sistemas informatico se auditoria

7/21/2019 Sistemas Informatico Se Auditoria

http://slidepdf.com/reader/full/sistemas-informatico-se-auditoria 1/43

A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas

más poderosas para materializar uno de los conceptos más vitales y necesarios para

cualquier organización empresarial, los Sistemas de Información de la empresa.

La Informática hoy, está susumida en la gestión integral de la empresa, y por eso las

normas y estándares propiamente informáticos deen estar, por lo tanto, sometidos a losgenerales de la misma. !n consecuencia, las organizaciones informáticas forman parte de lo

que se ha denominado el "management" o gestión de la empresa. #ae aclarar que la

Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no

decide por s$ misma. %or ende, deido a su importancia en el funcionamiento de una

empresa, e&iste la Auditor$a Informática.

!l t'rmino de Auditor$a se ha empleado incorrectamente con frecuencia ya que se ha

considerado como una evaluación cuyo (nico fin es detectar errores y se)alar fallas. A causa

de esto, se ha tomado la frase "*iene Auditor$a" como sinónimo de que, en dicha entidad,

antes de realizarse la auditor$a, ya se ha$an detectado fallas.

!l concepto de auditor$a es mucho más que esto. Es un examen crítico que se realizacon el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una

entidad, etc.

La palara auditor$a proviene del lat$n auditorius, y de esta proviene la palara auditor, que

se refiere a todo aquel que tiene la virtud de o$r.

%or otra parte, el diccionario !spa)ol Sopena lo define como+ evisor de #uentas colegiado.

!n un principio esta definición carece de la e&plicación del o-etivo fundamental que

persigue todo auditor+ evaluar la eficiencia y eficacia.

Si consultamos el olet$n de /ormas de auditor$a del Instituto me&icano de contadores nos

dice+ " La auditor$a no es una actividad meramente mecánica que implique la aplicación de

ciertos procedimientos cuyos resultados, una vez llevado a cao son de carácter indudale."

0e todo esto sacamos como deducción que la auditor$a es un e&amen cr$tico pero no

mecánico, que no implica la pree&istencia de fallas en la entidad auditada y que persigue el

fin de evaluar y me-orar la eficacia y eficiencia de una sección o de un organismo.

Los principales o-etivos que constituyen a la auditor$a Informática son el control de la

función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta,

la verificación del cumplimiento de la /ormativa general de la empresa en este ámito y la

revisión de la eficaz gestión de los recursos materiales y humanos informáticos.

!l auditor informático ha de velar por la correcta utilización de los amplios recursos que la

empresa pone en -uego para disponer de un eficiente y eficaz Sistema de Información. #laroestá, que para la realización de una auditor$a informática eficaz, se dee entender a la

empresa en su más amplio sentido, ya que una 1niversidad, un 2inisterio o un 3ospital

son tan empresas como una Sociedad Anónima o empresa %(lica. *odos utilizan la

informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de otener

eneficios económicos y de costes.

%or eso, al igual que los demás órganos de la empresa 4alances y #uentas de esultados,

*arifas, Sueldos, etc.5, los Sistemas Informáticos están sometidos al control

correspondiente, o al menos deer$a estarlo. La importancia de llevar un control de esta

herramienta se puede deducir de varios aspectos. 3e aqu$ algunos+



• Las computadoras y los #entros de %roceso de 0atos se convirtieron en lancos

apeteciles no solo para el espiona-e, sino para la delincuencia y el terrorismo. !n este

caso interviene la Auditor$a Informática de Seguridad.

• Las computadoras creadas para procesar y difundir resultados o información

elaorada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. !ste concepto ovio es a veces olvidado por las mismas empresas que

terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus

Sistemas Informáticos, con la posiilidad de que se provoque un efecto cascada y afecte

a Aplicaciones independientes. !n este caso interviene la Auditor$a Informática de

0atos.

• 1n Sistema Informático mal dise)ado puede convertirse en una herramienta harto

peligrosa para la empresa+ como las maquinas oedecen ciegamente a las órdenes

reciidas y la modelización de la empresa está determinada por las computadoras que

materializan los Sistemas de Información, la gestión y la organización de la empresa no

puede depender de un Soft6are y 3ard6are mal dise)ados.

Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema

Informático, por eso, la necesidad de la Auditoría de Sistemas.

Auditoría:

La auditor$a nace como un órgano de control de algunas instituciones estatales y privadas.

Su función inicial es estrictamente económico7financiero, y los casos inmediatos se

encuentran en las peritaciones -udiciales y las contrataciones de contales e&pertos por

parte de ancos 8ficiales.

La función auditora dee ser asolutamente independiente9 no tiene carácter e-ecutivo, ni

son vinculantes sus conclusiones. :ueda a cargo de la empresa tomar las decisiones

pertinentes. La auditor$a contiene elementos de análisis, de verificación y de e&posición de

deilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción para

eliminar las disfunciones y deilidades antedichas9 estas sugerencias plasmadas en el

Informe final recien el nomre de ecomendaciones.

Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con la

psicolog$a del auditado, ya que es un informático y tiene la necesidad de realizar sus tareas

con racionalidad y eficiencia. La reticencia del auditado es comprensile y, en ocasiones,

fundada. !l nivel t'cnico del auditor es a veces insuficiente, dada la gran comple-idad de los

Sistemas, unidos a los plazos demasiado reves de los que suelen disponer para realizar su

tarea.

Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de

cuestionario. 0ichos cuestionarios, llamados #hec; List, son guardados celosamente por las

empresas auditoras, ya que son activos importantes de su actividad. Las #hec; List tienen

que ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y mal

recitadas se pueden llegar a otener resultados distintos a los esperados por la empresa

auditora. La #hec; List puede llegar a e&plicar cómo ocurren los hechos pero no por qu'

ocurren. !l cuestionario dee estar suordinado a la regla, a la norma, al m'todo. Sólo una

metodolog$a precisa puede desentra)ar las causas por las cuales se realizan actividades

teóricamente inadecuadas o se omiten otras correctas.

!l auditor sólo puede emitir un -uicio gloal o parcial asado en hechos y situacionesincontrovertiles, careciendo de poder para modificar la situación analizada por 'l mismo.



Auditoría Interna y Auditoría Externa:

La auditor$a interna es la realizada con recursos materiales y personas que pertenecen a la

empresa auditada. Los empleados que realizan esta tarea son remunerados

económicamente. La auditor$a interna e&iste por e&presa decisión de la !mpresa, o sea, que

puede optar por su disolución en cualquier momento.

%or otro lado, la auditor$a e&terna es realizada por personas afines a la empresa auditada9

es siempre remunerada. Se presupone una mayor o-etividad que en la Auditor$a Interna,

deido al mayor distanciamiento entre auditores y auditados.

La auditor$a informática interna cuenta con algunas venta-as adicionales muy importantes

respecto de la auditor$a e&terna, las cuales no son tan perceptiles como en las auditor$as

convencionales. La auditor$a interna tiene la venta-a de que puede actuar periódicamente

realizando evisiones gloales, como parte de su %lan Anual y de su actividad normal. Los

auditados conocen estos planes y se hait(an a las Auditor$as, especialmente cuando las

consecuencias de las ecomendaciones haidas enefician su traa-o.

!n una empresa, los responsales de Informática escuchan, orientan e informan sore lasposiilidades t'cnicas y los costes de tal Sistema. #on voz, pero a menudo sin voto,

Informática trata de satisfacer lo más adecuadamente posile aquellas necesidades. La

empresa necesita controlar su Informática y 'sta necesita que su propia gestión est'

sometida a los mismos %rocedimientos y estándares que el resto de aquella. La con-unción

de amas necesidades cristaliza en la figura del auditor interno informático.

!n cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditor$a

propia y permanente, mientras que el resto acuden a las auditor$as e&ternas. %uede ser que

alg(n profesional informático sea trasladado desde su puesto de traa-o a la Auditor$a

Interna de la empresa cuando 'sta e&iste. <inalmente, la propia Informática requiere de su

propio grupo de #ontrol Interno, con implantación f$sica en su estructura, puesto que si se

uicase dentro de la estructura Informática ya no ser$a independiente. 3oy, ya e&isten

varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de

autonom$a, que son coordinadas por órganos corporativos de Sistemas de Información de

las !mpresas.

1na !mpresa o Institución que posee auditor$a interna puede y dee en ocasiones contratar

servicios de auditor$a e&terna. Las razones para hacerlo suelen ser+

• /ecesidad de auditar una materia de gran especialización, para la cual los servicios

propios no están suficientemente capacitados.

• #ontrastar alg(n Informe interno con el que resulte del e&terno, en aquellos

supuestos de emisión interna de graves recomendaciones que chocan con la opinión

generalizada de la propia empresa.

• Servir como mecanismo protector de posiles auditor$as informáticas e&ternas

decretadas por la misma empresa.

• Aunque la auditor$a interna sea independiente del 0epartamento de Sistemas, sigue

siendo la misma empresa, por lo tanto, es necesario que se le realicen auditor$as

e&ternas como para tener una visión desde afuera de la empresa.

La auditor$a informática, tanto e&terna como interna, dee ser una actividad e&enta de

cualquier contenido o matiz "pol$tico" a-eno a la propia estrategia y pol$tica general de la



empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a

instancias de parte, esto es, por encargo de la dirección o cliente.

Alcance de la Auditoría Informática:

!l alcance ha de definir con precisión el entorno y los l$mites en que va a desarrollarse la

auditor$a informática, se complementa con los o-etivos de 'sta. !l alcance ha de figurare&presamente en el Informe <inal, de modo que quede perfectamente determinado no

solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido

omitidas. !-emplo+ =Se someterán los registros graados a un control de integridad

e&haustivo>? =Se comproará que los controles de validación de errores son adecuados y

suficientes>? La indefinición de los alcances de la auditor$a compromete el '&ito de la

misma.

*Control de integridad de registros:

3ay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no

tiene integrado un registro com(n, cuando lo necesite utilizar no lo va encontrar y, por lo

tanto, la aplicación no funcionar$a como deer$a.

*Control de validación de errores:

S e corroora que el sistema que se aplica para detectar y corregir errores sea eficiente.

Características de la Auditoría Informática:

La información de la empresa y para la empresa, siempre importante, se ha convertido en

un Activo eal de la misma, como sus Stoc;s o materias primas si las hay. %or ende, han de

realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión

Informática.

0el mismo modo, los Sistemas Informáticos han de protegerse de modo gloal y particular+

a ello se dee la e&istencia de la Auditoría de Seguridad Informática en general, o a la

auditor$a de Seguridad de alguna de sus áreas, como pudieran ser 0esarrollo o *'cnica de

Sistemas.

#uando se producen camios estructurales en la Informática, se reorganiza de alguna forma

su función+ se está en el campo de la Auditoría de rgani!ación Informática.

!stos tres tipos de auditor$as engloan a las actividades auditoras que se realizan en una

auditor$a parcial. 0e otra manera+ cuando se realiza una auditoria del área de 0esarrollo de

%royectos de la Informática de una empresa, es porque en ese 0esarrollo e&isten, además

de ineficiencias, deilidades de organización, o de inversiones, o de seguridad, o alguna

mezcla de ellas.

íntomas de !ecesidad de una Auditoría Informática:

Las empresas acuden a las auditor$as e&ternas cuando e&isten s$ntomas ien perceptiles

de deilidad. !stos s$ntomas pueden agruparse en clases+

• S$ntomas de descoordinacion y desorganización+

7 /o coinciden los o-etivos de la Informática de la #ompa)$a y de la propia #ompa)$a.

7 Los estándares de productividad se desv$an sensilemente de los promedios conseguidos

haitualmente.

@%uede ocurrir con alg(n camio masivo de personal, o en una reestructuración fallida dealguna área o en la modificación de alguna /orma importante



• S$ntomas de mala imagen e insatisfacción de los usuarios+

7 /o se atienden las peticiones de camios de los usuarios. !-emplos+ camios de Soft6are

en los terminales de usuario, resfrecamiento de paneles, variación de los ficheros que deen

ponerse diariamente a su disposición, etc.

7 /o se reparan las aver$as de 3ard6are ni se resuelven incidencias en plazos razonales. !l

usuario percie que está aandonado y desatendido permanentemente.

7 /o se cumplen en todos los casos los plazos de entrega de resultados periódicos. %eque)as

desviaciones pueden causar importantes desa-ustes en la actividad del usuario, en especial

en los resultados de Aplicaciones cr$ticas y sensiles.

• S$ntomas de deilidades económico7financiero+

7 Incremento desmesurado de costes.

7 /ecesidad de -ustificación de Inversiones Informáticas 4la empresa no está asolutamente

convencida de tal necesidad y decide contrastar opiniones5.

7 0esviaciones %resupuestarias significativas.

7 #ostes y plazos de nuevos proyectos 4deen auditarse simultáneamente a 0esarrollo de

%royectos y al órgano que realizó la petición5.

• S$ntomas de Inseguridad+ !valuación de nivel de riesgos

7 Seguridad Lógica

7 Seguridad <$sica

7 #onfidencialidad

@Los datos son propiedad inicialmente de la organización que los genera. Los datos de

personal son especialmente confidenciales

7 #ontinuidad del Servicio. !s un concepto a(n más importante que la Seguridad. !stalece

las estrategias de continuidad entre fallos mediante %lanes de #ontingencia> *otales y

Locales.

7 #entro de %roceso de 0atos fuera de control. Si tal situación llegara a perciirse, ser$a

prácticamente in(til la auditor$a. !sa es la razón por la cual, en este caso, el s$ntoma dee

ser sustituido por el m$nimo indicio.

*"lanes de Contingencia:

%or e-emplo, la empresa sufre un corte total de energ$a o e&plota, =#ómo sigo operando en

otro lugar? Lo que generalmente se pide es que se hagan ac;ups de la información

diariamente y que aparte, sea dole, para tener un ac;up en la empresa y otro afuera de

'sta. 1na empresa puede tener unas oficinas paralelas que posean servicios ásicos 4luz,

tel'fono, agua5 distintos de los de la empresa principal, es decir, si a la empresa principal le

prove$a tel'fono *elecom, a las oficinas paralelas, *elefónica. !n este caso, si se produce la

inoperancia de Sistemas en la empresa principal, se utilizar$a el ac;up para seguir

operando en las oficinas paralelas. Los ac;ups se pueden acumular durante dos meses, o

el tiempo que estipule la empresa, y despu's se van reciclando.

"i#os y clases de Auditorías:



!l departamento de Informática posee una actividad proyectada al e&terior, al usuario,

aunque el "e&terior" siga siendo la misma empresa. 3e aqu$, la Auditoría Informática de

#suario. Se hace esta distinción para contraponerla a la informática interna, en donde se

hace la informática cotidiana y real. !n consecuencia, e&iste una Auditoría Informática de

Actividades Internas.

!l control del funcionamiento del departamento de informática con el e&terior, con el

usuario se realiza por medio de la 0irección. Su figura es importante, en tanto en cuanto es

capaz de interpretar las necesidades de la #ompa)$a. 1na informática eficiente y eficaz

requiere el apoyo continuado de su 0irección frente al "e&terior". evisar estas

interrelaciones constituye el o-eto de la Auditoría Informática de $irección. !stas tres

auditor$as, mas la auditor$a de Seguridad, son las cuatro Areas Benerales de la Auditor$a

Informática más importantes.

0entro de las áreas generales, se estalecen las siguientes divisiones de Auditor$a

Informática+ de !&plotación, de Sistemas, de #omunicaciones y de 0esarrollo de %royectos.

!stas son las Areas !specificas de la Auditor$a Informática más importantes.

Areas Específicas

Explotación

Desarrollo

Sistemas

Comunicaciones

Seguridad

#ada Area !specifica puede ser auditada desde los siguientes criterios generales+

• 0esde su propio funcionamiento interno.

• 0esde el apoyo que recie de la 0irección y, en sentido ascendente, del grado de

cumplimiento de las directrices de 'sta.

• 0esde la perspectiva de los usuarios, destinatarios reales de la informática.

• 0esde el punto de vista de la seguridad que ofrece la Informática en general o la

rama auditada.

!stas cominaciones pueden ser ampliadas y reducidas seg(n las caracter$sticas de la

empresa auditada.

$%&etivo fundamental de la auditoría informática: peratividad

La operatividad es una función de m$nimos consistente en que la organización y las

maquinas funcionen, siquiera m$nimamente. /o es admisile detener la maquinariainformática para descurir sus fallos y comenzar de nuevo. La auditor$a dee iniciar su



actividad cuando los Sistemas están operativos, es el principal o-etivo el de mantener tal

situación. *al o-etivo dee conseguirse tanto a nivel gloal como parcial.

La operatividad de los Sistemas ha de constituir entonces la principal preocupación del

auditor informático. %ara conseguirla hay que acudir a la realización de Controles %&cnicos

'enerales de peratividad y Controles %&cnicos Específicos de peratividad , previos a

cualquier actividad de aquel.

• Los #ontroles *'cnicos Benerales son los que se realizan para verificar la

compatiilidad de funcionamiento simultaneo del Sistema 8perativo y el Soft6are de

ase con todos los susistemas e&istentes, as$ como la compatiilidad del 3ard6are y

del Soft6are instalados. !stos controles son importantes en las instalaciones que

cuentan con varios competidores, deido a que la profusión de entornos de traa-o muy

diferenciados oliga a la contratación de diversos productos de Soft6are ásico, con el

consiguiente riesgo de aonar más de una vez el mismo producto o desaprovechar parte

del Soft6are aonado. %uede ocurrir tami'n con los productos de Soft6are ásico

desarrolla7dos por el personal de Sistemas Interno, sore todo cuando los diversos

equipos están uicados en #entros de %roceso de 0atos geográficamente ale-ados. Lonegativo de esta situación es que puede producir la inoperatividad del con-unto. #ada

#entro de %roceso de 0atos tal vez sea operativo traa-ando independientemente, pero

no será posile la intercone&ión e intercomunicación de todos los #entros de %roceso de

0atos si no e&isten productos comunes y compatiles.

• Los #ontroles *'cnicos !spec$ficos, de modo menos acusado, son igualmente

necesarios para lograr la 8peratividad de los Sistemas. 1n e-emplo de lo que se puede

encontrar mal son parámetros de asignación automática de espacio en disco> que

dificulten o impidan su utilización posterior por una Sección distinta de la que lo generó.

*ami'n, los periodos de retención de ficheros comunes a varias Aplicaciones pueden

estar definidos con distintos plazos en cada una de ellas, de modo que la p'rdida deinformación es un hecho que podrá producirse con facilidad, quedando inoperativa la

e&plotación de alguna de las Aplicaciones mencionadas.

*"arámetros de asignación automática de espacio en disco:

*odas las Aplicaciones que se desarrollan son super7parametrizadas , es decir, que tienen

un montón de parámetros que permiten configurar cual va a ser el comportamiento del

Sistema. 1na Aplicación va a usar para tal y tal cosa cierta cantidad de espacio en disco. Si

uno no analizó cual es la operatoria y el tiempo que le va a llevar ocupar el espacio

asignado, y se pone un valor muy chico, puede ocurrir que un d$a la Aplicación reviente, se

caiga. Si esto sucede en medio de la operatoria y la Aplicación se cae, el volver a levantarla,

con la nueva asignación de espacio, si hay que hacer reconversiones o lo que sea, puede

llegar a demandar much$simo tiempo, lo que significa un riesgo enorme.

'evisión de Controles de la (estión Informática:

1na vez conseguida la 8peratividad de los Sistemas, el segundo o-etivo de la auditor$a es

la verificación de la oservancia de las normas teóricamente e&istentes en el departamento

de Informática y su coherencia con las del resto de la empresa. %ara ello, harán de

revisarse sucesivamente y en este orden+

C. Las /ormas Benerales de la Instalación Informática. Se realizará una revisión

inicial sin estudiar a fondo las contradicciones que pudieran e&istir, pero registrando

las áreas que carezcan de normativa, y sore todo verificando que esta /ormativa



Beneral Informática no está en contradicción con alguna /orma Beneral no

informática de la empresa.

D. Los %rocedimientos Benerales Informáticos. Se verificará su e&istencia, al menos en

los sectores más importantes. %or e-emplo, la recepción definitiva de las máquinas

deer$a estar firmada por los responsales de !&plotación. *ampoco el alta de unanueva Aplicación podr$a producirse si no e&istieran los %rocedimientos de ac;up y

ecuperación correspondientes.

E. Los %rocedimientos !spec$ficos Informáticos. Igualmente, se revisara su e&istencia

en las áreas fundamentales. As$, !&plotación no deer$a e&plotar una Aplicación sin

haer e&igido a 0esarrollo la pertinente documentación. 0el mismo modo, deerá

comproarse que los %rocedimientos !spec$ficos no se opongan a los %rocedimientos

Benerales. !n todos los casos anteriores, a su vez, deerá verificarse que no e&iste

contradicción alguna con la /ormativa y los %rocedimientos Benerales de la propia

empresa, a los que la Informática dee estar sometida.

Auditoría Informática de Ex#lotación:

La !&plotación Informática se ocupa de producir resultados informáticos de todo tipo+

listados impresos, ficheros soportados magn'ticamente para otros informáticos, ordenes

automatizadas para lanzar o modificar procesos industriales, etc. La e&plotación

informática se puede considerar como una farica con ciertas peculiaridades que la

distinguen de las reales. %ara realizar la !&plotación Informática se dispone de una materia

prima, los 0atos, que es necesario transformar, y que se someten previamente a controles

de integridad y calidad. La transformación se realiza por medio del %roceso informático, el

cual está goernado por programas. 8tenido el producto final, los resultados son

sometidos a varios controles de calidad y, finalmente, son distriuidos al cliente, al usuario.

Auditar !&plotación consiste en auditar las secciones que la componen y sus

interrelaciones. La !&plotación Informática se divide en tres grandes áreas+ %lanificación,

%roducción y Soporte *'cnico, en la que cada cual tiene varios grupos.

#ontrol de !ntrada de 0atos+

Se analizará la captura de la información en soporte compatile con los Sistemas, el

cumplimiento de plazos y calendarios de tratamientos y entrega de datos9 la correcta

transmisión de datos entre entornos diferentes. Se verificará que los controles de integridad

y calidad de datos se realizan de acuerdo a /orma.

%lanificación y ecepción de Aplicaciones+

Se auditarán las normas de entrega de Aplicaciones por parte de 0esarrollo, verificando su

cumplimiento y su calidad de interlocutor (nico. 0eerán realizarse muestreos selectivos

de la 0ocumentación de las Aplicaciones e&plotadas. Se inquirirá sore la anticipación de

contactos con 0esarrollo para la planificación a medio y largo plazo.

#entro de #ontrol y Seguimiento de *raa-os+

Se analizará cómo se prepara, se lanza y se sigue la producción diaria. ásicamente, la

e&plotación Informática e-ecuta procesos por cadenas o lotes sucesivos 4atch>5, o en

tiempo real 4*iempo eal>5. 2ientras que las Aplicaciones de *eleproceso están

permanentemente activas y la función de !&plotación se limita a vigilar y recuperar

incidencias, el traa-o atch asore una uena parte de los efectivos de !&plotación. !nmuchos #entros de %roceso de 0atos, 'ste órgano recie el nomre de #entro de #ontrol de



atch. !ste grupo determina el '&ito de la e&plotación, en cuanto que es uno de los factores

más importantes en el mantenimiento de la producción.

*(atc) %iempo +eal:

Las Aplicaciones que son atch son Aplicaciones que cargan mucha información durante el

d$a y durante la noche se corre un proceso enorme que lo que hace es relacionar toda lainformación, calcular cosas y otener como salida, por e-emplo, reportes. 8 sea, recolecta

información durante el d$a, pero todav$a no procesa nada. !s solamente un tema de "0ata

!ntry" que recolecta información, corre el proceso atch 4por lotes5, y calcula todo lo

necesario para arrancar al d$a siguiente.

Las Aplicaciones que son *iempo eal u 8nline, son las que, luego de haer ingresado la

información correspondiente, inmediatamente procesan y devuelven un resultado. Son

Sistemas que tienen que responder en *iempo eal.

8peración. Salas de 8rdenadores+

Se intentarán analizar las relaciones personales y la coherencia de cargos y salarios, as$

como la equidad en la asignación de turnos de traa-o. Se verificará la e&istencia de un

responsale de Sala en cada turno de traa-o. Se analizará el grado de automatización de

comandos, se verificara la e&istencia y grado de uso de los 2anuales de 8peración. Se

analizará no solo la e&istencia de planes de formación, sino el cumplimiento de los mismos

y el tiempo transcurrido para cada 8perador desde el (ltimo #urso reciido. Se estudiarán

los monta-es diarios y por horas de cintas o cartuchos, as$ como los tiempos transcurridos

entre la petición de monta-e por parte del Sistema hasta el monta-e real. Se verificarán las

l$neas de papel impresas diarias y por horas, as$ como la manipulación de papel que

comportan.

#entro de #ontrol de ed y #entro de 0iagnosis+

!l #entro de #ontrol de ed suele uicarse en el área de producción de !&plotación. Sus

funciones se refieren e&clusivamente al ámito de las #omunicaciones, estando muy

relacionado con la organización de Soft6are de #omunicaciones de *'cnicas de Sistemas.

0ee analizarse la fluidez de esa relación y el grado de coordinación entre amos. Se

verificará la e&istencia de un punto focal (nico, desde el cual sean perceptiles todos las

l$neas asociadas al Sistema. !l #entro de 0iagnosis es el ente en donde se atienden las

llamadas de los usuarios7clientes que han sufrido aver$as o incidencias, tanto de Soft6are

como de 3ard6are. !l #entro de 0iagnosis está especialmente indicado para informáticos

grandes y con usuarios dispersos en un amplio territorio. !s uno de los elementos que más

contriuyen a configurar la imagen de la Informática de la empresa. 0ee ser auditada

desde esta perspectiva, desde la sensiilidad del usuario sore el servicio que se le dispone.

/o asta con comproar la eficiencia t'cnica del #entro, es necesario analizarlo

simultáneamente en el ámito de 1suario.

Auditoría Informática de )esarrollo de *royectos o A#licaciones:

La función de 0esarrollo es una evolución del llamado Análisis y %rogramación de Sistemas

y Aplicaciones. A su vez, engloa muchas áreas, tantas como sectores informatizales tiene

la empresa. 2uy escuetamente, una Aplicación recorre las siguientes fases+

• %rerequisitos del 1suario 4(nico o plural5 y del entorno

• Análisis funcional

• 0ise)o



• Análisis orgánico 4%reprogramacion y %rogramación5

• %rueas

• !ntrega a !&plotación y alta para el %roceso.

!stas fases deen estar sometidas a un e&igente control interno, caso contrario, además del

disparo de los costes, podrá producirse la insatisfacción del usuario. <inalmente, la

auditor$a deerá comproar la seguridad de los programas en el sentido de garantizar que

los e-ecutados por la maquina sean e&actamente los previstos y no otros.

1na auditor$a de Aplicaciones pasa indefectilemente por la oservación y el análisis de

cuatro consideraciones+

C.

D. +evisión de las metodologías utili!adas+ Se analizaran 'stas, de modo que se

asegure la modularidad de las posiles futuras ampliaciones de la Aplicación y el fácilmantenimiento de las mismas.

E. Control Interno de las Aplicaciones+ se deerán revisar las mismas fases que

presuntamente han deido seguir el área correspondiente de 0esarrollo+

• !studio de Fialidad de la Aplicación. @importante para Aplicaciones largas,

comple-as y caras

• 0efinición Lógica de la Aplicación. @se analizará que se han oservado los

postulados lógicos de actuación, en función de la metodolog$a elegida y la finalidad que

persigue el proyecto

• 0esarrollo *'cnico de la Aplicación. @Se verificará que 'ste es ordenado y correcto.

Las herramientas t'cnicas utilizadas en los diversos programas deerán ser

compatiles

• 0ise)o de %rogramas. @deerán poseer la má&ima sencillez, modularidad y

econom$a de recursos

• 2'todos de %rueas. @ Se realizarán de acuerdo a las /ormas de la Instalación. Se

utilizarán -uegos de ensayo de datos, sin que sea permisile el uso de datos reales

• 0ocumentación. @cumplirá la /ormativa estalecida en la Instalación, tanto la de

0esarrollo como la de entrega de Aplicaciones a !&plotación

• !quipo de %rogramación. @0een fi-arse las tareas de análisis puro, de

programación y las intermedias. !n Aplicaciones comple-as se producir$an variaciones

en la composición del grupo, pero estos deerán estar previstos

C.

D. Satisfacción de usuarios: 1na Aplicación t'cnicamente eficiente y ien

desarrollada, deerá considerarse fracasada si no sirve a los intereses del usuario que



la solicitó. La aquiescencia del usuario proporciona grandes venta-as posteriores, ya

que evitará reprogramaciones y disminuirá el mantenimiento de la Aplicación.

E. Control de "rocesos Eecuciones de "rogramas Críticos: !l auditor no dee

descartar la posiili7dad de que se est' e-ecutando un módulo que no se corresponde

con el programa fuente que desarrolló, codificó y proó el área de 0esarrollo de Aplicaciones. Se ha de comproar la correspondencia iun$voca y e&clusiva entre el

programa codificado y su compilación. Si los programas fuente y los programa

módulo no coincidieran podr$ase provocar, desde errores de ulto que producir$an

graves y altos costes de mantenimiento, hasta fraudes, pasando por acciones de

saota-e, espiona-e industrial7informativo, etc. %or ende, hay normas muy r$gidas en

cuanto a las Lirer$as de programas9 aquellos programas fuente que hayan sido dados

por ueno por 0esarrollo, son entregados a !&plotación con el fin de que 'ste+

C. #opie el programa fuente en la Lirer$a de <uentes de !&plotación, a la que nadie

más tiene acceso

D. #ompile y monte ese programa, depositándolo en la Lirer$a de 2ódulos de !&plo7

tación, a la que nadie más tiene acceso.

E. #opie los programas fuente que les sean solicitados para modificarlos, arreglarlos,

etc. en el lugar que se le indique. #ualquier camio e&igirá pasar nuevamente por el

punto C.

#omo este sistema para auditar y dar el alta a una nueva Aplicación es astante ardua y

comple-a, hoy 4algunas empresas lo usarán, otras no5 se utiliza un sistema llamado 1.A.*

41ser Acceptance *est5. !ste consiste en que el futuro usuario de esta Aplicación use la

Aplicación como si la estuviera usando en %roducción para que detecte o se denoten por s$solos los errores de la misma. !stos defectos que se encuentran se van corrigiendo a medida

que se va haciendo el 1.A.*. 1na vez que se consigue el 1.A.*., el usuario tiene que dar el

Sign 8ff 4"!sto está ien"5. *odo este testeo, auditor$a lo tiene que controlar, tiene que

evaluar que el testeo sea correcto, que e&ista un plan de testeo, que est' involucrado tanto el

cliente como el desarrollador y que estos defectos se corri-an. Auditor$a tiene que

corroorar que el 1.A.*. pruea todo y que el Sign 8ff del usuario sea un Sign 8ff por todo.

Auditoría Informática de istemas:

Se ocupa de analizar la actividad que se conoce como *'cnica de Sistemas en todas sus

facetas. 3oy, la importancia creciente de las telecomunicaciones ha propiciado que las

#omunicaciones, L$neas y edes de las instalaciones informáticas, se auditen por separado,aunque formen parte del entorno general de Sistemas.

Sistemas 8perativos+

!ngloa los Susistemas de *eleproceso, !ntradaGSal$da, etc. 0ee verificarse en primer

lugar que los Sistemas están actualizados con las (ltimas versiones del faricante,

indagando las causas de las omisiones si las huiera. !l análisis de las versiones de los

Sistemas 8perativos permite descurir las posiles incompatiilidades entre otros

productos de Soft6are ásico adquiridos por la instalación y determinadas versiones de

aquellas. 0een revisarse los parámetros variales de las Lirer$as más importantes de los

Sistemas, por si difieren de los valores haituales aconse-ados por el constructor.

Soft6are ásico+



!s fundamental para el auditor conocer los productos de soft6are ásico que han sido

facturados aparte de la propia computadora. !sto, por razones económicas y por razones de

comproación de que la computadora podr$a funcionar sin el producto adquirido por el

cliente. !n cuanto al Soft6are desarrollado por el personal informático de la empresa, el

auditor dee verificar que 'ste no agreda ni condiciona al Sistema. Igualmente, dee

considerar el esfuerzo realizado en t'rminos de costes, por si huiera alternativas máseconómicas.

Soft6are de *eleproceso 4*iempo eal5+

/o se incluye en Soft6are ásico por su especialidad e importancia. Las consideraciones

anteriores son válidas para 'ste tami'n.

*unning+

!s el con-unto de t'cnicas de oservación y de medidas encaminadas a la evaluación del

comportamiento de los Susistemas y del Sistema en su con-unto. Las acciones de tunning

deen diferenciarse de los controles haituales que realiza el personal de *'cnica de

Sistemas. !l tunning posee una naturaleza más revisora, estaleci'ndose previamenteplanes y programas de actuación seg(n los s$ntomas oservados. Se pueden realizar+

• #uando e&iste sospecha de deterioro del comportamiento parcial o general del

Sistema

• 0e modo sistemático y periódico, por e-emplo cada H meses. !n este caso sus

acciones son repetitivas y están planificados y organizados de antemano.

!l auditor deerá conocer el n(mero de *unning realizados en el (ltimo a)o, as$ como sus

resultados. 0eerá analizar los modelos de carga utilizados y los niveles e $ndices de

confianza de las oservacio7nes.

8ptimización de los Sistemas y Susistemas+

*'cnica de Sistemas dee realizar acciones permanentes de optimización como

consecuencia de la realización de tunnings preprogramados o espec$ficos. !l auditor

verificará que las acciones de optimización> fueron efectivas y no comprometieron la

8peratividad de los Sistemas ni el plan cr$tico de producción diaria de !&plotación.

*ptimi!ación:

%or e-emplo+ cuando se instala una Aplicación, normalmente está vac$a, no tiene nada

cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicación

se va poniendo cada vez más lenta9 porque todas las referencias a talas es cada vez más

grande, la información que está moviendo es cada vez mayor, entonces la Aplicación se

tiende a poner lenta. Lo que se tiene que hacer es un análisis de performance, para luego

optimizarla, me-orar el rendimiento de dicha Aplicación.

Administración de ase de 0atos+

!l dise)o de las ases de 0atos, sean relaciones o -erárquicas, se ha convertido en una

actividad muy comple-a y sofisticada, por lo general desarrollada en el ámito de *'cnica de

Sistemas, y de acuerdo con las áreas de 0esarrollo y usuarios de la empresa. Al conocer el

dise)o y arquitectura de 'stas por parte de Sistemas, se les encomienda tami'n su

administración. Los auditores de Sistemas han oservado algunas disfunciones derivadas

de la relativamente escasa e&periencia que *'cnica de Sistemas tiene sore la prolemática

general de los usuarios de ases de 0atos.



La administración tendr$a que estar a cargo de !&plotación. !l auditor de ase de 0atos

deer$a asegurarse que !&plotación conoce suficientemente las que son accedidas por los

%rocedimientos que ella e-ecuta. Analizará los Sistemas de salvaguarda e&istentes, que

competen igualmente a !&plotación. evisará finalmente la integridad y consistencia de los

datos, as$ como la ausencia de redundancias entre ellos.

Investigación y 0esarrollo+

#omo empresas que utilizan y necesitan de informáticas desarrolladas, saen que sus

propios efectivos están desarrollando Aplicaciones y utilidades que, conceidas

inicialmente para su uso interno, pueden ser susceptiles de adquisición por otras

empresas, haciendo competencia a las #ompa)$as del ramo. La auditor$a informática

deerá cuidar de que la actividad de Investigación y 0esarrollo no interfiera ni dificulte las

tareas fundamentales internas.

La propia e&istencia de aplicativos para la otención de estad$sticas desarrollados por los

t'cnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor e&perto

una visión astante e&acta de la eficiencia y estado de desarrollo de los SistemasJ

Auditoría Informática de Comunicaciones y 'edes:

%ara el informático y para el auditor informático, el entramado conceptual que constituyen

las edes /odales, L$neas, #oncentradores, 2ultiple&ores, edes Locales, etc. no son sino

el soporte f$sico7lógico del *iempo eal. !l auditor tropieza con la dificultad t'cnica del

entorno, pues ha de analizar situaciones y hechos ale-ados entre s$, y está condicionado a la

participación del monopolio telefónico que presta el soporte. #omo en otros casos, la

auditor$a de este sector requiere un equipo de especialis7tas, e&pertos simultáneamente en

#omunicaciones y en edes Locales 4no hay que olvidarse que en entornos geográficos

reducidos, algunas empresas optan por el uso interno de edes Locales, dise)adas y

caleadas con recursos propios5.

!l auditor de #omunicaciones deerá inquirir sore los $ndices de utilización de las l$neas

contratadas con información aundante sore tiempos de desuso. 0eerá proveerse de la

topolog$a de la ed de #omunicaciones, actualizada, ya que la desactualizacion de esta

documentación significar$a una grave deilidad. La ine&istencia de datos sore la cuantas

l$neas e&isten, cómo son y donde están instaladas, supondr$a que se ordea la

Inoperatividad Informática. Sin emargo, las deilidades más frecuentes o importantes se

encuentran en las disfunciones organizativas. La contratación e instalación de l$neas va

asociada a la instalación de los %uestos de *raa-o correspondientes 4%antallas, Servidores

de edes Locales, #omputadoras con tar-etas de #omunicaciones, impresoras, etc.5. *odas

estas actividades deen estar muy coordinadas y a ser posile, dependientes de una sola

organización.

Auditoría de la eguridad informática:

La computadora es un instrumento que estructura gran cantidad de información, la cual

puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada

o divulgada a personas que hagan mal uso de esta. *ami'n puede ocurrir roos, fraudes o

saota-es que provoquen la destrucción total o parcial de la actividad computacional. !sta

información puede ser de suma importancia, y el no tenerla en el momento preciso puede

provocar retrasos sumamente costosos.

!n la actualidad y principalmente en las computadoras personales, se ha dado otro factor

que hay que considerar+ el llamado "virus" de las computadoras, el cual, aunque tiene

diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin

autorización 4"piratas"5 y orra toda la información que se tiene en un disco. Al auditar los



sistemas se dee tener cuidado que no se tengan copias "piratas" o ien que, al conectarnos

en red con otras computadoras, no e&ista la posiilidad de transmisión del virus. !l uso

inadecuado de la computadora comienza desde la utilización de tiempo de máquina para

usos a-enos de la organización, la copia de programas para fines de comercialización sin

reportar los derechos de autor hasta el acceso por v$a telefónica a ases de datos a fin de

modificar la información con propósitos fraudulentos.

La seguridad en la informática aarca los conceptos de seguridad f$sica y seguridad lógica.

La seguridad f$sica se refiere a la protección del 3ard6are y de los soportes de datos, as$

como a la de los edificios e instalaciones que los alergan. #ontempla las situaciones de

incendios, saota-es, roos, catástrofes naturales, etc.

La seguridad lógica se refiere a la seguridad de uso del soft6are, a la protección de los

datos, procesos y programas, as$ como la del ordenado y autorizado acceso de los usuarios a

la información.

1n m'todo eficaz para proteger sistemas de computación es el soft6are de control de

acceso. 0icho simplemente, los paquetes de control de acceso protegen contra el acceso no

autorizado, pues piden del usuario una contrase)a antes de permitirle el acceso a

información confidencial. 0ichos paquetes han sido populares desde hace muchos a)os en

el mundo de las computadoras grandes, y los principales proveedores ponen a disposición

de clientes algunos de estos paquetes.

Eemplo: E-iste una Aplicación de Seguridad que se llama SES, para #ni-, que lo que

)ace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a

arc)ivos, accesos a directorios, que usuario lo )i!o, si tenía o no tenía permiso, si no tenía

permiso porque falló, entrada de usuarios a cada uno de los servidores, fec)a )ora,

accesos con passord equivocada, cam/ios de passord, etc. 0a Aplicación lo puede

graficar, tirar en n1meros, puede )acer reportes, etc.

La seguridad informática se la puede dividir como Area Beneral y como Area !specifica

4seguridad de !&plotación, seguridad de las Aplicaciones, etc.5. As$, se podrán efectuar

auditor$as de la Seguridad Bloal de una Instalación Informática KSeguridad Beneral7 y

auditor$as de la Seguridad de un área informática determinada K Seguridad !specifica 7.

#on el incremento de agresiones a instalaciones informáticas en los (ltimos a)os, se han

ido originando acciones para me-orar la Seguridad Informática a nivel f$sico. Los accesos y

cone&iones indeidos a trav's de las edes de #omunicaciones, han acelerado el desarrollo

de productos de Seguridad lógica y la utilización de sofisticados medios criptograficos.

!l sistema integral de seguridad dee comprender+

•

!lementos administrativos

• 0efinición de una pol$tica de seguridad

• 8rganización y división de responsailidades

• Seguridad f$sica y contra catástrofes4incendio, terremotos, etc.5

• %rácticas de seguridad del personal

• !lementos t'cnicos y procedimientos



• Sistemas de seguridad 4de equipos y de sistemas, incluyendo todos los elementos,

tanto redes como terminales.

• Aplicación de los sistemas de seguridad, incluyendo datos y archivos

• !l papel de los auditores, tanto internos como e&ternos

• %laneación de programas de desastre y su pruea.

La decisión de aordar una Auditor$a Informática de Seguridad Bloal en una empresa, se

fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida. Se

elaoran "matrices de riesgo", en donde se consideran los factores de las "Amenazas" a las

que está sometida una instalación y los "Impactos" que aquellas puedan causar cuando se

presentan. Las matrices de riesgo se representan en cuadros de dole entrada Amenaza7

ImpactoJJ, en donde se eval(an las proailidades de ocurrencia de los elementos de la

matriz.

!-emplo+

Impacto Amenaza 1: Improbable

2: Probable

3: Certeza

: Despreciable

Error Incendio Sabota!e ""##

Destrucción

de $ard%are

1 1

&orrado de

In'ormación

3 1 1

!l cuadro muestra que si por error codificamos un parámetro que ordene el orrado de un

fichero, 'ste se orrará con certeza.

!l caso de los ancos en la ep(lica Argentina+

!n la Argentina, el anco #entral 4#A5 les realiza una Auditor$a de Seguridad de

Sistemas a todos los ancos, minoritarios y mayoristas. !l anco que es auditado le prepara

a los auditores del #A un "demo" para que estos vean cual es el flu-o de información

dentro del anco y que Aplicaciones están involucradas con 'sta. Si los auditores detectan

alg(n prolema o alguna cosa que seg(n sus normas no está ien, y en ase a eso, emitenun informe que va, tanto a la empresa, como al mercado. !ste, principalmente, es uno de

los puntos ásicos donde se analiza el riesgo de un anco, más allá de cómo se mane-a.

#ada anco tiene cierto riesgo dentro del mercado9 por un lado, está dado por como se

mueve 'ste dentro del mercado 4inversiones, r'ditos, etc.5 y por otro lado, el como

funcionan sus Sistemas. %or esto, todos los ancos tienen auditor$a interna y auditor$a

e&terna9 y se los audita muy frecuentemente.

4Fer Ane&o de las normas del anco #entral sore la Seguridad de los Sistemas de

Información5

+erramientas y "cnicas #ara la Auditoría Informática:

Cuestionarios:



Las auditor$as informáticas se materializan recaando información y documentación de

todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar

las situaciones de deilidad o fortaleza de los diferentes entornos. !l traa-o de campo del

auditor consiste en lograr toda la información necesaria para la emisión de un -uicio gloal

o-etivo, siempre amparado en hechos demostrales, llamados tami'n evidencias.

%ara esto, suele ser lo haitual comenzar solicitando la cumplimentación de cuestionarios

preimpresos que se env$an a las personas concretas que el auditor cree adecuadas, sin que

sea oligatorio que dichas personas sean las responsales oficiales de las diversas áreas a

auditar.

!stos cuestionarios no pueden ni deen ser repetidos para instalaciones distintas, sino

diferentes y muy espec$ficos para cada situación, y muy cuidados en su fondo y su forma.

Sore esta ase, se estudia y analiza la documentación reciida, de modo que tal análisis

determine a su vez la información que deerá elaorar el propio auditor. !l cruzamiento de

amos tipos de información es una de las ases fundamentales de la auditor$a.

#ae aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquiridopor otro medios la información que aquellos preimpresos huieran proporcionado.

Entrevistas:

!l auditor comienza a continuación las relaciones personales con el auditado. Lo hace de

tres formas+

C. 2ediante la petición de documentación concreta sore alguna materia de su

responsailidad.

D. 2ediante "entrevistas" en las que no se sigue un plan predeterminado ni un m'todo

estricto de sometimiento a un cuestionario.

E. %or medio de entrevistas en las que el auditor sigue un m'todo preestalecido de

antemano y usca unas finalidades concretas.

La entrevista es una de las actividades personales más importante del auditor9 en ellas, 'ste

recoge más información, y me-or matizada, que la proporcionada por medios propios

puramente t'cnicos o por las respuestas escritas a cuestionarios.

Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se

asa fundamentalmente en el concepto de interrogatorio9 es lo que hace un auditor,

interroga y se interroga a s$ mismo. !l auditor informático e&perto entrevista al auditado

siguiendo un cuidadoso sistema previamente estalecido, consistente en que a-o la formade una conversación correcta y lo menos tensa posile, el auditado conteste sencillamente y

con pulcritud a una serie de preguntas variadas, tami'n sencillas. Sin emargo, esta

sencillez es solo aparente. *ras ella dee e&istir una preparación muy elaorada y

sistematizada, y que es diferente para cada caso particular.

Checklist:

!l auditor profesional y e&perto es aqu'l que reelaora muchas veces sus cuestionarios en

función de los escenarios auditados. *iene claro lo que necesita saer, y por qu'. Sus

cuestionarios son vitales para el traa-o de análisis, cruzamiento y s$ntesis posterior, lo cual

no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no

conducen a nada. 2uy por el contrario, el auditor conversará y hará preguntas "normales",



que en realidad servirán para la cumplimentación sistemática de sus #uestionarios, de sus

#hec;lists.

3ay opiniones que descalifican el uso de las #hec;lists, ya que consideran que leerle una

pila de preguntas recitadas de memoria o le$das en voz alta descalifica al auditor

informático. %ero esto no es usar #hec;lists, es una evidente falta de profesionalismo. !l

profesionalismo pasa por un procesamiento interno de información a fin de otener

respuestas coherentes que permitan una correcta descripción de puntos d'iles y fuertes. !l

profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse

fle&ilemente.

!l con-unto de estas preguntas recie el nomre de #hec;list. Salvo e&cepciones, las

#hec;lists deen ser contestadas oralmente, ya que superan en riqueza y generalización a

cualquier otra forma.

Seg(n la claridad de las preguntas y el talante del auditor, el auditado responderá desde

posiciones muy distintas y con disposición muy variale. !l auditado, haitualmente

informático de profesión, percie con cierta facilidad el perfil t'cnico y los conocimientos

del auditor, precisamente a trav's de las preguntas que 'ste le formula. !sta percepción

configura el principio de autoridad y prestigio que el auditor dee poseer.

%or ello, aun siendo importante tener elaoradas listas de preguntas muy sistematizadas,

coherentes y clasificadas por materias, todav$a lo es más el modo y el orden de su

formulación. Las empresas e&ternas de Auditor$a Informática guardan sus #hec;lists, pero

de poco sirven si el auditor no las utiliza adecuada y oportunamente. /o dee olvidarse que

la función auditora se e-erce sore ases de autoridad, prestigio y 'tica.

!l auditor deerá aplicar la #hec;list de modo que el auditado responda clara y

escuetamente. Se deerá interrumpir lo menos posile a 'ste, y solamente en los casos en

que las respuestas se aparten sustancialmente de la pregunta. !n algunas ocasiones, se hará

necesario invitar a aqu'l a que e&ponga con mayor amplitud un tema concreto, y en

cualquier caso, se deerá evitar asolutamente la presión sore el mismo.

Algunas de las preguntas de las #hec;lists utilizadas para cada sector, deen ser repetidas.

!n efecto, a-o apariencia distinta, el auditor formulará preguntas equivalentes a las

mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. 0e este modo,

se podrán descurir con mayor facilidad los puntos contradictorios9 el auditor deerá

analizar los matices de las respuestas y reelaorar preguntas complementarias cuando

hayan e&istido contradicciones, hasta conseguir la homogeneidad. !l entrevistado no dee

perciir un e&cesivo formalismo en las preguntas. !l auditor, por su parte, tomará las notas

imprescindiles en presencia del auditado, y nunca escriirá cruces ni marcará

cuestionarios en su presencia.

Los cuestionarios o #hec;lists responden fundamentalmente a dos tipos de "filosof$a" de

calificación o evaluación+

a. #ontiene preguntas que el auditor dee puntuar dentro de un rango preestalecido

4por e-emplo, de C a , siendo C la respuesta más negativa y el el valor más positivo5

Eemplo de C)ec2list de rango:

Se supone que se está realizando una auditor$a sore la seguridad f$sica de una

instalación y, dentro de ella, se analiza el control de los accesos de personas y cosas al

#entro de #álculo. %odr$an formularse las preguntas que figuran a continuación, en

donde las respuestas tiene los siguientes significados+

C + 2uy deficiente.



D + 0eficiente.

E + 2e-orale.

M + Aceptale.

+ #orrecto.

Se figuran posiles respuestas de los auditados. Las preguntas deen sucederse sin

que parezcan encorsetadas ni clasificadas previamente. asta con que el auditor lleve

un peque)o guión. La cumplimentación de la #hec;list no dee realizarse en

presencia del auditado.

7=!&iste personal espec$fico de vigilancia e&terna al edificio?

7/o, solamente un guarda por la noche que atiende además otra instalación

adyacente.

%untuación+ CJ

7%ara la vigilancia interna del edificio, =3ay al menos un vigilante por turno en losaleda)os del #entro de #álculo?

7Si, pero sue a las otras M plantas cuando se le necesita.

%untuación+ DJ

7=3ay salida de emergencia además de la hailitada para la entrada y salida de

máquinas?

7Si, pero e&isten ca-as apiladas en dicha puerta. Algunas veces las quitan.

%untuación+ DJ

7!l personal de #omunicaciones, =%uede entrar directamente en la Sala de#omputadoras?

7/o, solo tiene tar-eta el Nefe de #omunicaciones. /o se la da a su gente mas que por

causa muy -ustificada, y avisando casi siempre al Nefe de !&plotación.

%untuación+ MJ

!l resultado ser$a el promedio de las puntuaciones+ 4C O D O D O M5 GM P D,D

0eficiente.

. #hec;list de rango

c. #hec;list inaria

!s la constituida por preguntas con respuesta (nica y e&cluyente+ Si o /o. Aritmeticamente,

equivalen a C4uno5 o Q4cero5, respectivamente.

Eemplo de C)ec2list (inaria:

Se supone que se está realizando una evisión de los m'todos de prueas de programas en

el ámito de 0esarrollo de %royectos.

7=!&iste /ormativa de que el usuario final compruee los resultados finales de los

programas?

%untuación+ CJ

7=#onoce el personal de 0esarrollo la e&istencia de la anterior normativa?



%untuación+ CJ

7=Se aplica dicha norma en todos los casos?

%untuación+ QJ

7=!&iste una norma por la cual las prueas han de realizarse con -uegos de ensayo o copia

de ases de 0atos reales?

%untuacion+ QJ

8s'rvese como en este caso están contestadas las siguientes preguntas+

7=Se conoce la norma anterior?

%untuación+ QJ

7=Se aplica en todos los casos?

%untuación+ QJ

Las #hec;lists de rango son adecuadas si el equipo auditor no es muy grande y mantienecriterios uniformes y equivalentes en las valoraciones. %ermiten una mayor precisión en la

evaluación que en la chec;list inaria. Sin emargo, la ondad del m'todo depende

e&cesivamente de la formación y competencia del equipo auditor.

Las #hec;lists inarias siguen una elaoración inicial mucho más ardua y comple-a. 0een

ser de gran precisión, como corresponde a la suma precisión de la respuesta. 1na vez

construidas, tienen la venta-a de e&igir menos uniformidad del equipo auditor y el

inconveniente gen'rico del si o noJ frente a la mayor riqueza del intervalo.

/o e&isten #hec;lists estándar para todas y cada una de las instalaciones informáticas a

auditar. #ada una de ellas posee peculiaridades que hacen necesarios los retoques de

adaptación correspondientes en las preguntas a realizar.

Trazas y/o Huellas:

#on frecuencia, el auditor informático dee verificar que los programas, tanto de los

Sistemas como de usuario, realizan e&actamente las funciones previstas, y no otras. %ara

ello se apoya en productos Soft6are muy potentes y modulares que, entre otras funciones,

rastrean los caminos que siguen los datos a trav's del programa.

2uy especialmente, estas "*razas" se utilizan para comproar la e-ecución de las

validaciones de datos previstas. Las mencionadas trazas no deen modificar en asoluto el

Sistema. Si la herramienta auditora produce incrementos apreciales de carga, se

convendrá de antemano las fechas y horas más adecuadas para su empleo.

%or lo que se refiere al análisis del Sistema, los auditores informáticos emplean productos

que compruean los valores asignados por *'cnica de Sistemas a cada uno de los

parámetros variales de las Lirer$as más importantes del mismo. !stos parámetros

variales deen estar dentro de un intervalo marcado por el faricante. A modo de e-emplo,

algunas instalaciones descompensan el n(mero de iniciadores de traa-os de determinados

entornos o toman criterios especialmente restrictivos o permisivos en la asignación de

unidades de servicio para seg(n cuales tipos carga. !stas actuaciones, en principio (tiles,

pueden resultar contraproducentes si se traspasan los l$mites.

/o ostante la utilidad de las *razas, ha de repetirse lo e&puesto en la descripción de la

auditor$a informática de Sistemas+ el auditor informático emplea preferentemente la amplia

información que proporciona el propio Sistema+ As$, los ficheros de AccountingJ o de

contailidadJ, en donde se encuentra la producción completa de aqu'l, y los Log>J de



dicho Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la

actividad general.

0el mismo modo, el Sistema genera automáticamente e&acta información sore el

tratamiento de errores de maquina central, perif'ricos, etc.

@La auditor$a financiero7contale convencional emplea trazas con mucha frecuencia. Sonprogramas encaminados a verificar lo correcto de los cálculos de nóminas, primas, etc..

*0og:

!l log vendr$a a ser un historial que informa que fue camiando y cómo fue camiando

4información5. Las ases de datos, por e-emplo, utilizan el log para asegurar lo que se

llaman las transacciones. Las transacciones son unidades atómicas de camios dentro de

una ase de datos9 toda esa serie de camios se encuadra dentro de una transacción, y todo

lo que va haciendo la Aplicación 4graar, modificar, orrar5 dentro de esa transacción,

queda graado en el log. La transacción tiene un principio y un fin, cuando la transacción

llega a su fin, se vuelca todo a la ase de datos. Si en el medio de la transacción se cortó por

& razón, lo que se hace es volver para atrás. !l log te permite analizar cronológicamente quees lo que sucedió con la información que está en el Sistema o que e&iste dentro de la ase de

datos.

Software de Interroaci!n:

3asta hace ya algunos a)os se han utilizado productos soft6are llamados gen'ricamente

paquetes de auditor$aJ, capaces de generar programas para auditores escasamente

cualificados desde el punto de vista informático.

2ás tarde, dichos productos evolucionaron hacia la otención de muestreos estad$sticos

que permitieran la otención de consecuencias e hipótesis de la situación real de una

instalación.

!n la actualidad, los productos Soft6are especiales para la auditor$a informática se orientan

principalmente hacia lengua-es que permiten la interrogación de ficheros y ases de datos

de la empresa auditada. !stos productos son utilizados solamente por los auditores

e&ternos, por cuanto los internos disponen del soft6are nativo propio de la instalación.

0el mismo modo, la proliferación de las redes locales y de la filosof$a "#liente7Servidor",

han llevado a las firmas de soft6are a desarrollar interfaces de transporte de datos entre

computadoras personales y mainframe, de modo que el auditor informático copia en su

propia %# la información más relevante para su traa-o.

#ae recordar, que en la actualidad casi todos los usuarios finales poseen datos e

información parcial generada por la organización informática de la #ompa)$a.

!fectivamente, conectados como terminales al "3ost", almacenan los datos proporcionados

por este, que son tratados posteriormente en modo %#. !l auditor se ve oligado

4naturalmente, dependiendo del alcance de la auditor$a5 a recaar información de los

mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes

productos descritos. #on todo, las opiniones más autorizadas indican que el traa-o de

campo del auditor informático dee realizarse principalmente con los productos del cliente.

<inalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente

determinadas partes del Informe. %ara ello, resulta casi imprescindile una cierta soltura en

el mane-o de %rocesadores de *e&to, paquetes de Bráficos, 3o-as de #álculo, etc.

-etodología de "ra%a&o de Auditoría Informática



!l m'todo de traa-o del auditor pasa por las siguientes etapas+

• Alcance /etivos de la Auditoría Informática.

• Estudio inicial del entorno audita/le.

• $eterminación de los recursos necesarios para reali!ar la auditoría.

• Ela/oración del plan de los "rogramas de %ra/ao.

• Actividades propiamente dic)as de la auditoría.

• Confección redacción del Informe 3inal.

• +edacción de la Carta de Introducción o Carta de "resentación del Informe final.

)efinición de Alcance y $%&etivos!l alcance de la auditor$a e&presa los l$mites de la misma. 0ee e&istir un acuerdo muy

preciso entre auditores y clientes sore las funciones, las materias y las organizaciones a

auditar.

A los efectos de acotar el traa-o, resulta muy eneficioso para amas partes e&presar las

e&cepciones de alcance de la auditor$a, es decir cuales materias, funciones u organizaciones

no van a ser auditadas.

*anto los alcances como las e&cepciones deen figurar al comienzo del Informe <inal.

Las personas que realizan la auditor$a han de conocer con la mayor e&actitud posile los

o-etivos a los que su tarea dee llegar. 0een comprender los deseos y pretensiones delcliente, de forma que las metas fi-adas puedan ser cumplidas.

1na vez definidos los o-etivos 4o-etivos espec$ficos5, 'stos se a)adirán a los o-etivos

generales y comunes de a toda auditor$a Informática+ La operatividad de los Sistemas y los

#ontroles Benerales de Bestión Informática.

Estudio Inicial

%ara realizar dicho estudio ha de e&aminarse las funciones y actividades generales de la

informática.

%ara su realización el auditor dee conocer lo siguiente+

$rganización:

%ara el equipo auditor, el conocimiento de qui'n ordena, qui'n dise)a y qui'n e-ecuta es

fundamental. %ara realizar esto en auditor deerá fi-arse en+

45 rganigrama:

!l organigrama e&presa la estructura oficial de la organización a auditar.

Si se descuriera que e&iste un organigrama fáctico diferente al oficial, se pondrá de

manifiesto tal circunstancia.

65 $epartamentos:

Se entiende como departamento a los órganos que siguen inmediatamente a la 0irección. !lequipo auditor descriirá revemente las funciones de cada uno de ellos.



75 +elaciones 8erárquicas funcionales entre órganos de la rgani!ación:

!l equipo auditor verificará si se cumplen las relaciones funcionales y Nerárquicas previstas

por el organigrama, o por el contrario detectará, por e-emplo, si alg(n empleado tiene dos

-efes.

Las de Nerarqu$a implican la correspondiente suordinación. Las funcionales por elcontrario, indican relaciones no estrictamente suordinales.

M. Además de las corrientes verticales intradepartamentales, la estructura organizativa

cualquiera que sea, produce corrientes de información horizontales y olicuas

e&tradepartamentales.

Los flu-os de información entre los grupos de una organización son necesarios para su

eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio

organigrama.

!n ocasiones, las organizaciones crean espontáneamente canales alternativos de

información, sin los cuales las funciones no podr$an e-ercerse con eficacia9 estos

canales alternativos se producen porque hay peque)os o grandes fallos en la

estructura y en el organigrama que los representa.

8tras veces, la aparición de flu-os de información no previstos oedece a afinidades

personales o simple comodidad. !stos flu-os de información son indeseales y

producen graves perturaciones en la organización.

. 3luos de Información:

!l equipo auditor comproará que los nomres de los %uesto de los %uestos de

*raa-o de la organización corresponden a las funciones reales distintas.

!s frecuente que a-o nomres diferentes se realicen funciones id'nticas, lo cualindica la e&istencia de funciones operativas redundantes.

!sta situación pone de manifiesto deficiencias estructurales9 los auditores darán a

conocer tal circunstancia y e&presarán el n(mero de puestos de traa-o

verdaderamente diferentes.

H. 91mero de "uestos de tra/ao

R. 91mero de personas por "uesto de %ra/ao

!s un parámetro que los auditores informáticos deen considerar. La inadecuación del

personal determina que el n(mero de personas que realizan las mismas funciones rara vezcoincida con la estructura oficial de la organización.

Entorno $#eracional

!l equipo de auditor$a informática dee poseer una adecuada referencia del entorno en el

que va a desenvolverse.

!ste conocimiento previo se logra determinando, fundamentalmente, los siguientes

e&tremos+

a. Se determinará la uicación geográfica de los distintos #entros de %roceso de 0atos

en la empresa. A continuación, se verificará la e&istencia de responsales en cada

unos de ellos, as$ como el uso de los mismos estándares de traa-o.

5 Arquitectura y configuración de 3ard6are y Soft6are+



#uando e&isten varios equipos, es fundamental la configuración elegida para cada uno

de ellos, ya que los mismos deen constituir un sistema compatile e

intercomunicado. La configuración de los sistemas esta muy ligada a las pol$ticas de

seguridad lógica de las compa)$as.

Los auditores, en su estudio inicial, deen tener en su poder la distriución e

intercone&ión de los equipos.

. Situación geográfica de los Sistemas+

!l auditor recaará información escrita, en donde figuren todos los elementos f$sicos

y lógicos de la instalación. !n cuanto a 3ard6are figurarán las #%1s, unidades de

control local y remotas, perif'ricos de todo tipo, etc.

!l inventario de soft6are dee contener todos los productos lógicos del Sistema,

desde el soft6are ásico hasta los programas de utilidad adquiridos o desarrollados

internamente. Suele ser haitual clasificarlos en facturales y no facturales.

d5 #omunicación y edes de #omunicación+

!n el estudio inicial los auditores dispondrán del n(mero, situación y caracter$sticas

principales de las l$neas, as$ como de los accesos a la red p(lica de comunicaciones.

Igualmente, poseerán información de las edes Locales de la !mpresa.

A#licaciones %ases de datos y ficeros

!l estudio inicial que han de realizar los auditores se cierra y culmina con una idea

general de los procesos informáticos realizados en la empresa auditada. %ara ello

deerán conocer lo siguiente+

a Inventario de 3ard6are y Soft6are+

a Folumen, antigedad y comple-idad de las Aplicaciones

Se clasificará gloalmente la e&istencia total o parcial de metodolog$a en el desarrollo

de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de

manifiesto.

2etodolog$a del 0ise)o

La e&istencia de una adecuada documentación de las aplicaciones proporciona

eneficios tangiles e inmediatos muy importantes.

La documentación de programas disminuye gravemente el mantenimiento de los

mismos.

c 0ocumentación

!l auditor recaará información de tama)o y caracter$sticas de las ases de 0atos,

clasificándolas en relación y -erarqu$as. 3allará un promedio de n(mero de accesos a

ellas por hora o d$as. !sta operación se repetirá con los ficheros, as$ como la

frecuencia de actualizaciones de los mismos.

!stos datos proporcionan una visión aceptale de las caracter$sticas de la carga

informática.

)eterminación de recursos de la auditoría Informática



2ediante los resultados del estudio inicial realizado se procede a determinar los

recursos humanos y materiales que han de emplearse en la auditor$a.

'ecursos materiales

!s muy importante su determinación, por cuanto la mayor$a de ellos son

proporcionados por el cliente. Las herramientas soft6are propias del equipo van autilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo

posile las fechas y horas de uso entre el auditor y cliente.

Los recursos materiales del auditor son de dos tipos+

d #antidad y comple-idad de ases de 0atos y <icheros.

"rogramas propios de la auditoria: Son muy potentes y <le&iles. 3aitualmente se

a)aden a las e-ecuciones de los procesos del cliente para verificarlos.

onitores: Se utilizan en función del grado de desarrollo oservado en la actividad de

*'cnica de Sistemas del auditado y de la cantidad y calidad de los datos ya e&istentes.

a ecursos materiales Soft6are

ecursos materiales 3ard6are

Los recursos hard6are que el auditor necesita son proporcionados por el cliente. Los

procesos de control deen efectuarse necesariamente en las #omputadoras del auditado.

%ara lo cuál hará de convenir, tiempo de maquina, espacio de disco, impresoras ocupadas,

etc.

'ecursos +umanos

La cantidad de recursos depende del volumen auditale. Las caracter$sticas y perfiles del

personal seleccionado depende de la materia auditale.

!s igualmente rese)ale que la auditor$a en general suele ser e-ercida por profesionales

universitarios y por otras personas de proada e&periencia multidisciplinaria.

*erfiles *orfesionales de los auditores informáticos

In'orm(tico )eneralista

Experto en Desarrollo de Pro*ectos

+,cnico de Sistemas

Experto en &ases de Datos * Administración de las mismas#



Experto en So't%are de Comunicación

Experto en Explotación * )estión de CPD-S

+,cnico de .rganización

+,cnico de e/aluación de Costes

Ela%oración del *lan y de los #rogramas de tra%a&o

1na vez asignados los recursos, el responsale de la auditor$a y sus colaoradores

estalecen un plan de traa-o. 0ecidido 'ste, se procede a la programación del mismo.

!l plan se elaora teniendo en cuenta, entre otros criterios, los siguientes+

a5 Si la evisión dee realizarse por áreas generales o áreas espec$ficas. !n el primer caso,

la elaoración es más comple-a y costosa.

5 Si la auditor$a es gloal, de toda la Informática, o parcial. !l volumen determina no

solamente el n(mero de auditores necesarios, sino las especialidades necesarias del

personal.

• !n el plan no se consideran calendarios, porque se mane-an recursos gen'ricos y no

espec$ficos.

• !n el %lan se estalecen los recursos y esfuerzos gloales que van a ser necesarios.

• !n el %lan se estalecen las prioridades de materias auditales, de acuerdo siempre

con las prioridades del cliente.

• !l %lan estalece disponiilidad futura de los recursos durante la revisión.

• !l %lan estructura las tareas a realizar por cada integrante del grupo.

• !n el %lan se e&presan todas las ayudas que el auditor ha de reciir del auditado.

1na vez elaorado el %lan, se procede a la %rogramación de actividades. !sta ha de ser lo

suficientemente como para permitir modificaciones a lo largo del proyecto.

Actividades de la Auditoría Informática

Auditoría por temas generales o por áreas específicas:

La auditor$a Informática general se realiza por áreas generales o por áreas espec$ficas. Si se

e&amina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo

total y mayores recursos.

#uando la auditor$a se realiza por áreas espec$ficas, se aarcan de una vez todas las

peculiaridades que afectan a la misma, de forma que el resultado se otiene más

rápidamente y con menor calidad.

*'cnicas de *raa-o+



7 Análisis de la información recaada del auditado.

7 Análisis de la información propia.

7 #ruzamiento de las informaciones anteriores.

7 !ntrevistas.

7 Simulación.

7 2uestreos.

3erramientas+

7 #uestionario general inicial.

7 #uestionario #hec;list.

7 !stándares.

7 2onitores.

7 Simuladores 4Beneradores de datos5.

7 %aquetes de auditor$a 4Beneradores de %rogramas5.

7 2atrices de riesgo.

Informe /inal

La función de la auditor$a se materializa e&clusivamente por escrito. %or lo tanto la

elaoración final es el e&ponente de su calidad.

esulta evidente la necesidad de redactar orradores e informes parciales previos al

informe final, los que son elementos de contraste entre opinión entre auditor y auditado y

que pueden descurir fallos de apreciación en el auditor.

Estructura del informe final:

!l informe comienza con la fecha de comienzo de la auditor$a y la fecha de redacción del

mismo. Se incluyen los nomres del equipo auditor y los nomres de todas las personas

entrevistadas, con indicación de la -efatura, responsailidad y puesto de traa-o que

ostente.

$efinición de o/etivos alcance de la auditoría.

Enumeración de temas considerados:

Antes de tratarlos con profundidad, se enumerarán lo más e&haustivamente posile todos

los temas o-eto de la auditor$a.

Cuerpo e-positivo:

%ara cada tema, se seguirá el siguiente orden a saer+

a5 Situación actual. #uando se trate de una revisión periódica, en la que se analiza no

solamente una situación sino además su evolución en el tiempo, se e&pondrá la situación

prevista y la situación real

5 *endencias. Se tratarán de hallar parámetros que permitan estalecer tendencias

futuras.

c5 %untos d'iles y amenazas.



d5 ecomendaciones y planes de acción. #onstituyen -unto con la e&posición de puntos

d'iles, el verdadero o-etivo de la auditor$a informática.

e5 edacción posterior de la #arta de Introducción o %resentación.

"odelo conce#tual de la e$#osici!n del informe final:

7 !l informe dee incluir solamente hechos importantes.

La inclusión de hechos poco relevantes o accesorios desv$a la atención del lector.

7 !l Informe dee consolidar los hechos que se descrien en el mismo.

!l t'rmino de "hechos consolidados" adquiere un especial significado de verificación

o-etiva y de estar documentalmente proados y soportados. La consolidación de los

hechos dee satisfacer, al menos los siguientes criterios+

C. !l hecho dee poder ser sometido a camios.

D. Las venta-as del camio deen superar los inconvenientes derivados de mantener la

situación.

E. /o deen e&istir alternativas viales que superen al camio propuesto.

M. La recomendación del auditor sore el hecho dee mantener o me-orar las normas y

estándares e&istentes en la instalación.

La aparición de un hecho en un informe de auditor$a implica necesariamente la e&istencia

de una deilidad que ha de ser corregida.

<lu-o del hecho o deilidad+

C K 3echo encontrado.

7 3a de ser relevante para el auditor y pera el cliente.

7 3a de ser e&acto, y además convincente.

7 /o deen e&istir hechos repetidos.

D K #onsecuencias del hecho

7 Las consecuencias deen redactarse de modo que sean directamente deduciles del hecho.

E K epercusión del hecho

7 Se redactará las influencias directas que el hecho pueda tener sore otros aspectosinformáticos u otros ámitos de la empresa.

M K #onclusión del hecho

7 /o deen redactarse conclusiones más que en los casos en que la e&posición haya sido

muy e&tensa o comple-a.

K ecomendación del auditor informático

7 0eerá entenderse por s$ sola, por simple lectura.

7 0eerá estar suficientemente soportada en el propio te&to.

7 0eerá ser concreta y e&acta en el tiempo, para que pueda ser verificada suimplementación.



7 La recomendación se redactará de forma que vaya dirigida e&presamente a la persona o

personas que puedan implementarla.

Carta de introducción o presentación del informe final:

La carta de introducción tiene especial importancia porque en ella ha de resumirse la

auditor$a realizada. Se destina e&clusivamente al responsale má&imo de la empresa, o a lapersona concreta que encargo o contrato la auditor$a.

As$ como pueden e&istir tantas copias del informe <inal como solicite el cliente, la auditor$a

no hará copias de la citada carta de Introducción.

La carta de introducción poseerá los siguientes atriutos+

• *endrá como má&imo M folios.

• Incluirá fecha, naturaleza, o-etivos y alcance.

• #uantificará la importancia de las áreas analizadas.

• %roporcionará una conclusión general, concretando las áreas de gran deilidad.

• %resentará las deilidades en orden de importancia y gravedad.

• !n la carta de Introducción no se escriirán nunca recomendaciones.

C'-' 0Com#uter resource management revie12

)efinición de la metodología C'-':

#2 son las siglas de #omputer resource management revie6JJ9 su traducción másadecuada, !valuación de la gestión de recursos informáticos. !n cualquier caso, esta

terminolog$a quiere destacar la posiilidad de realizar una evaluación de eficiencia de

utilización de los recursos por medio del management.

1na revisión de esta naturaleza no tiene en s$ misma el grado de profundidad de una

auditor$a informática gloal, pero proporciona soluciones más rápidas a prolemas

concretos y notorios.

u#uestos de a#licación:

!n función de la definición dada, la metodolog$a areviada #2 es aplicale más a

deficiencias organizativas y gerenciales que a prolemas de tipo t'cnico, pero no cure

cualquier área de un #entro de %rocesos de 0atos.

!l m'todo #2 puede aplicarse cuando se producen algunas de las situaciones que se

citan+

• Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.

• Los resultados del #entro de %rocesos de 0atos no están a disposición de los

usuarios en el momento oportuno.

• Se genera con alguna frecuencia información errónea por fallos de datos o proceso.

• !&isten sorecargas frecuentes de capacidad de proceso.



• !&isten costes e&cesivos de proceso en el #entro de %roceso de 0atos.

!fectivamente, son 'stas y no otras las situaciones que el auditor informático encuentra con

mayor frecuencia. Aunque pueden e&istir factores t'cnicos que causen las deilidades

descritas, hay que convenir en la mayor incidencia de fallos de gestión.

Areas de a#licación:

Las áreas en que el m'todo #2 puede ser aplicado se corresponden con las su-etas a las

condiciones de aplicación se)aladas en punto anterior+

• Bestión de 0atos.

• #ontrol de 8peraciones.

• #ontrol y utilización de recursos materiales y humanos.

• Interfaces y relaciones con usuarios.

• %lanificación.

• 8rganización y administración.

#iertamente, el #2 no es adecuado para evaluar la procedencia de adquisición de

nuevos equipos 4#apacity %lanning5 o para revisar muy a fondo los caminos cr$ticos o las

holguras de un %royecto comple-o.

$%&etivos:

#2 tiene como o-etivo fundamental evaluar el grado de ondad o ineficiencia de losprocedimientos y m'todos de gestión que se oservan en un #entro de %roceso de 0atos.

Las ecomendaciones que se emitan como resultado de la aplicación del #2, tendrán

como finalidad algunas de las que se relacionan+

• Identificar y fi-as responsailidades.

• 2e-orar la fle&iilidad de realización de actividades.

• Aumentar la productividad.

• 0isminuir costes

• 2e-orar los m'todos y procedimientos de 0irección.

Alcance:

Se fi-arán los l$mites que aarcará el #2, antes de comenzar el traa-o.

Se estalecen tres clases+

C. educido. !l resultado consiste en se)alar las áreas de actuación con potencialidad

inmediata de otención de eneficios.

D. 2edio. !n este caso, el #2 ya estalece conclusiones y ecomendaciones, tal ycomo se hace en la auditor$a informática ordinaria.



E. Amplio. !l #2 incluye %lanes de Acción, aportando t'cnicas de implementación

de las ecomendaciones, a la par que desarrolla las conclusiones.

Información necesaria #ara la evaluación del C'-':

Se determinan en este punto los requisitos necesarios para que esta simiosis de auditor$a y

consultor$a pueda llevarse a cao con '&ito.

C. !l traa-o de campo del #2 ha de realizarse completamente integrado en la

estructura del #entro de %roceso de 0atos del cliente, y con los recursos de 'ste.

D. Se deerá cumplir un detallado programa de traa-o por tareas.

E. !l auditor7consultor recaará determinada información necesaria del cliente.

Se tratan a continuación los tres requisitos e&puestos+

C. /o dee olvidarse que se están evaluando actividades desde el punto de vista

gerencial. !l contacto permanente del auditor con el traa-o ordinario del #entro de

%roceso de 0atos permite a aqu'l determinar el tipo de esquema organizativo que se

sigue.

D. Integración del auditor en el Centro de "rocesos de $atos a revisar

E. "rograma de tra/ao clasificado por tareas

*odo traa-o hará de ser descompuesto en tareas. #ada una de ellas se someterá a la

siguiente sistemática+

• Identificación de la tarea.

• 0escripción de la tarea.

• 0escripción de la función de dirección cuando la tarea se realiza incorrectamente.

• 0escripción de venta-as, sugerencias y eneficios que puede originar un camio o

modificación de tarea

• *est para la evaluación de la práctica directiva en relación con la tarea.

•

%osiilidades de agrupación de tareas.

• A-ustes en función de las peculiaridades de un departamento concreto.

• egistro de resultados, conclusiones y ecomendaciones.

C. Información necesaria para la reali!ación del C++

!l cliente es el que facilita la información que el auditor contrastará con su traa-o de

campo.

Se e&hie a continuación una #hec;list completa de los datos necesarios para confeccionar

el #2+



• 0atos de mantenimiento preventivo de 3ard6are.

• Informes de anomal$as de los Sistemas.

• %rocedimientos estándar de actualización.

• %rocedimientos de emergencia.

• 2onitarización de los Sistemas.

• Informes del rendimiento de los Sistemas.

• 2antenimiento de las Lirer$as de %rogramas.

• Bestión de !spacio en disco.

• 0ocumentación de entrega de Aplicaciones a !&plotación.

• 0ocumentación de alta de cadenas en !&plotación.

• 1tilización de #%1, canales y discos.

• 0atos de paginación de los Sistemas.

• Folumen total y lire de almacenamiento.

• 8cupación media de disco.

• 2anuales de %rocedimientos de !&plotación.

!sta información cure ampliamente el espectro del #2 y permite e-ercer el

seguimiento de las ecomendaciones realizadas.

Caso *ráctico de una Auditoría de eguridad Informática 33Ciclo de

eguridad44

A continuación, un caso de auditor$a de área general para proporcionar una visión más

desarrollada y amplia de la función auditora.

!s una auditor$a de Seguridad Informática que tiene como misión revisar tanto la seguridadf$sica del #entro de %roceso de 0atos en su sentido más amplio, como la seguridad lógica de

datos, procesos y funciones informáticas más importantes de aqu'l.

Ciclo de eguridad

!l o-etivo de esta auditor$a de seguridad es revisar la situación y las cuotas de eficiencia de

la misma en los órganos más importantes de la estructura informática.

%ara ello, se fi-an los supuestos de partida+

!l área auditada es la Seguridad. !l área a auditar se divide en+ Segmentos.

Los segmentos se dividen en+ Secciones.Las secciones se dividen en+ Su/secciones.



0e este modo la auditor$a se realizara en E niveles.

Los segmentos a auditar, son+

• Segmento C+ Seguridad de cumplimiento de normas y estándares.

•

Segmento D+ Seguridad de Sistema 8perativo.

• Segmento E+ Seguridad de Soft6are.

• Segmento M+ Seguridad de #omunicaciones.

• Segmento + Seguridad de ase de 0atos.

• Segmento H+ Seguridad de %roceso.

• Segmento R+ Seguridad de Aplicaciones.

• Segmento T+ Seguridad <$sica.

Se darán los resultados gloales de todos los segmentos y se realizará un tratamiento

e&haustivo del Segmento T, a nivel de sección y susección.

#onceptualmente la auditoria informática en general y la de Seguridad en particular, ha de

desarrollarse en seis fases ien diferenciadas+

/ase 5. #ausas de la realización del ciclo de seguridad.

/ase 6. !strategia y log$stica del ciclo de seguridad.

/ase 7. %onderación de sectores del ciclo de seguridad.

/ase 8. 8perativa del ciclo de seguridad.

/ase 9. #álculos y resultados del ciclo de seguridad.

/ase . #onfección del informe del ciclo de seguridad.

A su vez, las actividades auditoras se realizan en el orden siguiente+

C. #omienzo del proyecto de Auditor$a Informática.

D. Asignación del equipo auditor.

E. Asignación del equipo interlocutor del cliente.

M. #umplimentación de formularios gloales y parciales por parte del cliente.

. Asignación de pesos t'cnicos por parte del equipo auditor.

H. Asignación de pesos pol$ticos por parte del cliente.

R. Asignación de pesos finales a segmentos y secciones.

T. %reparación y confirmación de entrevistas.



U. !ntrevistas, confrontaciones y análisis y repaso de documentación.

CQ. #alculo y ponderación de susecciones, secciones y segmentos.

CC. Identificación de áreas me-orales.

CD. !lección de las áreas de actuación prioritaria.

CE. %reparación de recomendaciones y orrador de informe

CM. 0iscusión de orrador con cliente.

C. !ntrega del informe.

Causas de realización de una Auditoría de eguridad

!sta constituye la <AS! Q de la auditor$a y el orden Q de actividades de la misma.

!l equipo auditor dee conocer las razones por las cuales el cliente desea realizar el #iclo de

Seguridad. %uede haer muchas causas+ eglas internas del cliente, incrementos no

previstos de costes, oligaciones legales, situación de ineficiencia gloal notoria, etc.

0e esta manera el auditor conocerá el entorno inicial. As$, el equipo auditor elaorará el

%lan de *raa-o.

Estrategia y logística del ciclo de eguridad

#onstituye la <AS! C del ciclo de seguridad y se desarrolla en las actividades C, D y E+

<ase C. Estrategia logística del ciclo de seguridad

C. 0esignación del equipo auditor.

D. Asignación de interlocutores, validadores y decisores del cliente.

E. #umplimentación de un formulario general por parte del cliente, para la realización

del estudio inicial.

#on las razones por las cuales va a ser realizada la auditor$a 4<ase Q5, el equipo auditor

dise)a el proyecto de #iclo de Seguridad con arreglo a una estrategia definida en función

del volumen y comple-idad del traa-o a realizar, que constituye la <ase C del punto

anterior.%ara desarrollar la estrategia, el equipo auditor necesita recursos materiales y humanos. La

adecuación de estos se realiza mediante un desarrollo log$stico, en el que los mismos deen

ser determinados con e&actitud. La cantidad, calidad, coordinación y distriución de los

mencionados recursos, determina a su vez la eficiencia y la econom$a del %royecto.

Los planes del equipo auditor se desarrolla de la siguiente manera+

C. !ligiendo el responsale de la auditoria su propio equipo de traa-o. !ste ha de ser

heterog'neo en cuanto a especialidad, pero compacto.

D. ecaando de la empresa auditada los nomres de las personas de la misma que

han de relacionarse con los auditores, para las peticiones de información,coordinación de entrevistas, etc.



Seg(n los planes marcados, el equipo auditor, cumplidos los requisitos C, D y E, estará

en disposición de comenzar la "tarea de campo", la operativa auditora del #iclo de

Seguridad.

*onderación de los ectores Auditados

!ste constituye la <ase D del %royecto y engloa las siguientes actividades+

/AE 7. "onderación de sectores del ciclo de seguridad.

E. 2ediante un estudio inicial, del cual forma parte el análisis de un formulario

e&haustivo, tami'n inicial, que los auditores entregan al cliente para su

cumplimentación.

M. Asignación de pesos t'cnicos. Se entienden por tales las ponderaciones que el

equipo auditor hace de los segmentos y secciones, en función de su importancia.

. Asignación de pesos pol$ticos. Son las mismas ponderaciones anteriores, pero

evaluadas por el cliente.

Se pondera la importancia relativa de la seguridad en los diversos sectores de la

organización informática auditada.

Las asignaciones de pesos a Secciones y Segmentos del área de seguridad que se

audita, se realizan del siguiente modo+

%esos t&cnicos

Son los coeficientes que el equipo auditor asigna a los Segmentos y a las Secciones.

%esos #olíticos

Son los coeficientes o pesos que el cliente concede a cada Segmento y a cada Sección

del #iclo de Seguridad.

Ciclo de Seguridad. Suma Pesos Segmentos = 100

(con independencia del número de segmentos consideradas)

Segmen

Seg1# 0ormas * Est(ndares

Seg2# Sistema .perati/o

Seg3# So't%are &(sico

Seg# Comunicaciones

Seg# &ases de Datos

Seg# Procesos

Seg4# Aplicaciones



Seg5# Seguridad 67sica

TTA

%esos finalesSon el promedio de los pesos anteriores.

!l total de los pesos de los T segmentos es CQQ. !ste total de CQQ puntos es el que se

ha asignado a la totalidad del área de Seguridad, como podr$a haerse elegido otro

cualquiera. !l total de puntos se mantiene cualquiera que huiera sido el n(mero de

segmentos. Si huieran e&istido cinco segmentos, en lugar de T, la suma de los cinco

har$a de seguir siendo de CQQ puntos.

Suma Peso Secciones 8 29

con independencia del n;mero de Secciones consideradas<

Seccio

Secc1# Seg# 67sica de Datos

Secc2# Control de Accesos

Secc3# E=uipos

Secc# Documentos

Secc# Suministros

+.+A

%uede oservarse la diferente apreciación de pesos por parte del cliente y del equipo

auditor. 2ientras 'stos estiman que las /ormas y !stándares y los %rocesos son muy

importantes, el cliente no los considera tanto, a la vez que prima, tal vez

e&cesivamente, el Soft6are ásico.

0el mismo modo, se concede a todos los segmentos el mismo valor total que se desee,

por e-emplo DQ, con asoluta independencia del n(mero de Secciones que tenga cadaSegmento. !n este caso, se han definido y pesado cinco Secciones del Segmento de

Seguridad <$sica. #ae aclarar, solo se desarrolló un solo Segmento a modo de

e-emplo.

$#erativa del ciclo de eguridad

1na vez asignados los pesos finales a todos los Segmentos y Secciones, se comienza la

<ase E, que implica las siguientes actividades+

/AE 8. perativa del ciclo de seguridad

H. Asignación de pesos finales a los Segmentos y Secciones. !l peso final es el

promedio del peso t'cnico y del peso pol$tico. La Susecciones se calculan pero no seponderan.



R. %reparación y confirmación de entrevistas.

T. !ntrevistas, prueas, análisis de la información, cruzamiento y repaso de la misma.

Las entrevistas deen realizarse con e&actitud. !l responsale del equipo auditor designará

a un encargado, dependiendo del área de la entrevista. !ste, por supuesto, deerá conocer afondo la misma.

La realización de entrevistas adecuadas constituye uno de los factores fundamentales del

'&ito de la auditor$a. La adecuación comienza con la completa cooperación del entrevistado.

Si esta no se produce, el responsale lo hará saer al cliente.

0een realizarse varias entrevistas del mismo tema, al menos a dos o tres niveles

-erárquicos distintos. !l mismo auditor puede, y en ocasiones es conveniente, entrevistar a

la misma persona sore distintos temas. Las entrevistas deen realizarse de acuerdo con el

plan estalecido, aunque se pueden llegar a agregar algunas adicionales y sin planificación.

La entrevista concreta suele aarcar Susecciones de una misma Sección tal vez una sección

completa. #omenzada la entrevista, el auditor o auditores formularán preguntas alGlos

entrevistadoGs. 0ee identificarse quien ha dicho qu', si son más de una las personas

entrevistadas.

Las #hec;listVs son (tiles y en muchos casos imprescindiles. *erminadas las entrevistas, el

auditor califica las respuestas del auditado 4no dee estar presente5 y procede al

levantamiento de la información correspondiente.

Simultáneamente a las entrevistas, el equipo auditor realiza prueas planeadas y prueas

sorpresa para verificar y cruzar los datos solicitados y facilitados por el cliente. !stas

prueas se realizan e-ecutando traa-os propios o repitiendo los de aqu'l, que

indefectilemente deerán ser similares si se han reproducido las condiciones de carga de

los Sistemas auditados. Si las prueas realizadas por el equipo auditor no fueran

consistentes con la información facilitada por el auditado, se deerá recaar nueva

información y reverificar los resultados de las prueas auditoras.

La evaluación de las #hec;lists, las prueas realizadas, la información facilitada por el

cliente y el análisis de todos los datos disponiles, configuran todos los elementos

necesarios para calcular y estalecer los resultados de la auditoria, que se materializarán en

el informe final.

A continuación, un e-emplo de auditor$a de la Sección de #ontrol de Accesos del Segmento

de Seguridad <$sica+

;amos a dividir a la Sección de Control de Accesos en cuatro Su/secciones:

C. Autorizaciones

D. #ontroles Automáticos

E. Figilancia

M. egistros

!n las siguientes #hec;lists, las respuestas se calificarán de C a , siendoC la más deficiente y

la má&ima puntuación.



Control de Accesos: Autori"aciones

?Existe un ;nico responsable de implementar la pol7tica de autorizaciones de entrada en el Centro de C(lculo@

?Existe alguna autorización permanente de estancia de personal a!eno a la empresa@

?ui,nes saben cuales son las personas autorizadas@

Adem(s de la tar!eta magn,tica de identi'icaciónB ?a* =ue pasar otra especial@

?Se pregunta a las /isitas si piensan /isitar el Centro de C(lculo@

?Se pre/een las /isitas al Centro de C(lculo con 2 oras al menos@

TTA! A#T$%&AC%'ES

Control de Accesos: Controles Automticos

?Cree d# =ue los Controles Autom(ticos son adecuados@

?uedan registradas todas las entradas * salidas del Centro de C(lculo@

Al 'inal de cada turnoB ?Se controla el n;mero de entradas * salidas del personal de .peración@

?Puede salirse del Centro de C(lculo sin tar!eta magn,tica@

TTA! C'T$!ES A#TAT%CS

Control de Accesos: *igilancia

?$a* /igilantes las 2 oras@

?Existen circuitos cerrados de + exteriores@

Identi'icadas las /isitasB ?Se les acompaFa asta la persona =ue desean /er@

?Conocen los /igilantes los terminales =ue deben =uedar encendidos por la noce@



TTA! *%+%!A'C%A

Control de Accesos: $egistros

?Existe una adecuada pol7tica de registros@

?Se a registrado alguna /ez a una persona@

?Se abren todos los pa=uetes dirigidos a personas concretas * no a In'orm(tica@

?$a* un cuarto para abrir los pa=uetes@

TTA! $E+%ST$S

Cálculos y 'esultados del Ciclo de eguridad

/AE 9. Cálculos resultados del ciclo de seguridad

C. #álculo y ponderación de Secciones y Segmentos. Las Susecciones no se ponderan,

solo se calculan.

D. Identificación de materias me-orales.

E. %riorización de me-oras.

!n el punto anterior se han realizado las entrevistas y se han puntuado las respuestas de

toda la auditor$a de Seguridad.

!l traa-o de levantamiento de información está concluido y contrastado con las prueas. A

partir de ese momento, el equipo auditor tiene en su poder todos los datos necesarios para

elaorar el informe final. Solo faltar$a calcular el porcenta-e de ondad de cada área9 'ste se

otiene calculando el sumatorio de las respuestas otenidas, recordando que deen

afectarse a sus pesos correspondientes.

1na vez realizado los cálculos, se ordenaran y clasificaran los resultados otenidos por

materias me-orales, estaleciendo prioridades de actuación para lograrlas.

Cálculo del eemplo de las Su/secciones de la Sección de Control de Accesos:

Autorizaciones TQW

#ontroles Automáticos RQW

Figilancia RQW

egistros EQW

*romedio de Control de Accesos ;7,<



#ae recordar, que dentro del Segmento de Seguridad <$sica, la Sección de #ontrol de

Accesos tiene un peso final de M.

%rosiguiendo con el e-emplo, se procedió a la evaluación de las otras cuatro Secciones,

oteni'ndose los siguientes resultados+

Ciclo de Seguridad: Segmento ,- Seguridad ísica.

Sección 1# Datos

Sección 2# Control de Accesos

Sección 3# E=uipos Centro de C(lculo<

Sección # Documentos

Sección # Suministros

#onocidas los promedios y los pesos de las cinco Secciones, se procede a calcular y

ponderar el Segmento T de Seguridad <$sica+

Seg. T P %romedioSecciónC > peso O %romedioSeccD > peso O %romSeccE > peso O

%romSeccM > peso O %romSecc > peso G 4pesoC O pesoD O pesoE O pesoM O peso5

ó

Seg. T P 4R, > H5 O 4HD, > M5 O 4RQ > 5 O 4D, > E5 O 4MR,D > D5 G DQ

Seg. T P U,TW

A continuación, la evaluación final de los demás Segmentos del ciclo de Seguridad+

Ciclo de Seguridad# E/aluación * pesos de Segmentos

Seg1# 0ormas * Est(ndares

Seg2# Sistema .perati/o

Seg3# So't%are &(sico

Seg# Comunicaciones

Seg# &ases de Datos

Seg# Procesos

Seg4# Aplicaciones



Seg5# Seguridad 67sica

Promedio Total Area de Seguridad

Sistemática seguida para el cálculo evaluación del Ciclo de Seguridad:a. Faloración de las respuestas a las preguntas espec$ficas realizadas en las entrevistas

y a los cuestionarios formulados por escrito.

. #álculo matemático de todas las susecciones de cada sección, como media

aritm'tica 4promedio final5 de las preguntas espec$ficas. ecu'rdese que las

susecciones no se ponderan.

c. #álculo matemático de la Sección, como media aritm'tica 4promedio final5 de sus

Susecciones. La Sección calculada tiene su peso correspondiente.

d. #álculo matemático del Segmento. #ada una de las Secciones que lo componen se

afecta por su peso correspondiente. !l resultado es el valor del Segmento, el cual, a su

vez, tiene asignado su peso.

e. #álculo matemático de la auditor$a. Se multiplica cada valor de los Segmentos por

sus pesos correspondientes, la suma total otenida se divide por el valor fi-o asignado

a priori a la suma de los pesos de los segmentos.

<inalmente, se procede a mostrar las áreas auditadas con gráficos de arras, e&poni'ndose

primero los Segmentos, luego las Secciones y por (ltimo las Susecciones. !n todos los

casos s' referenciarán respecto a tres zonas+ ro-a, amarilla y verde.

La zona ro-a corresponde a una situación de deilidad que requiere acciones a corto plazo.

Serán las más prioritarias, tanto en la e&posición del Informe como en la toma de medidas

para la corrección.

La zona amarilla corresponde a una situación discreta que requiere acciones a medio plazo,

figurando a continuación de las contenidas en la zona ro-a.

La zona verde requiere solamente alguna acción de mantenimiento a largo plazo.

0ula



Confección del Informe del Ciclo de eguridad

<ase. Confección del informe del ciclo de seguridad C. %reparación de orrador de informe y ecomendaciones.

D. 0iscusión del orrador con el cliente.

E. !ntrega del Informe y #arta de Introducción.

3a de resaltarse la importancia de la discusión de los orradores parciales con el cliente. La

referencia al cliente dee entenderse como a los responsales directos de los segmentos. !s

de destacar que si huiese acuerdo, es posile que el auditado redacte un contrainforme del

punto cuestionado. !ste acta se incorporará al Informe <inal.

Las ecomendaciones del Informe son de tres tipos+

C. ecomendaciones correspondientes a la zona ro-a. Serán muy detalladas e irán en

primer lugar, con la má&ima prioridad. La redacción de las recomendaciones se hará

de modo que sea simple verificar el cumplimiento de la misma por parte del cliente.

D. ecomendaciones correspondientes a la zona amarilla. Son las que deen

oservarse a medio plazo, e igualmente irán priorizadas.

E. ecomendaciones correspondientes a la zona verde. Suelen referirse a medidas de

mantenimiento. %ueden ser omitidas. %uede detallarse alguna de este tipo cuando una

acción sencilla y económica pueda originar eneficios importantes.



Em#resas que realizan auditorías externas:

Arthur Andersen+

*iene MDQ oficinas en todo el mundo, casi MQ.QQQ profesionales, y factura alrededor de D,T

illones de dólares anuales. Invierte DQ millones de dólares por a)o en educación y

capacitación a medida. 2enos del uno por ciento del presupuesto para entrenamiento segasta fuera de la organización, aunque la cuota de educación que cada profesional recie es

prácticamente equivalente a un "master" norteamericano. Se dictan los cursos de la

compa)$a en el multimillonario #entro para la #apacitación %rofesional que Arthur

Andersen posee cerca de #hicago, con capacidad para C.RQQ estudiantes con cama y comida.

!n la Argentina, como en muchos otros mercados comple-os, Arthur Andersen comina el

tradicional papel de auditor con un rol más creativo como conse-ero, en el cual la firma

ayuda a sus clientes a me-orar sus operaciones a trav's de la generación de ideas nuevas y

me-oras en sistemas y prácticas comerciales. !ste punto de vista en materia auditora

permite que las dos unidades de la firma puedan, en muchos casos, traa-ar -untas en la

elaoración de proyectos especiales para empresasGclientes.

%rice aterhouse+

0e llegar a fusionarse con la empresa consultora #oopers Y Lyrand, tendr$an una fuerza

de traa-o de CE.QQQ personas, T.QQ socios y una facturación anual superior a los CE.QQQ

millones de dólares. Además, el gigante Andersen pasar$a a ocupar el segundo lugar en el

rán;ing de los Seis Brandes Internacionales.

!rnst Y Zoung, etc.

Conclusión:

%rincipalmente, con la realización de este traa-o práctico, la principal conclusión a la que

hemos podido llegar, es que toda empresa, p(lica o privada, que posean Sistemas de

Información medianamente comple-os, deen de someterse a un control estricto de

evaluación de eficacia y eficiencia. 3oy en d$a, el UQ por ciento de las empresas tienen toda

su información estructurada en Sistemas Informáticos, de aqu$, la vital importancia que los

sistemas de información funcionen correctamente. La empresa hoy, deeGprecisa

informatizarse. !l '&ito de una empresa depende de la eficiencia de sus sistemas de

información. 1na empresa puede tener un staff de gente de primera, pero tiene un sistema

informático propenso a errores, lento, vulnerale e inestale9 si no hay un alance entre

estas dos cosas, la empresa nunca saldrá a adelante. !n cuanto al traa-o de la auditor$a en

s$, podemos remarcar que se precisa de gran conocimiento de Informática, seriedad,

capacidad, minuciosidad y responsailidad9 la auditor$a de Sistemas dee hacerse por gente

altamente capacitada, una auditor$a mal hecha puede acarrear consecuencias drásticas para

la empresa auditada, principalmente económicas.

Autor+

Comentarios

•

Miercoles, 16 de Enero de 2008 a las 10:34 | 0



Jordi Rosell

Es un trabajo interesante, de todos modos determinar el alcance de una auditoria puede ser un

proyecto en si mismo.

Más información en http://www.auditoriasistemas.com

Mostrando 1-1 de un total de 1 comentarios.

Páinas: 1 Para dejar un comentario, regístrese gratis o si ya está registrado, inicie sesión.

+raba!os relacionados Acti/idades en la planeacin de

sistemas de informacin.

$allazgos de los ecos# $erramientas para

documentar procesos * decisiones# Grboles de

decisión# +ablas de decisión# Es###

Computadores Cunticos

A lo largo del ;ltimo medio sigloB las computadoras

an ido duplicando su /elocidad cada dos aFosB al

tiempo =ue el tama### Comunicacin de datos

Aplicaciones de las comunicaciones de datos en los

negocios# Intercambio electrónico de datos EDI<#

$ard%are para el so###

er mas traba!os de )eneral

!ota al lector: es posible "ue esta páina no contena todos los componentes del trabajo oriinal #pies de páina, a$an%adas

formulas matemáticas, es"uemas o tablas complejas, etc.&. 'ecuerde "ue para $er el trabajo en su $ersión oriinal completa,

puede descararlo desde el men( superior .

)odos los documentos disponibles en este sitio e*presan los puntos de $ista de sus respecti$os autores y no de

Monorafias.com. El objeti$o de Monorafias.com es poner el conocimiento a disposición de toda su comunidad. +ueda bajo la

responsabilidad de cada lector el e$entual uso "ue se le de a esta información. simismo, es obliatoria la cita del autor del

contenido y de Monorafias.com como fuentes de información.

El Centro de Tesis, Documentos, Publicaciones !ecursos Educati"os m#s am$lio de la !ed% T&rminos Condiciones | 'a(a $ublicidad en Mono(ra)*as%com | Cont#ctenos | +lo( nstitucional

- Mono(ra.as%com /%%

-eer más: http://www.monorafias.com/trabajos/auditoinfo/auditoinfo.shtmli*%%c0b1!!f

http://www.monografias.com/usuario/perfiles/jordi_rosell

http://www.auditoriasistemas.com/


http://www.monografias.com/usuario/registro

http://www.monografias.com/usuario/login

http://www.monografias.com/trabajos6/sisin/sisin.shtml


http://www.monografias.com/trabajos7/cocu/cocu.shtml

http://www.monografias.com/trabajos7/coda/coda.shtml

http://www.monografias.com/Computacion/General/

http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml#top


http://www.monografias.com/politicas.shtml

http://www.monografias.com/mediakit

http://www.monografias.com/contacto.shtml


http://blogs.monografias.com/institucional/

http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml#ixzz3c2b1gNNf



http://www.monografias.com/usuario/registro

http://www.monografias.com/usuario/login



http://www.monografias.com/trabajos7/cocu/cocu.shtml

http://www.monografias.com/trabajos7/coda/coda.shtml

http://www.monografias.com/Computacion/General/


http://www.monografias.com/politicas.shtml

http://www.monografias.com/mediakit


http://blogs.monografias.com/institucional/


http://www.monografias.com/usuario/perfiles/jordi_rosell

sistemas informatico se auditoria

Documents