradas las amenazas de una instalacin y

como pueden verse afectadas stas debido a ello. Estas

matrices pueden representarse con cuadros que disponen de

una doble entrada en la que se enfrentan las Amenazas Vs.

Impacto, aqu los elementos de la matriz son sometidos a un

intenso anlisis.

Impacto Amenaza

Error Incendio Sabotaje .. 1: No probable

Destruccin ----- 1 1 2: Probable

De Hardware 3: CertezaBorrado de 3 1 1 4: Despreciable

Informacin


35/52



TCNICAS Y HERRAMIENTAS USADAS POR LAAUDITORA INFORMTICA

CuestionariosLa informacin recopilada es muy

importante, y esto se consigue con el

levantamiento de informacin y

documentacin de todo tipo. Los

resultados que arroje una auditora se

ven reflejados en los informes finalesque estos emitan y su capacidad para el

anlisis de situaciones de debilidades o

de fortalezas que se dan en los diversos

ambientes. El denominado trabajo de

campo consiste en que el auditor busca

por medio de cuestionarios recabar

informacin necesaria para ser

disernida y emitir finalmente un juicio global objetivo, los que

deben ser sustentados por hechos demostrables, a quienes seles llama evidencias.

Esto se puede conseguir, solicitando el cumplimiento del

desarrollo de formularios o cuestionarios lo que son

preimpresos, los cuales son dirigidas a las personas que el

auditor considera ms indicadas, no existe la obligacin de que

estas personas sean las responsables de dichas reas a auditar.

Cada cuestionario es diferente y muy especfico para cada

rea, adems deben ser elaborados con mucho cuidadotomando en cuenta el fondo y la forma.

De la informacin que ha sido analizada cuidadosamente, se

elaborar otra informacin la cual ser emitida por el propio

Auditor. Estas informaciones sern cruzadas, lo que vine a sr

uno de los pilares de la auditora.

Muchas veces el auditor logra recopilar la informacin por

otros medios, y que estos preimpresos podan haber

proporcionado, cuando se da este caso, se puede omitir estaprimera fase de la auditora.


36/52



Entrevistas:Existen tres formas para que el auditor logre relacionarse conel personal auditado.

1. La solicitud de la informacin requerida, esta debe ser

concreta y debe ser de la materia de responsabilidad del

auditado.

2. En la entrevista no se sigue un plan predeterminado ni unmtodo estricto de sometimiento a un cuestionario.

3. La entrevista es un medio por el que el auditor usarmetodologas las que han sido establecidas previamentecon la finalidad de encontrar informacin concreta.


37/52



La importancia que la entrevista tieneen la auditora se debe a que, la

informacin que recoge es mayor se

encuentra mejor elaborada, y es ms

concreta que las que pueden

proporcionar los medios tcnicos, o

los cuestionarios. La entrevista

personal entre el auditor y el personal

auditado, es basada en una serie de

preguntas especficas en las que elauditado deber responder

directamente. El sistema de

interrogacin se establece previamente y el auditor tendr

mucho cuidado, esta entrevista se debe dar de una forma muy

cordial y bajo los parmetros de lo correcto, esto se hace con

la finalidad de que sea lo menos tensa posible, y que el

auditado conteste de la forma ms natural, con mucha

sencillez. Slo que esta sencillez con la que se elaboran las

preguntas debern tener un fondo muy profundo, el cual esdistinto en cada caso.

El auditor cuando es ducho en la materia y tiene mucha

experiencia, realiza un trabajo de reelaboracin de sus

cuestionarios de acuerdo a la situacin y al escenario auditado.

Este es un personaje que sabe que es lo que busca, debido a

que tiene bien en claro lo que necesita, y por que lo necesita.

Su trabajo es el pilar fundamental para el anlisis, cruce y

elaboracin posterior del informe final, pero esto no indica queel auditado tenga que ser sometido a un interrogatorio

automatizado lo cual no ofrece ningn camino. Por el

contrario el auditor realizara la entrevista de tal forma que el

auditado pueda responder a las preguntas formuladas de

manera normal, lo que servir para llegar ala cumplimiento de

los cuestionarios de sus checklists.

El uso del Checklist goza de opiniones compartidas, debido a

que descalifica en cierta forma al auditor informtico, por queal hacer uso de este tipo de cuestionarios el auditor incurre en


38/52



la falta de profesionalismo. Por eso es mejor que se de unprocesamiento de la informacin a fin de llegar a respuestas

que tengan coherencia y as poder definir correctamente los

puntos ms dbiles y los ms fuertes. El profesionalismo del

auditor se refleja en la elaboracin de preguntas muy bien

analizadas, las mismas que se hacen de forma no muy

rigurosa.

Estos cuestionarios son denominados Checklist. Estos

cuestionarios deben ser contestados oralmente, ya que superan

en riqueza a cualquier otra forma de obtencin de informacin.De acuerdo a la claridad de y a la metodologa empleada por el

auditor, es que el auditado podr responder, de diferentes

puntos de vista. El personal auditado generalmente se

encuentra familiarizado con el perfil tcnico y lo percibe

fcilmente, as como los conocimientos del auditor. De

acuerdo a esta percepcin denota el respeto y el prestigio que

debe poseer el auditor.

Por ello es muy importante tener elaboradas las listas de

preguntas, pero an es mucho ms importante la forma y elorden en que estas se formulan, ya que no serviran de mucho

si es que no se desarrollaran oportuna y adecuadamente. Algo

que es muy importante tambin es el hecho de no olvidar que

la actividad auditora se ejerce sobre bases de prestigio

autoridad y tica.

El Checklist debe ser aplicado de tal manera que el personal

auditado pueda contestar sencillamente. Se deber interrumpir

lo menos posible a ste, slo en los casos en que lasrespuestas se desven del objetivo principal. Incluso se puede

presentar el caso en el que el auditado sea invitado a exponer

un tema concreto, pero en cualquiera de las situaciones no se

podr presionar absolutamente al mismo. Puede ser que

alguna pregunta deba repetirse, pero en este caso deber ser

formulada en forma diferente, o su equivalencia. Con la ayuda

de este mtodo los puntos contradictorios sern notorios de

forma ms rpida. Cuando se dan casos en los que existe

contradiccin, entonces se har una reelaboracin de preguntaspara complementar a las formuladas previamente y as poder


39/52



conseguir consistencia. El auditor no debe representardemasiado formalismo ya que deber actuar naturalmente al

momento de formular sus preguntas y de acuerdo al desarrollo

de la entrevista tomar las notas que considere importantes en

presencia del auditado, pero nunca marcar con aspas ni

escribir cuestionarios en su presencia.

Estos Checklist responden a dos tipos de razonamiento para su

calificacin o evaluacin:

1. Checklist de rango: contendr preguntas que se harndentro de los parmetros establecidos, por ejemplo, de 1 a 5,siendo 1 la respuesta ms negativa y 5 la ms positiva.

2. Checklist Binario: preguntas que son formuladas conrespuesta nica y excluyente, Si o No; verdadero o falso.


40/52



Trazas y/o Huellas Las funciones que debenrealizar los programas,

tanto de los sistemas

como de los usuarios

debern ser las previstas y

esto debe ser verificado

por el auditor informtico.

Es entonces que utiliza

herramientas de softwarepotentes y modulares, los que sirven de rastreadores, para dar

un seguimiento a los datos a travs de los programas.

Las Trazas se utilizan para comprobar que las validaciones de

datos previstas sean ejecutadas. El sistema no debe ser

modificado absolutamente por causa de estas. Si por causa de

las herramientas del auditor se da un aumento de carga se

podr optar por darle uso en los momentos ms adecuados.

La comprobacin de los valores asignados por tcnica desistemas, se realizan por medio de productos usado por los

auditores y esta comprobacin se da a cada uno de los

parmetros variables de las libreras ms importantes del

mismo, los parmetros variables deben estar sujetos a un

intervalo delimitado por el fabricante.

Las trazas son muy tiles, pero an as debe repetirse lo que ha

sido dicho de la Auditora Informtica de Sistemas, que el

auditor utiliza la informacin proporcionada por el sistema.

De igual forma, el sistema ayudar a detectar automticamente

sobre la deteccin de errores de mquina central, perifricos,

etc.

Las trazas son utilizadas con frecuencia por la auditora

financiero-contable convencional. Estos se usan para verificar

que los clculos se dan en forma correcta, con respecto a

nminas, primas, etc.


41/52



Software de InterrogacinLos paquetes de auditora sonelementos que el auditor a utilizado

hasta hace pocos aos, estos son

paquetes de software, los cuales son

capaces de generar programas para

aquellos auditores que no carecen de

cualidades, desde una visin

informtica. Luego de un tiempo estos

productos se desarrollaron, lograndorealizar muestreos estadsticos, los que

permitieron realizar proyecciones de acuerdo a consecuencias

e hiptesis de situaciones reales de una instalacin.

Los paquetes de software para Auditora Informtica de hoy

estn orientados, a lenguajes de interrogacin de ficheros y

bases de datos de la empresa auditada. Los auditores internos

no disponen de este software, por que cuentan slo con

software que la instalacin les proporciona.

Las empresas desarrolladoras de software se han visto a

fabricar interfaces de transporte de datos entre computadoras

personales y Mainframe, esto debido a la expansin de las

redes locales y de su filosofa ClienteServidor, as, el auditor

rescata la informacin ms importante para su trabajo.

Conectados al Host, los terminales almacenan datos que han

sido proporcionados por el mismo, estos datos son tratadosposteriormente de un modo PC. El auditor esta obligado a

recopilar informacin de los usuarios finales, esto se puede

hacer con mucha facilidad, de acuerdo a los productos

descritos. El trabajo del auditor informtico en el campo se

deber hacer con productos del cliente. Para la realizacindel trabajo de Auditora Informtica es importante unametodologa:


42/52



METODOLOGA DE TRABAJOEl Auditor Informtico utiliza un mtodo de trabajo el cual sedivide en fases o etapas:

Determinar los Alcances y Objetivos. Anlisis del ambiente a Auditar y del entorno Auditable. Determinacin de recursos de la Auditora Informtica. Establecer cuales son los recursos mnimos a emplear en

la Auditora.

Elaboracin y planteamiento del plan de trabajo y de losprogramas.

Actividades a realizar en la Auditora. Elaboracin del informe Final. Elaboracin de la Carta de Introduccin correspondiente

al Informe final.

DETERMINACION DE ALCANCES Y OBJETIVOS.

Debe delimitarse cual va a

ser el alcance que tenga la

auditora. Las funciones

que se van a cumplir

deben plantearse mediante

un acuerdo muy preciso y

este se dar entre

auditores y clientes,

igualmente sobre las

materias y entidades a

auditar.

Esto es importante, pues implica un ahorro de tiempo y otorga

beneficios a ambas partes, ya que de acuerdo a este punto se

podrn determinar cuales son las materias, funciones o quizs

organizaciones que sern auditadas. Estos alcances y

limitaciones sern expresadas en el principio del informe final.

Los objetivos que tiene la auditora deben ser conocidos hastael ltimo detalle por las personas que harn la auditora, as

como tambin, los objetivos a los que su tarea quiere llegar.


43/52



La necesidad del cliente deber ser satisfecha con elcumplimiento de sus pretensiones, de la manera que las metas

trazadas sean cubiertas.

Los objetivos determinados debern aadirse a los Objetivos

Generales de la Auditora Informtica, los que son: Los

controles Generales de la Gestin Informtica y la

Operatividad de los Sistemas.

ANALISIS DEL AMBIENTE A AUDITAR Y DELENTORNO AUDITABLE.Para llevar a cabo esta actividad debe realizarse un anlisis de

exhaustivo de las funciones que cumple la informtica, tanto

como sus actividades generales. Para llevar a esto a cabo el

auditor debe tener pleno conocimiento de:

Organizacin:

Conocer a las personas responsables, quien es el que ordena,quien disea y quien ejecuta es importante para el auditor y

todo su equipo. Deben tomarse en cuenta los siguiente puntos:

- Organigrama.

- Departamentos.

- Relaciones de jerarqua y funcionales entre

organismos y la organizacin.

- Flujos de Informacin.

- Cantidad de Personal por puesto de trabajo.- Nmero de puestos de trabajo

Ambiente de trabajoEs de suma importancia que el equipo auditor conozca el

ambiente sobre el cual va a trabajar y en el que se va a

desenvolver.


44/52



Esto permitir que:- Haya un conocimiento pleno de la situacin

geogrfica de los sistemas, ya que podr determinarse

la ubicacin de los Centros de Procesamiento de

Datos de la organizacin.

- Se conocer la Arquitectura y Configuracin de

hardware y Software.

- Inventario de Hardware y

Software, es importante

saber donde figuran todoslos elementos fsicos y

lgicos de la instalacin. En

este inventario deben estar

todos los productos lgicos

del sistema, desde el

software bsico hasta

programas de uso y

adquiridos o desarrollados

internamente.- Comunicacin y Redes de Comunicacin, las

caractersticas de las lneas y de acceso a la red

pblica de comunicaciones deben estar a disposicin

del auditor. De igual forma podrn tener informacin


45/52



DETERMINACION DE RECURSOS DE LAAUDITORA INFORMTICAUna vez concluido el estudio inicial se procede a determinar la

cantidad de recursos humanos y materiales que se utilizarn

durante el desarrollo de la auditora.

Recursos materiales:Los recursos materiales son proporcionados por el cliente

mayormente. El sistema auditado ser evaluado por lasherramientas de software propias del equipo, por este motivo

habr una coordinacin entre el equipo auditor y el cliente.

Estos recursos pueden ser de dos tipos:

Recursos de software:Los mismos que pueden estar comprendidos de programas

que son herramientas de auditora, estos tienen gran

potencia y flexibilidad.

Luego estn los monitores: son usados de acuerdo aldesarrollo obtenido por la tcnica del auditado, la calidad

y la cantidad de los datos.

Recursos de hardware:Estos recursos sern proporcionados por el cliente. Las

computadoras del auditado sern evaluadas de forma

obligatoria por el auditor. Para que esto se lleve a cabo, se

deber coordinar con el cliente para evitar cualquier

contratiempo. Se evaluar tiempo de mquina, espacio endisco, impresoras ocupadas, etc.

Recursos HumanosLa materia Auditable ser quien determine

la cantidad de recursos, y tambin el

personal que ser asignado para su

desarrollo considerando el perfil personal

y profesional de cada uno. Una auditora

general se ejerce generalmente porprofesionales universitarios, los cuales han


46/52



obtenido en la universidad el criterio necesario para poderdisernir cada situacin presentada en estos casos, o tambin

por personal con experiencia multidisciplinaria comprobada.

ELABORACIN Y PLANTEAMIENTO DEL PLAN DETRABAJO Y DE LOS PROGRAMASEl plan de trabajo es una actividad que se realiza cuando ya se

tienen asignados los recursos, el responsable de la auditora y

sus colaboradores son quienes tienen a cargo esta labor. Unavez terminado este comenzar a llevarse a cabo la

programacin del mismo.

Los criterios a tomarse en consideracin deben ser elaboracin

con sumo cuidado, pudiendo ser los siguientes:

1. La elaboracin es ms compleja o ms costosa si

se da el caso de que la revisin se realice por

reas generales o especficas.

2. Si es que la auditora abarca toda el reainformtica o slo en forma parcial, el nmero de

auditores necesarios es determinado por el

volumen a auditar, determina tambin las

especialidades necesarias del personal.

3. Deben ser especificadas la ayudas de parte del

auditado que el auditor necesitar y recibir.

4. Las materias a auditar deben tener una escala de

prioridad y esta estar dada en el plan, de

acuerdo a las necesidades y prioridades delcliente.

5. Los calendarios no son de consideracin dentro

del plan, debido a que solo son manejados

recursos genricos y no especficos.

6. La disponibilidad de los recursos posteriormente,

es establecida durante la revisin.

7. Los recursos y esfuerzos globales que sern

necesarios se establecern en el plan.


47/52



8. Cada miembro del grupo recibir instrucciones ytareas a realizar, estas tareas son designadas de

acuerdo al plan estructural.

La programacin de actividades es lo que sigue a

continuacin, el plan debe ser de fcil maniobrabilidad con la

finalidad de aceptar modificaciones a lo largo del proyecto.

ACTIVIDADES A REALIZAR EN LA AUDITORA

Por temas generales o reas especficasLa Auditora Informtica general es realizada por reas

generales o por reas especficas. El empleo de mayores

recursos y ms tiempo total se daran si es que se examina por

grandes temas.

Si una auditora es realizada por reas especficas, se acaparan

las peculiaridades que afectan a al misma a la vez, de esta

forma el resultado el resultado es obtenido de manera msrpida pero con menor calidad.

Tcnicas de Trabajo- Estudio exhaustivo de la informacin recopilada del

personal auditado.

- Anlisis de informacin propia.

- Cruce de ambas informaciones.

- Entrevistas.

- Muestreos.

- Simulacin.

Herramientas a utilizar- Cuestionario inicial general.

- Simuladores (Generadores de Datos).

- Cuestionario Checklist.

- Matrices de riesgo.

- Estndares.

- Paquetes de auditora (Generadores de Programas).

- Simuladores (Generadores de Datos).- Monitores.


48/52



ELABORACIN DEL INFORME FINAL.

El documento final, el cual

refleja el trabajo realizado, los

procedimientos llevados a cabo

y las conclusiones finales y sus

respectivas recomendaciones,

se materializa en el informe

final. De acuerdo a laelaboracin final del informe se

determina la calidad del trabajo

realizado.

Antes de la elaboracin de este informe ya se han realizado

varios borradores en los cuales las opiniones del auditor y del

auditado son contrastadas, para as disipar cualquier duda que

pueda existir o descubrir algn fallo de apreciacin por parte

del auditor.

El informe se realizar comenzando con la fecha de inicio de

la auditora y la fecha de redaccin del mismo. Aqu son

incluidos los nombres del personal perteneciente al equipo

auditor, y los nombres de las personas auditadas, con

indicacin de jefatura, responsabilidad y puesto de trabajo que

ostente.

Se determinan los objetivos y alcances de la auditora,

enumerando los temas considerados. Y se enumeran demanera exhaustiva los temas objeto de la Auditora, antes de

entrar profundamente en cada uno de ellos.

Para la exposicin de los temas evaluados se seguir un orden,

el cual es:

- La situacin actual, esta actividad es realizada cuando

se trata de una revisin peridica, aqu no solo se

analiza el estado actual sino tambin el progreso que

haya tenido en el tiempo. Se dar a conocer el estadoactual y luego se expondr la situacin real.


49/52



- Las tendencias que existen, de acuerdo a los

parmetros establecidos, se har una proyeccin de laevolucin futura.

- Se expondrn los puntos dbiles y las amenazas.

- Se darn las recomendaciones y los planes de accin,

aqu se expondr el verdadero objetivo de la auditora

informtica, junto con la exposicin de los puntos

dbiles.

- Por ltimo se redactar la carta de presentacin o

introduccin

Sobre la exposicin del informe final se puede decir que:

- El informe debe incluir

hechos netamente

importantes, ya que los

hechos irrelevantes no

hacen ms que distraer

la atencin del lector.

- Los hechos que sedescriben en el informe

deben ser sustentados

por el mismo. Es decir que, estos hechos deben estar

documentalmente probados y soportados mediante

una verificacin objetiva. Y esta verificacin debe

seguir criterios que sern:

- Podrn ser sometidos a cambios.

- El cambio otorgar ventajas que superarn los

inconvenientes derivados de mantener lasituacin.

- No habr alternativas viables que superen al

cambio propuesto.

- Las recomendaciones del auditor sern utilizadas

para mantener o mejorar las normas y estndares

existentes en la instalacin.

Los hechos que aparecen en un informe de auditora significan

que pueden ser una debilidad la cual debe ser corregida.


50/52



Flujo del hecho o debilidad:Cuando se da una ocurrencia la cual reporta un hecho o unadebilidad, entonces se da un flujo que es como sigue:

Cuando se encuentra un hecho:- Todo hecho tiene importancia para el auditor y el

cliente.

- Tiene que tener un fundamento para ser convincente

y debe ser exacto.- Los hechos no deben repetirse.

Qu consecuencias puede traer este hecho:- Estas consecuencias deben ser redactadas, de tal

forma que puedan deducirse del hecho.

Consecuencias ocasionadas por el hecho:- Las consecuencias directas que el hecho pueda

ocasionar sern redactadas, debido a que lasinfluencias directas pueden darse sobre aspectos

informticos u otros mbitos de la organizacin.

- Las conclusiones se dan slo en el caso de que los

casos expuestos sean de condicin extensa, o en todo

caso si es que tienen un grado de complejidad grande.

El Auditor Informtico y sus recomendaciones:- Las recomendaciones debern ser simples y

entendibles, con slo leerlas.- Tendrn una sustentacin bien fundamentada.

- Deber ser claro y exacto en el tiempo, as, su

implementacin podr ser verificada.

- Las recomendaciones sern expresadas en forma

directa a personas que puedan hacer la

implementacin respectiva.


51/52



ELABORACIN DE LA CARTA DE INTRODUCCINCORRESPONDIENTE AL INFORME FINAL

Esta carta es muy importante debido a

que es un resumen bastante compacto de

la Auditora Realizada. Esta carta va

dirigida a la persona que se encuentra

como responsable de la empresa, o en

todo caso a la persona que pidi la

auditora.El informe final podr tener tantas

copias como sea solicitado el cliente,

pero slo se presentar una carta de

introduccin o presentacin.

La carta de introduccin constar de:- Deber expresar de manera explcita la cantidad de

reas analizadas.

- Se deben incluir fechas, objetivos, alcances ynaturaleza.

- Deber tener un mximo de 4 folios.

- Dar a conocer una conclusin general, explicando

cuales son las reas ms dbiles

- Las Debilidades sern expuestas llevando un orden el

cual se regir de acuerdo a la importancia o gravedad.

- Nunca deben escribirse recomendaciones.


52/52


CONCLUSIONES

La Auditora Informtica es importante, en toda empresa ya

sea pblica o privada y basta que posean Sistemas de

Informacin que tengan un grado de complejidad

considerable, deben ser sometidas a un riguroso control, y a

una evaluacin constante de eficacia y eficiencia.

Prcticamente un porcentaje considerable de las empresas de

hoy tienen su informacin estructurada en Sistemasinformticos, ese es el motivo para que estas entidades se

preocupen por su correcto funcionamiento.

La informatizacin de las empresas de hoy, es obligada,

debido a que la eficiencia de estas depende de sus sistemas de

Informacin. La vulnerabilidad de los sistemas har que las

empresas nunca salgan adelante por ms que cuenten con un

personal altamente calificado

La Auditora deber realizarse con gente muy capaz, seria, con

minuciosidad y responsabilidad. Ya que una Auditora mal

hecha, puede traer consecuencias econmicas graves para la

empresa que ha sido evaluada.

que es auditoria a

Documents