Download - Que Es Auditoria a
-
8/8/2019 Que Es Auditoria a
1/52
Instituto Nacional de Estadsticae Informtica
QU ES LA AUDITORAINFORMTICA?
COLECCIN CULTURA INFORMTICA
-
8/8/2019 Que Es Auditoria a
2/52
_________________________________________________________INSTITUTO NACIONAL DE ESTADSTICA E INFORMTICAElaborado por la Subjefatura de InformticaDireccin Tcnica Desarrollo InformticoTelfono 433-4223 Anexos 314 315Telefax 433-5568
INTERNET [email protected]
Impreso en los talleres de la Oficina de Impresiones de la Oficina
Tcnica de Difusin Estadstica y Tecnologa Informtica del Instituto
Nacional de Estadstica e Informtica (INEI)
Edicin :Direccin, Redaccin y Talleres: Av. General Garzn N 658
Jess Mara
Orden :
mailto:[email protected]:[email protected] -
8/8/2019 Que Es Auditoria a
3/52
PRESENTACIN
El Instituto Nacional de Estadstica e Informtica(INEI), como ente rector del Sistema Nacional de Informtica,continuando con la publicacin de la Coleccin Cultura
Informtica, pone a disposicin su Vigsimo Sexto Nmero
titulado: Qu es la Auditora Informtica?.
En esta oportunidad la publicacin que se presenta como Qu es
la Auditora Informtica?, pretende despertar el inters,despejando asimismo dudas e inquietudes con respecto a ste tema.
Por su contenido, esperamos que sea del agrado de nuestro
distinguido pblico lector, ya que el tema es muy interesante, debido
a que la auditora Informtica es una actividad de suma importancia
para el desarrollo de las empresas por que la gran mayora tiene las
bases de su desarrollo en esta actividad. Los temas que se tratan
durante el desarrollo de esta publicacin son los que generalmente
se dan en una Auditora Informtica, como por ejemplo, conceptosgenerales de Auditora, Auditora Interna y Externa, alcance de la
Auditora Informtica, sus objetivos principales, Auditora
Informtica de Explotacin, de Desarrollo de Proyectos, de
Sistemas, de Comunicaciones y Redes, de Seguridad Informtica y
otros temas que son importantes como: Metodologa de Trabajo,
Determinacin de los recursos a utilizar, Actividades que realiza la
Auditora Informtica, hasta el Informe final, para finalmente llegar
a las conclusiones.
El Instituto Nacional de Estadstica e Informtica, pone a
disposicin de sus lectores, la presente publicacin, esperando sea
de utilidad.
Econ. Flix Murillo AlfaroJEFE
INSTITUTO NACIONAL DE ESTADTICA
E INFORMTICA
-
8/8/2019 Que Es Auditoria a
4/52
CONTENIDO
Introduccin 7
Auditora 10
Auditora Interna y Auditora Externa 11
Alcance de la Auditora Informtica 13
Tipos y Clases de Auditora 16
Cules son los objetivos principales? 17
Auditora Informtica de Explotacin 20Auditora Informtica de Desarrollo de Proyectos 23
Auditora Informtica de Sistemas 25
Auditora Informtica de Comunicaciones y Redes 30
Auditora de Seguridad Informtica 30
Tcnicas y Herramientas usadas por la Auditora
Informtica 33
Metodologa de Trabajo 39
Determinacin de Alcances y Objetivos 39
Anlisis de Ambiente a Auditar y del entorno Auditable 40Determinacin de Recursos de la Auditora Informtica 42
Elaboracin y Planteamiento del plan de trabajo
y de los Programas 43
Actividades a realiza en la Auditora 44
Elaboracin del Informe Final 45
Elaboracin de la Carta de Introduccin
Correspondiente al Informe Final 48
Conclusiones 49
-
8/8/2019 Que Es Auditoria a
5/52
-
8/8/2019 Que Es Auditoria a
6/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica8
Si nos remontamos al campo de la etimologa veremos que
auditora viene del latn auditorius, proviniendo de aqu la
palabra auditor, la misma que significa o que se refiere a aquel
que tiene la virtud de oir.
La Auditora informtica puede ser definida de diversas
formas, y una de las definiciones que tienen la da el
diccionario Espaol Sopena, el cual define a la auditora como
Revisor de Cuentas colegiado. Careciendo inicialmente de unadefinicin clara por que no se explica el objetivo fundamental,
es decir no se especifica labor del auditor, la cual es evaluar la
eficacia y eficiencia.
Si hacemos una investigacin tratando de documentarnos con
respecto al rol que cumple la auditora entonces llegaremos a
concluir en que esta actividad no es slo una actividad
mecnica, donde se apliquen conocimientos y procedimientos
ya establecidos, sino que tambin es una actividad en la que elauditor realizar un a anlisis crtico, en el cual no implica que
ya hayan existido fallas en la entidad auditada, y que la
finalidad est en que se trata de evaluar y mejorar la eficiencia
y eficacia de una entidad o en todo caso la seccin que se est
evaluando.
-
8/8/2019 Que Es Auditoria a
7/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 9
El objetivo principal de laAuditora Informtica es llegar
a tener un control en la
actividad informtica, tambin
se rige de la normatividad que
rige los parmetros
establecidos por la empresa y
su cumplimiento, el anlisis de
la eficiencia de los sistemas
informticos, supervisin de lagestin de los recursos
humanos informticos y materiales. Los sistemas de
informacin son recursos de vital importancia para las
empresas de hoy, es entonces que el auditor tiene la
responsabilidad de hacer que el uso de los recursos de la
empresa se lleven en buena forma y correctamente. Cabe
destacar que una Auditora bien realizada es la que toma en
cuenta a todas las instituciones de forma igual e importante,
debido a que un ministerio, una universidad o una entidadpblica deben ser consideradas de la misma manera
tomndolas en su ms amplio sentido. Y es que en todas estas
entidades la informtica es importante pues la utilizan para
realizar la gestin de negocios en forma ptima con la
finalidad de obtener los beneficios econmicos y de costes
deseados.
De acuerdo a todo esto los sistemas de informacin estn
sujetos a un control permanente y se toman en cuenta tantocomo los otros rganos de la empresa o entidad a la que se
est haciendo la auditora.
El hecho de realizar una auditora informtica es importante
debido a que las herramientas que se utilizan pueden definir o
marcar la diferencia con respecto a la competencia o al
momento en que se est viviendo. Algunos de los aspectos que
deben ser considerados son:
-
8/8/2019 Que Es Auditoria a
8/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica10
El mal diseo de los sistemas puedeser muy perjudicial, por que puede
traer consecuencias desastrosas para
la organizacin debido a que las
mquinas slo acatan rdenes
recibidas de forma irrefutable, y el
modelamiento de las organizaciones
se encuentra supeditada al buen
funcionamiento de estas mismas,
las cuales materializan los sistemasde informacin, entonces la empresa no puede permitir
que el software y el hardware presenten falta de eficiencia
por que va en contra de sus propios intereses.
La sofisticacin en los equipos informticos han dado pie
para que los centros de control de procesos sean los
puntos en el blanco para la delincuencia, el espionaje, o
para manifestaciones terroristas. Para esto la seguridad en
Auditora informtica es importante.
Todos sabemos que hasta las
computadoras pueden tener fallas
en la informacin elaborada y
arrojar resultados errneos, pero si
es que dichos datos son
igualmente errneos. Esto se da
frecuentemente cuando las
instituciones pierden de vista lanaturaleza y calidad de la
informacin que ingresan a sus
sistemas de consulta, con el peligro de que otros sistemas
que son independientes se vean afectados por este hecho,
para este hecho la Auditora de datos es la ms
recomendable.
-
8/8/2019 Que Es Auditoria a
9/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 11
La necesidad de realizar una auditora informtica esimportante para las empresas, por que les permitir conocer la
capacidad que tienen, a nivel informtico para poder afrontar
sus necesidades ms importantes.
AUDITORIA
La Auditora cumple una funcin muy valiosa e
independiente, no toma acciones pero da sugerencias, y sus
conclusiones deben tomarse en cuenta en la toma dedecisiones. La auditora se apoya de herramientas de anlisis,
verificacin y exposicin conformando as elementos de
juicio, los cuales permitirn determinar las debilidades y
disfunciones.
Es muy probable que se afecte la susceptibilidad del personal
auditado, debido a que se interrumpe de alguna manera sus
tareas, en el momento de realizar la auditora, adems esta
actitud es comprensible. Pero los sistemas en ocasiones sonmuy sofisticados, lo cual hace que el auditor disponga de un
nivel tcnico adecuado e insuficiente frente al tiempo que
tiene para realizar su trabajo.
Como parte de la auditora est la evaluacin del personal,
para esto existe el Chek List, que es un cuestionario, el cual esarchivado bajo estrictas medidas de seguridad por las
empresas que se encargan de realizar este trabajo de Auditora,
por considerarse informacin confidencial y activos muy
importantes que respaldan su actividad. La evaluacin debeceirse de acuerdo a las normas o reglas implantadas y se
considera que debe aplicarse una metodologa que pueda
resolver los problemas que puedan presentarse.
-
8/8/2019 Que Es Auditoria a
10/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica12
Con todos los elementos de juicio
recolectados el Auditor podr emitir un
informe en el cual expresara el estado
en el que ha encontrado los sistemas,
expondr las fallas en cuento a
hardware y software encontradas y
tambin sobre la correcta utilizacin
del recurso informtico.
AUDITORA INTERNA Y AUDITORA EXTERNA
Existen dos tipos de auditora, como se ve en el titulo de este
prrafo, y estas son dos La Auditora Interna y la Auditora
Externa, de las cuales en el caso de la Auditora Interna es
realizada con recursos humanos propios de la empresa, lo
mismo sucede con los recursos materiales, pues todos estos
pertenecen a la empresa auditada. Considerando que losempleado que realizan esta labor reciben una remuneracin
econmica. La Auditora es una actividad que existe por
decisin propia de la empresa, es decir, que la empresa puede
decidir en el momento en que esta labor puede ser disuelta.
En el caso de la Auditora Externa el personal que debe
realizarla es un personal que debe guardar afinidad a la
empresa que es auditada, este tipo de Auditora tiene ms
consideracin debido a que tiene una mayor objetividad porexistir un mayor distanciamiento entre el personal auditor y el
personal auditado.
El caso de la Auditora informtica es ventajoso en vista de
que puede ser realizada peridicamente, la cual puede ser
incluida en el plan anual de trabajo realizando una revisin
completa de los sistemas y los equipos de cmputo, es por ello
que guarda cierta ventaja con la auditora externa.
-
8/8/2019 Que Es Auditoria a
11/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 13
Esto permite tambin al personal auditado a poder adecuarseal plan de trabajo de la auditora, y mucho ms cuando las
consecuencias de las recomendaciones crean beneficio laboral.
Es tarea del personal de informtica de escuchar y orientar
sobre las ventajas o desventajas tcnicas que puedan existir y
sobre los costos que pueda demandar un sistema.
Generalmente su opinin no tiene voto en las decisiones que
se toman en la empresa pero si tiene voz para dar la opininque sea ms adecuada y as poder satisfacer las necesidades
ms apremiantes.
Todas las empresas desean tener un control sobre sus sistemas
informticos, necesitando tambin que su gestin est
adecuada a los procedimientos, que todo esto implica. Es por
ello que esta necesidad se ve reflejada en la imagen del auditor
interno informtico.
Slo las empresas grandes pueden contar con una oficina de
auditora, debido a que es costoso contar con este servicio
permanentemente, es as que las empresas pequeas acuden a
la auditora externa.
Pero cuando la empresa adopta por tener este servicio como
auditora interna, parte del personal informtico pasa a formar
parte de esta actividad.
Se puede dar que una institucin que cuente con una oficina de
auditora interna solicite los servicios de una auditora externa,
debido a razones que pueden ser:
La falta de capacidad tcnica, para realizar la auditora demateria especializada en gran cantidad.
Cruzar las informaciones emitidas tanto de la auditorainterna como de la auditora externa, sobre todo con laemisiones internas de graves recomendaciones las mismas
-
8/8/2019 Que Es Auditoria a
12/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica14
que pueden discrepar con la opinin general de la empresamisma.
Esto puede servir como mecanismo protector ante laposibilidad de auditoras informticas externas que hayan
sido solicitadas por la empresa.
La oficina de auditora interna forma parte de la mismaempresa pero es independiente del Departamento de
Sistemas es por ello que es recomendable solicitar losservicios de una auditora externa, lo cual permitir tener
una visin externa de la empresa.
Tanto la auditora externa como interna, debern estar libres
de toda influencia poltica, debido a que pueden afectargravemente la estrategia y poltica general de la empresa. La
oficina de auditora puede actuar por decisin propia ya que es
un rgano independiente de la empresa an estando dentro de
la misma, tambin acta a solicitud de la direccin o de partedel cliente.
ALCANCE DE LA AUDITORA INFORMTICA:La auditora informtica actuar dentro de parmetros
establecidos, es decir que se desarrollar en un entorno y
lmites determinados, y es complementada con los objetivos.
Estos lmites deben estar claramente estipulados en el informe
final, para que quede claro hasta donde puede llegar la
auditora y no solamente eso sino que hay materias fronterizasque pueden ser omitidas. Cuando estos puntos no son bien
definidos, puede implicar el que esta no tenga xito.
-
8/8/2019 Que Es Auditoria a
13/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 15
Auditora Informtica y sus caractersticas:
La informacin es netamente confidencial, es de la empresa y
para la empresa, tendr una importancia especial, adems esta
informacin es considerada como un activo real que al igual
que sus stocks y materias primas, si es que las hay. Debido a
esto es que se realizan inversiones de carcter informtico, y
de esto se ocupa la Auditora de Inversin Informtica.
La Auditora de Seguridad Informticase encargar de la proteccin los
sistemas informticos, o tambin
pueden ocuparse de esto la auditora
de seguridad de cada rea, si es que
existe. La funcin de la informtica
puede ser reorganizada, si es que se
producen cambios estructurales, y esto
es lo ve la Auditora de Organizacin
Informtica.
Es as que una auditora parcial esta conformada por estos tres
tipos de actividades auditoras. De otra forma cuando se lleva a
cabo una auditora informtica en un rea de desarrollo de
Proyectos Informticos es por que existen ineficiencias,
debilidades de organizacin, de inversiones, de seguridad, o
alguna mezcla de ellas.
Razones para determinar la necesidad de una AuditoraInformtica:Cuando existen sntomas de debilidad en la empresa, stas
acuden a las auditoras externas para poder determinar en
donde estn las falencias. Estos sntomas se pueden agrupar
clases:
Cuando existe Desorganizacin y descoordinacin:- Los promedios conseguidos no se habitan a los
estimados, por que los parmetros de productividadno son respetados y sufren un desvo.
-
8/8/2019 Que Es Auditoria a
14/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica16
- Los objetivos que la empresa persigue, no coinciden
con los obtenidos.- Esto puede darse debido a un cambio masivo de
personal, o tambin por que un rea tuvo una mala
reestructuracin, tambin puede deberse a una norma
importante que haya sido modificada.
Cuando hay insatisfaccin del cliente y una malaimagen- Cuando no hay capacidad de satisfacer las
necesidades del cliente.- Las fallas en hardware no son reparadas, ni se
resuelven las incidencias en plazos establecidos y
razonables, ocasionando un descontento en el usuario
por sentirse abandonado.
- Los resultados peridicos no son entregados en los
plazos establecidos. Las pequeas imprecisiones
pueden ocasionar que la informacin no refleje lo real
y que la actividad que ejerce el usuario se vea
afectada por este motivo.
Debilidades Econmico-Financieras:- Elevacin de costos de forma repentina y
desmesurada.
- Cuando se da la necesidad de justificar las
inversiones informticas.
- Cuando se dan otras prioridades en el aspecto
presupuestario.
- Costos y plazos de nuevos proyectos.
Cuando existe inseguridad:Se da una evaluacin de nivel de riesgos, la que
contempla los puntos siguientes:
Seguridad Lgica.
Seguridad Fsica.
Aspectos de confidencialidad.
-
La continuidad en el servicio es importante. Enocasiones se considera ms importante que los
aspectos de seguridad.
-
8/8/2019 Que Es Auditoria a
15/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 17
- Si existen problemas en los que el centro de
procesamiento de datos se encontrara fuera decontrol, una auditora no tendra sentido por
considerarse intil, por eso deben tomarse en cuenta
los ms mnimos indicios para su aplicacin.
Planes de Contingencia:Por lo general las empresas deben aplicar una poltica de
Backups, lo la cual puedan resguardar la informacin en forma
diaria, estos backups debern ser en forma doble asegurndose
que uno de ellos se encuentre dentro de la empresa y otro fuerade ella. Estos backups pueden estar guardados el tiempo que la
empresa lo determine, de acuerdo a la periodicidad con la que
van renovando sus backups.
-
8/8/2019 Que Es Auditoria a
16/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica18
TIPOS Y CLASES DE AUDITORAEl departamento deinformtica a pesar de tener
sus actividades dentro de la
misma empresa, trabaja como
si fuera una entidad
independiente, debido a que
su actividad est proyectada
al exterior y a los usuarios, de
aqu nace la Auditora Informtica de Usuario, la mismaque se distingue de la informtica interna, ya que en estaltima se realiza una actividad informtica cotidiana y real, es
por ello que existe una Auditora Informtica deActividades Internas.
La direccin es quien realiza el control de las actividades del
departamento de informtica con el exterior. La importancia
de se control se debe a que es posible entender las necesidades
que tiene la compaa. El apoyo de la direccin a laInformtica frente al exterior es muy importante para que
esta sea eficiente y eficaz. Este tipo de relaciones forma lo que
se conoce como Auditora Informtica de Direccin y suobjetivo.
Con estos tres tipos de Auditora, y sumado a esta la
Auditora de Seguridad, se determina las cuatro grandesAreas Generales de la Auditora Informtica ms importantes.
Dentro de estas Areas Generales existen otras divisiones en la
que la Auditora Informtica se subdivide, estas son:
Auditoras de Explotacin, de Sistemas, de Comunicaciones y
de Desarrollo de Proyectos. Conformando as las reas
especficas de la Auditora Informtica ms importantes.
Los criterios que se aplican para cada rea especfica en una
auditora son:
-
-
8/8/2019 Que Es Auditoria a
17/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 19
- Se debe tomar desde el punto de vista de la seguridadque la informtica ofrece en general, o en la rama que
se est auditando.
- Desde el funcionamiento interno.
- De acuerdo al apoyo que se recibe desde la direccin,
realizndola en un sentido ascendente, del grado de
cumplimiento de las directrices de sta.
- Considerando las necesidades de los usuarios
juntamente con sus perspectivas.
Los criterios que se han mencionado pueden ser ampliados, y
establecidos de acuerdo a la real necesidad de la empresa
Auditada y a sus caractersticas.
-
8/8/2019 Que Es Auditoria a
18/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica20
CULES SON LOS OBJETIVOS PRINCIPALES?La auditora Informtica tiene muchos fines y entre los queson ms importantes tenemos:
Operatividad: Esta funcin consisteen que la organizacin pueda
funcionar con la cantidad mnima de
recursos. No se puede permitir que la
maquinaria detenga sus actividades
para poder detectar los fallos, y asempezar de nuevo. Cabe destacar
que la auditora debe llevarse a cabo
estando los sistemas en marcha, y este es un proceso que debe
realizarse tanto a nivel global, como parcial.
El auditor tiene una principal preocupacin y esta es la de
conseguir que los sistemas se encuentren en total operatividad,
para lograr esto se deben realizar una serie de Controles
Tcnicos Generales de Operatividad, y dentro de ellos unosControles Tcnicos Especficos de Operatividad, los que
deben estar desarrollados previamente
- Controles Tcnicos Generales:Estos son controles que verifican la compatibilidad
que existe entre el Sistema Operativo y el Software de
base con todos los subsistemas existentes, as como la
compatibilidad entre el Hardware y el Software
instalado. La importancia de estos controles en lasinstalaciones que cuentan con varios competidores se
da debido a que como existen entornos de trabajo
muy diferenciados se obliga a contratar diferentes
productos de software bsico, existiendo el riesgo de
que se pueda desaprovechar parte del software que a
sido contratado.
Esto se puede dar tambin con los productos de
software bsico que han sido desarrollados por el
propio personal de la empresa, en especial cuando laubicacin de los equipos se encuentra
-
8/8/2019 Que Es Auditoria a
19/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 21
geogrficamente distante. Tambin se puede ver queesto tiene un aspecto negativo, el cual se puede
reflejar en la inoperatividad del grupo. La
interconexin o intercomunicacin. Es posible que
cada Centro de Proceso de Datos sea operativo
trabajando slo e independiente, pero lo que no podr
ser posible ser la interconexin e intercomunicacin
de todos los centros de procesos de datos si es que no
existen productos compatibles y comunes.
- Controles Tcnicos Especficos:Son igual de importantes como los Controles
Tcnicos Generales para lograr la Operatividad de los
Sistemas. Estos se encargan de verificar el
funcionamiento correcto de partes especficas del
sistema, como parmetros de asignacinautomtica de espacio en el disco, los cualespueden crear dificultad o impedir su uso posterior por
una seccin diferente a la que lo genero. Tambin losperiodos de retencin de los ficheros comunes a
varias aplicaciones pueden estar definidos con
distintos plazos en cada una de ellas, de modo que la
perdida de informacin es un hecho que podr
producirse con facilidad, quedando inoperativa la
explotacin de alguna de las aplicaciones
mencionadas.
Qu son los parmetros de asignacin automticade espacio en disco?
Las aplicaciones a desarrollarse son super-
parametrizadas, lo que significa que existen muchos
parmetros los cuales permiten la configuracin del
sistema. Es decir que cada aplicacin necesitar un
espacio de disco determinado. Si es que no se pudo
analizar cual es el tiempo que se emplear en la
asignacin del espacio durante la operacin, es muy
-
8/8/2019 Que Es Auditoria a
20/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica22
probable que la aplicacin no funcione y se caiga.Sera muy arriesgado el volver a levantar la
aplicacin haciendo una nueva asignacin de espacio
y una reconversin ya que demandara demasiado
tiempo.
Verificacin de Controles de la Gestin Informtica:Cuando ya se ha conseguido
que los sistemas se encuentren
en total operatividad, seprocede a cumplir el siguiente
objetivo de la auditora, el cual
es el cumplimiento exacto de
las normas previamente
establecidas en el departamento
de informtica y que tengan
coherencia con el resto de la empresa. Esto se realiza
siguiendo un orden el cual es el siguiente:
- Las Normas Generales de la InstalacinInformtica. Se har una verificacin inicial noconsiderando a fondo las contraindicaciones que
puedan existir, pero si anotando las zonas que se
encuentren en carencia de aspectos normativos
requeridos, y por sobre todo teniendo mucho cuidado
en que esta normativa no se encuentre en
contradiccin con las normas generales de la
empresa.
- Los Procedimientos Generales Informticos. Seproceder a la comprobacin de su existencia,
mnimo en los sectores ms importantes.
- Los Procedimientos Especficos Informticos: Deigual forma se proceder a la verificacin de su
existencia en las principales reas. Hay que asegurar
que los Procedimientos Especficos no se opongan alos Procedimientos Generales. En los casos antes
-
8/8/2019 Que Es Auditoria a
21/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 23
- mencionados sin excepcin se deber tener cuidado
en no contradecir ninguna normativa y los
Procedimientos Generales de la propia empresa. Los
procedimientos que se dan a continuacin son los que
se han estado mencionando.
AUDITORA INFORMTICA DE EXPLOTACIN
En la Explotacin
Informtica se producen los
resultados informticos de
todo tipo, es as que arroja
resultados como: listados
impresos, ficheros
soportados magnticamente
para otros informticos,ordenes automatizadas para
lanzar o modificar procesos
industriales, etc. Esta es vista como la fabrica un centro de
produccin que tiene caractersticas particulares, las cuales la
hacen diferente a las reales. La materia prima es importante,
los datos sern transformados en la informacin requerida esta
informacin pasar por un control de integridad y calidad
previamente. El proceso informtico es la va para esta
transformacin el cual es gobernado por programas. Al finallos resultados se someten a controles de calidad, para asegurar
que la salida al mercado del producto final se haga en ptimas
condiciones.
La Explotacin Informtica est dividida en tres grandes reas.
Estas son: Planificacin, Produccin y Soporte Tcnico, y
estas a su vez estn subdivididas en varios grupos.
1.Planificacin
2.
Produccin
3.Soporte
Tcnico
Explotacin Informtica
-
8/8/2019 Que Es Auditoria a
22/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica24
1 Control de Entrada de DatosLa informacin obtenida ser analizada para su compatibilidad
con los sistemas, se debe tomar en cuenta los plazos
establecidos para la entrega de los datos y la correcta entrega
de la informacin a los entornos diferentes. Tambin se tomar
en cuenta que estos procedimientos se realicen de acuerdo a
las normas vigentes.
2 Planificacin y Recepcin de AplicacionesLas normas de entrega de Aplicaciones por parte de desarrollosern auditadas, comprobando su cumplimiento y su calidad.
Una forma de evaluar la informacin tambin es escogiendo
una serie de muestras representativas de la documentacin de
las aplicaciones en explotacin. Se har las investigaciones
pertinentes a fin de determinar sobre la anticipacin de
contactos con desarrollo para la planificacin a medio y largo
plazo.
3 Centro de Control y Seguimiento de Trabajos:La produccin diaria es un
procedimiento al que se realizar un
anlisis exhaustivo. La explotacin
informtica dar ejecucin bsicamente
a procesos por cadenas o lotes
sucesivos(Batch), o en tiempo
real(Tiempo Real). Las aplicaciones de
teleproceso se encuentran enpermanente actividad limitando a las
funciones de Explotacin a vigilar y recuperar incidencias, y
mientras esto sucede el trabajo Batch absorbe una buena parte
de los efectivos de Explotacin. Aqu se determina el xito de
la explotacin, debido a que este se considera uno de los
artfices en el mantenimiento de la produccin.
-
8/8/2019 Que Es Auditoria a
23/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 25
Batch y Tiempo RealAplicaciones Batch, son un tipo de aplicacin que carga
mucha informacin en el transcurso del da, durante la noche
corre un proceso, el cual relaciona a la
informacin en general, tambin lo que hace es
calcular cosas y obtener como salida alguna
accin. Entonces lo que hace es slo recaudar
informacin sin que sea procesada, es decir que
solamente se trata de un tema Data Entry, elcual recolecta la informacin y corre el proceso
batch(por lotes), este realiza posteriormente
clculos para comenzar a trabajar el da siguiente. En cambio
lo que sucede con las aplicaciones que son Tiempo Real, es
que estas procesan la informacin inmediatamente despus de
ser ingresada devolviendo el resultado en el preciso instante.
Operacin, Salas de ordenadores
Las relaciones que unen a las personas y la conexin lgicaque existe de cargos y salarios sern estudiadas, tambin se
ver si es que la distribucin de turnos es equitativa. Cada
turno de trabajo estar bajo el cargo de un responsable de sala.
Los Manuales de Operacin son importantes, as como su
utilizacin, tambin los comandos y su grado de
automatizacin sern analizados con el fin de despejar dudas
acerca de su buen funcionamiento. Los planes de formacin
deben ser analizados, adems estos deben ser cumplidos
tambin es importante que se cumpla el tiempo transcurridopara cada operador, desde le tiempo en que recibi el ltimo
curso. Se verificarn los montajes diarios y por horas de cintas
o cartuchos, luego el tiempo que transcurre a solicitud de
montaje por parte del sistema hasta el montaje real. Sern
verificadas las lneas de papel impresas da a da y en las horas
de impresin, as tambin la manipulacin de papel que este
implica.
-
8/8/2019 Que Es Auditoria a
24/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica26
Control de Red y Control de DiagnosisExiste un centro de control de red, el cual se encuentra
siempre ubicado dentro del rea de produccin Explotacin.
Este centro dedica sus funciones exclusivamente al entorno de
las comunicaciones, se relaciona mucho con el Software de
Comunicaciones de Tcnicas de Sistemas. La fluidez en
cuanto a la relacin y el grado de coordinacin entre ambos
debe ser analizado. La existencia de un punto equidistante
ser estudiada, desde donde sean perceptibles todas las lneasque se encuentren asociadas al sistema.
En cuanto al Centro de Diagnosis,
aqu se atienden llamadas de los
usuarios clientes, quienes se ha
averiado o han sufrido alguna
incidencia, tanto en Software como
en Hardware. Este centro es para
informticos grandes con usuariosdispersos en un territorio amplio.
El Centro de Diagnosis es uno de
los que ms ayuda a disponer la
configuracin de la imagen de la
informtica de la empresa. La auditora debe tomar este punto
de vista. Desde el punto de eficacia y eficiencia del usuario en
cuanto al servicio que recibe. La verificacin de la eficiencia
tcnica del centro no es suficiente, por que ser necesario un
anlisis simultneo, en el entorno del usuario.
AUDITORA INFORMTICA DE DESARROLLO DEPROYECTOSEl Anlisis y, la Programacin de Sistemas y Aplicaciones es
lo que ha dado lugar al nacimiento del llamado Desarrollo.
Este ltimo abarca muchas reas, y son tantas como sectores
informticos tiene la empresa. Sencillamente, una aplicacin
tiene fases, las mismas que son:
-
8/8/2019 Que Es Auditoria a
25/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 27
- Prerequisitos del usuario (nico o plural) y delentorno.
- Anlisis Funcional.
- Diseo.
- Anlisis orgnico (preorogramacin y programacin).
- Pruebas.
- Entrega a explotacin y alta para el proceso.
El control interno es una actividad a la cual estn sujetas estas
fases, si se diera el caso contrario puede originarse un usuarioinsatisfecho, provocado tambin por un elevamiento de los
costes.
Al final debe comprobarse la total garanta en la seguridad de
los programas, es decir que los resultados que se arrojen sean
los deseados.
Se deben considerar cuatro puntos que son importantes para la
Auditora de Aplicaciones, quien obligadamente deber pasar
por la observacin y el anlisis.
1. Una revisin obligada de las metodologas utilizadas, es
decir estas sern analizadas, para as asegurar la
modularidad de las nuevas ampliaciones de aplicacin, as
como tambin su mantenimiento.
2. Dentro del control interno se revisarn las mismas fases,
las mismas que han debido continuar en el rea
correspondiente de desarrollo:
Cuando la aplicaciones son grandes, caras ycomplejas es importante un anlisis de su aplicacin.
Las aplicaciones debern ser definidas de acuerdo auna lgica. Se observan los postulados, en funcin
de la metodologa que se aplica y los objetivos que el
proyecto persigue.
El Desarrollo Tcnico de la Aplicacin. Esimportante que este desarrollo tcnico sea ordenado y
correcto. Debern ser compatibles las herramientas
tcnicas que se usen ya que la diversidad deprogramas as lo requiere.
-
8/8/2019 Que Es Auditoria a
26/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica28
Diseo de Programas, deben ser muy sencillos, serntambin econmicos y tendrn modularidad, es decirregulable.
Debe haber un periodo de pruebas y para eso se debeutilizar un mtodo, el cual ser realizado de acuerdo a
las normas de instalacin. Se harn pruebas de
ensayo de datos, para mayor seguridad y los datos
reales no sern permitidos.
Documentacin. Toda actividad realizada serdocumentada y deber cumplir la normativaestablecida en la instalacin.
Habr un equipo de programacin. Debido a que haytareas que deben ser observadas, estas son tareas de
anlisis puro, de programacin e intermedias.
3. Los usuarios cumplen un rol importante debido a que las
aplicaciones que se encuentren tcnicamente eficientes y
bien desarrolladas, que no satisfagan los requerimientos
de estos mismos, sern vistas como fracasadas, laaceptacin por parte del usuario otorga ventajas, debido a
que se podrn evitar nuevas programaciones, ahorrando
en mantenimiento de la aplicacin.
-
8/8/2019 Que Es Auditoria a
27/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 29
4. Otro punto son los programas crticos a quienes hay quemantener un control de procesos
y ejecuciones: entonces el
Auditor debe tener la
posibilidad de ejecutar un
mdulo el cual no corresponde
con el programa fuente que
desarrollo, codific y prob en
el rea de Desarrollo de
Aplicaciones. La compilacindebe corresponder al programa
codificado, de no ser as podran
provocar graves daos y altos
costes de mantenimiento, lo que tambin puede suceder
es que se prestara para fraudes y sabotajes, etc. Cuando
un programa se da por bueno entonces se sujeta a ciertas
normas que determinan el ser entregados a explotacin
con el fin de copiar el programa fuente en la librera de
fuentes de explotacin, ha esta librera nadie ms tieneacceso. Despus la compilacin y el montaje del
programa ponindolo en la librera de mdulos de
explotacin, a esta tampoco nadie tiene acceso, y por
ltimo hacer una copia de los programas fuente que se
soliciten para modificarlos o en todo caso para ser
arreglados una vez hecho esto es necesario volver a
verificar todo.
Este sistema para auditar es bastante complejo y arduo, poreso se utiliza un sistema llamado U.A.T. (User Acceptance
Test). Este sistema consiste en la medida en que el usuario de
uso a una aplicacin los errores sean detectados. Estos errores
que van encontrndose deben ser corregidos a medida que se
va desarrollando el sistema U.A.T. cuando se consigue el
U.A.T. el usuario debe dar el visto, es decir el Sing Off (esto
esta bien). La Auditora debe controlar todo este testeo,
adems deber analizar que este sea correcto, y que exista un
planeamiento para esto, donde se encuentren involucrados el
-
8/8/2019 Que Es Auditoria a
28/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica30
cliente y el desarrollador a fin de corregir estos errores. Esteanlisis al final debe ser confirmado.
AUDITORA INFORMTICA DE SISTEMAS
La tcnica de Sistemas
tiene varias facetas de
las cuales sta rama de
la auditora esta
ocupndose yanalizando. Con el
avance de la
tecnologa en cuanto a
las
telecomunicaciones se
ha dado origen a que
se den auditoras de las comunicaciones, redes y lneas de
instalaciones informticas sean auditadas individualmente, as
sean parte del entorno general de sistemas.
Tenemos a los Sistemas Operativos:Los sistemas deben encontrarse actualizados y esto es tarea del
sistema operativo, quien abarca los sub-sistemas de
procesamiento de data, los dispositivos de Entrada/Salida,
etc., la verificacin de esto debe hacerse con las ltimas
versiones de la casa fabricante o proveedora, se debe hacer un
seguimiento por posibles fallas u omisiones si es que las
hubiera.
Con esta labor se puede determinar la incompatibilidad que
existe entre un software bsico que pueda haber sido
adquirido, o quizs el posible conflicto que pueda estarse
generando entre un software con otro. Los lmites variables de
las libreras deben ser observados constantemente, sobre todo
los ms importantes de los sistemas, debido a que hay que
tener cuidad para que no cumplan otra funcin sino para la que
ha sido creada por fabricante.
-
8/8/2019 Que Es Auditoria a
29/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 31
Software Bsico:Los software bsicos son
productos que muchas veces han
sido adquiridos posteriormente a
la adquisicin de los equipos de
cmputo, y siendo as, el auditor
debe tener pleno conocimiento
de la facturacin de estos
productos. Debido a intereseseconmicos y a razn de que la
computadora pueda funcionar sin
el producto adquirido
posteriormente por el cliente. Despus debe comprobarse que
el software desarrollado por el propio personal de la empresa
no cree conflicto con el Sistema. En el aspecto econmico, si
se presentara el caso de encontrar alternativas que signifiquen
una mejora en trminos de costes y esfuerzo, deber ser
tomado en cuenta.Software de Teleproceso (Tiempo Real):Por la funcin especfica que cumple e importancia el
Software Bsico no es incluido. Pero las consideraciones antes
establecidas son vlidas para ste tambin.
El Tunning:La conducta de los sub-sistemas es evaluada por un conjunto
de tcnicas de observacin y de medida, as tambin el
Sistema es evaluado en todo su conjunto. El tunning debe serdiferenciado de otros controles que el personal de sistemas
realiza normalmente.
De acuerdo a los indicios observados es que se establecen
planes y programas de accin, estos planes pueden ser
desarrollados cuando se determina que existe deterioro en
cuanto a la actitud parcial o general del sistema. Y de forma
peridica, aplicando alguna metodologa, por cada cierto
tiempo las acciones que se toman tienen un planeamiento yadeterminado.
-
8/8/2019 Que Es Auditoria a
30/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica32
El tunning es una actividad que debe ser realizada un
determinado nmero de veces por ao, y esto debe ser de
conocimiento pleno del auditor, as como tambin los
resultados que arrojen estos. Las observaciones deben ser
consideradas por ser de mucha importancia.
Los Sistemas, Sub-Sistemas y su Optimizacin:
A consecuencia de lostunnings que se han realizado,
el personal de sistemas har
una accin de optimizacin
permanente. Las acciones de
optimizacin estarn
monitoreadas por el auditor
quien se encargar de
comprobar que estas son
efectivas y que no perjudicarn el sistema mantenindolooperativo juntamente con el plan critico de produccin diaria.
La optimizacin viene a ser nada ms que la mejora en el
rendimiento del software, ya que estos a veces se ponen muy
lentos por toda la informacin manejan y a medida que se van
cargando ms, se van volviendo ms lentos. Y esto se logra
con un anlisis de la performance de la aplicacin.
Administracin de Base de Datos
Una tarea bastante complicada se ha convertido laconstruccin de Bases de Datos, ya sean relaciones o
jerrquicas, generalmente estas se desarrollan en un entorno de
tcnica de sistemas, de acuerdo a las reas de desarrollo y
usuarios de la empresa. La administracin de la arquitectura y
diseo de programas esta a cargo de Sistemas. Se han
observado algunas deficiencias por el mal funcionamiento,
debido a la falta de experiencia que el personal de sistemas
tiene sobre el problema general de usuarios de Bases de Datos.
-
8/8/2019 Que Es Auditoria a
31/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 33
Quien debera estar a cargo de la explotacin es laadministracin. El auditor de bases de datos debera
asegurarse que explotacin conoce suficientemente las que son
accedidas
por los procedimientos que ella ejecuta. Revisar los sistemas
de seguridad que puedan existir, los que son de competencia
de Explotacin. Por ltimo se verificar la integridad y
consistencia de los datos, tambin se verificar la ausencia de
repeticiones innecesarias entre ellos.
Investigacin y DesarrolloLas empresas de hoy necesitan de informticas desarrolladas,
y saben que su propio personal desarrolla aplicaciones y
ganancias que, pensadas inicialmente para su utilizacin
interna, pueden ser susceptibles de otras empresas, creando
una competencia a las compaas del ramo. La auditora
informtica debe tener cuidado que la Investigacin y el
Desarrollo no sea una actividad que estorbe a otras actividades
internas de la empresa.
AUDITORA INFORMTICA DE COMUNICACIONESY REDESTanto el informtico como el auditor, las Redes Nodales,
Concentradores, Redes Locales, Lneas, Multiplexores
conforman lo que ellos conocen como la estructura de lo que
conocen como el soporte fsico-lgico del Tiempo Real. El
auditor debe saber enfrentar las deficiencias tcnicas delentorno, debido a que debe realizar un estudio profundo de
todas las actividades, siendo partcipe de situaciones y hechos
alejados entre s, encontrndose parametrado a la participacin
del monopolio telefnico que se presta por parte de soporte.
Aqu la auditora necesita de especialistas expertos que presten
servicio simultneo en Redes Locales y Comunicaciones.
En las comunicaciones el auditor deber estudiar sobre el uso
de las lneas contratadas con gran cantidad de informacinsobre tiempos de desuso. La topologa de red con la que
-
8/8/2019 Que Es Auditoria a
32/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica34
trabaje deber ser la ms actualizada, de no ser as significara
una debilidad grande.
La carencia de informacin provocara la inoperatividad
informtica. Pero el mal funcionamiento organizativo es en
muchos casos el producto de las debilidades ms frecuentes.
Los puestos de trabajo van de acuerdo a como estn dispuestas
las contrataciones e instalaciones de lneas.
Las actividades en su conjunto deben tener una buena
coordinacin o en todo caso depender de una solaorganizacin.
AUDITORA DE SEGURIDAD INFORMTICA
Los equipos de cmputo son
herramientas muy tiles,
debido a que agilizan
enormemente elprocesamiento de
informacin, esta informacin
puede ser confidencial, para
las personas, tambin para
empresas o instituciones, la cual puede ser a su vez mal
utilizada. La seguridad es importante en todo sentido debido a
que puede prestarse para realizar robos, fraudes o sabotajes, lo
que podran causar la destruccin de esta actividad en su
totalidad o parcialmente, y junto con ello vendra un retraso noesperado.
Los virus informticos tienen intenciones diversas, los hay
para softwares que no tienen autorizacin generalmente y que
han sido copiados, es decir los que son piratas, causando
mucho dao a la informacin que Ud., pueda tener en su disco
incluso podra llegar a borrarla.
El auditor debe cuidar este aspecto debido a que al momentode conectarse con otros equipos en red, podra infectarse de
-
8/8/2019 Que Es Auditoria a
33/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 35
virus. Esto comienza cuando la actividad que se le asigna al
equipo de cmputo no es cumplida totalmente y se le da unuso ajeno a la organizacin, por lo general se da estos casos
por tratarse de fines de comerciales en algunos casos
fraudulentos.
La seguridad fsica y lgica son dos conceptos que la
seguridad informtica toma. La seguridad fsica se ocupa del
Hardware y de los soportes de datos, tambin se ocupa de
toda la estructura de la que forman parte es decir los ambientes
e instalaciones que alberga al hardware, toma en cuentasituaciones de desastres como incendios, sabotajes, catstrofes
naturales, robos, etc.
Obviamente la seguridad lgica se refiere al cuidado del
software y a la proteccin de los datos, programas y dems
procesos, adems est incluido la forma de acceso a la
informacin por parte de los usuarios.
Cuando se puede tener el software dentro del control de
acceso, se puede manejar mucho mejor el control deproteccin del sistema. Es decir que los accesos son
controlados a usuarios no autorizados, ya que la informacin
se considera como confidencial.
En los ltimos aos se ha observado un incremento en cuanto
a los delitos informticos y las agresiones a centros e
instalaciones informticas, dando lugar a que se tomen las
medidas pertinentes, con el fin de mejorar la seguridad
informtica en un nivel fsico. Para esto se ha acelerado eldesarrollo de productos de seguridad lgica y el uso de medios
criptogrficos bastante desarrollados. Podemos dividir a la
seguridad informtica en Area General y como Area especfica
(seguridad de Explotacin, seguridad de Aplicaciones). Los
sistemas integrales de seguridad deben considerar lo siguiente:
Se debe definir una poltica de seguridad en la empresa. La seguridad fsica es importante y debe considerar
catstrofes como incendios, terremotos, etc. Elementos administrativos.
-
8/8/2019 Que Es Auditoria a
34/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica36
Deben ser organizados y deben dar responsabilidades. Se deben ejecutar prcticas de seguridad del personal. Deben contemplar elementos tcnicos y procedimientos. Seguridad de los equipos, de los sistemas, de redes y de
terminales y de todos los elementos en general.
La aplicacin de sistemas de seguridad debe ser extensivaa datos y archivos.
Por seguridad debe planearse programas de desastre yprobarse constantemente.
Debe definirse el rol que cumplirn los auditores internoscomo externos.
Los riesgos potenciales son uno de los factores a los que se
debe la decisin de optar por una Auditora Informtica de
Seguridad Global. Para esto se desarrollan matrices de riesgo,
donde son consideradas las amenazas de una instalacin y
como pueden verse afectadas stas debido a ello. Estas
matrices pueden representarse con cuadros que disponen de
una doble entrada en la que se enfrentan las Amenazas Vs.
Impacto, aqu los elementos de la matriz son sometidos a un
intenso anlisis.
Impacto Amenaza
Error Incendio Sabotaje .. 1: No probable
Destruccin ----- 1 1 2: Probable
De Hardware 3: CertezaBorrado de 3 1 1 4: Despreciable
Informacin
-
8/8/2019 Que Es Auditoria a
35/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 37
TCNICAS Y HERRAMIENTAS USADAS POR LAAUDITORA INFORMTICA
CuestionariosLa informacin recopilada es muy
importante, y esto se consigue con el
levantamiento de informacin y
documentacin de todo tipo. Los
resultados que arroje una auditora se
ven reflejados en los informes finalesque estos emitan y su capacidad para el
anlisis de situaciones de debilidades o
de fortalezas que se dan en los diversos
ambientes. El denominado trabajo de
campo consiste en que el auditor busca
por medio de cuestionarios recabar
informacin necesaria para ser
disernida y emitir finalmente un juicio global objetivo, los que
deben ser sustentados por hechos demostrables, a quienes seles llama evidencias.
Esto se puede conseguir, solicitando el cumplimiento del
desarrollo de formularios o cuestionarios lo que son
preimpresos, los cuales son dirigidas a las personas que el
auditor considera ms indicadas, no existe la obligacin de que
estas personas sean las responsables de dichas reas a auditar.
Cada cuestionario es diferente y muy especfico para cada
rea, adems deben ser elaborados con mucho cuidadotomando en cuenta el fondo y la forma.
De la informacin que ha sido analizada cuidadosamente, se
elaborar otra informacin la cual ser emitida por el propio
Auditor. Estas informaciones sern cruzadas, lo que vine a sr
uno de los pilares de la auditora.
Muchas veces el auditor logra recopilar la informacin por
otros medios, y que estos preimpresos podan haber
proporcionado, cuando se da este caso, se puede omitir estaprimera fase de la auditora.
-
8/8/2019 Que Es Auditoria a
36/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica38
Entrevistas:Existen tres formas para que el auditor logre relacionarse conel personal auditado.
1. La solicitud de la informacin requerida, esta debe ser
concreta y debe ser de la materia de responsabilidad del
auditado.
2. En la entrevista no se sigue un plan predeterminado ni unmtodo estricto de sometimiento a un cuestionario.
3. La entrevista es un medio por el que el auditor usarmetodologas las que han sido establecidas previamentecon la finalidad de encontrar informacin concreta.
-
8/8/2019 Que Es Auditoria a
37/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 39
La importancia que la entrevista tieneen la auditora se debe a que, la
informacin que recoge es mayor se
encuentra mejor elaborada, y es ms
concreta que las que pueden
proporcionar los medios tcnicos, o
los cuestionarios. La entrevista
personal entre el auditor y el personal
auditado, es basada en una serie de
preguntas especficas en las que elauditado deber responder
directamente. El sistema de
interrogacin se establece previamente y el auditor tendr
mucho cuidado, esta entrevista se debe dar de una forma muy
cordial y bajo los parmetros de lo correcto, esto se hace con
la finalidad de que sea lo menos tensa posible, y que el
auditado conteste de la forma ms natural, con mucha
sencillez. Slo que esta sencillez con la que se elaboran las
preguntas debern tener un fondo muy profundo, el cual esdistinto en cada caso.
El auditor cuando es ducho en la materia y tiene mucha
experiencia, realiza un trabajo de reelaboracin de sus
cuestionarios de acuerdo a la situacin y al escenario auditado.
Este es un personaje que sabe que es lo que busca, debido a
que tiene bien en claro lo que necesita, y por que lo necesita.
Su trabajo es el pilar fundamental para el anlisis, cruce y
elaboracin posterior del informe final, pero esto no indica queel auditado tenga que ser sometido a un interrogatorio
automatizado lo cual no ofrece ningn camino. Por el
contrario el auditor realizara la entrevista de tal forma que el
auditado pueda responder a las preguntas formuladas de
manera normal, lo que servir para llegar ala cumplimiento de
los cuestionarios de sus checklists.
El uso del Checklist goza de opiniones compartidas, debido a
que descalifica en cierta forma al auditor informtico, por queal hacer uso de este tipo de cuestionarios el auditor incurre en
-
8/8/2019 Que Es Auditoria a
38/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica40
la falta de profesionalismo. Por eso es mejor que se de unprocesamiento de la informacin a fin de llegar a respuestas
que tengan coherencia y as poder definir correctamente los
puntos ms dbiles y los ms fuertes. El profesionalismo del
auditor se refleja en la elaboracin de preguntas muy bien
analizadas, las mismas que se hacen de forma no muy
rigurosa.
Estos cuestionarios son denominados Checklist. Estos
cuestionarios deben ser contestados oralmente, ya que superan
en riqueza a cualquier otra forma de obtencin de informacin.De acuerdo a la claridad de y a la metodologa empleada por el
auditor, es que el auditado podr responder, de diferentes
puntos de vista. El personal auditado generalmente se
encuentra familiarizado con el perfil tcnico y lo percibe
fcilmente, as como los conocimientos del auditor. De
acuerdo a esta percepcin denota el respeto y el prestigio que
debe poseer el auditor.
Por ello es muy importante tener elaboradas las listas de
preguntas, pero an es mucho ms importante la forma y elorden en que estas se formulan, ya que no serviran de mucho
si es que no se desarrollaran oportuna y adecuadamente. Algo
que es muy importante tambin es el hecho de no olvidar que
la actividad auditora se ejerce sobre bases de prestigio
autoridad y tica.
El Checklist debe ser aplicado de tal manera que el personal
auditado pueda contestar sencillamente. Se deber interrumpir
lo menos posible a ste, slo en los casos en que lasrespuestas se desven del objetivo principal. Incluso se puede
presentar el caso en el que el auditado sea invitado a exponer
un tema concreto, pero en cualquiera de las situaciones no se
podr presionar absolutamente al mismo. Puede ser que
alguna pregunta deba repetirse, pero en este caso deber ser
formulada en forma diferente, o su equivalencia. Con la ayuda
de este mtodo los puntos contradictorios sern notorios de
forma ms rpida. Cuando se dan casos en los que existe
contradiccin, entonces se har una reelaboracin de preguntaspara complementar a las formuladas previamente y as poder
-
8/8/2019 Que Es Auditoria a
39/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 41
conseguir consistencia. El auditor no debe representardemasiado formalismo ya que deber actuar naturalmente al
momento de formular sus preguntas y de acuerdo al desarrollo
de la entrevista tomar las notas que considere importantes en
presencia del auditado, pero nunca marcar con aspas ni
escribir cuestionarios en su presencia.
Estos Checklist responden a dos tipos de razonamiento para su
calificacin o evaluacin:
1. Checklist de rango: contendr preguntas que se harndentro de los parmetros establecidos, por ejemplo, de 1 a 5,siendo 1 la respuesta ms negativa y 5 la ms positiva.
2. Checklist Binario: preguntas que son formuladas conrespuesta nica y excluyente, Si o No; verdadero o falso.
-
8/8/2019 Que Es Auditoria a
40/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica42
Trazas y/o Huellas Las funciones que debenrealizar los programas,
tanto de los sistemas
como de los usuarios
debern ser las previstas y
esto debe ser verificado
por el auditor informtico.
Es entonces que utiliza
herramientas de softwarepotentes y modulares, los que sirven de rastreadores, para dar
un seguimiento a los datos a travs de los programas.
Las Trazas se utilizan para comprobar que las validaciones de
datos previstas sean ejecutadas. El sistema no debe ser
modificado absolutamente por causa de estas. Si por causa de
las herramientas del auditor se da un aumento de carga se
podr optar por darle uso en los momentos ms adecuados.
La comprobacin de los valores asignados por tcnica desistemas, se realizan por medio de productos usado por los
auditores y esta comprobacin se da a cada uno de los
parmetros variables de las libreras ms importantes del
mismo, los parmetros variables deben estar sujetos a un
intervalo delimitado por el fabricante.
Las trazas son muy tiles, pero an as debe repetirse lo que ha
sido dicho de la Auditora Informtica de Sistemas, que el
auditor utiliza la informacin proporcionada por el sistema.
De igual forma, el sistema ayudar a detectar automticamente
sobre la deteccin de errores de mquina central, perifricos,
etc.
Las trazas son utilizadas con frecuencia por la auditora
financiero-contable convencional. Estos se usan para verificar
que los clculos se dan en forma correcta, con respecto a
nminas, primas, etc.
-
8/8/2019 Que Es Auditoria a
41/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 43
Software de InterrogacinLos paquetes de auditora sonelementos que el auditor a utilizado
hasta hace pocos aos, estos son
paquetes de software, los cuales son
capaces de generar programas para
aquellos auditores que no carecen de
cualidades, desde una visin
informtica. Luego de un tiempo estos
productos se desarrollaron, lograndorealizar muestreos estadsticos, los que
permitieron realizar proyecciones de acuerdo a consecuencias
e hiptesis de situaciones reales de una instalacin.
Los paquetes de software para Auditora Informtica de hoy
estn orientados, a lenguajes de interrogacin de ficheros y
bases de datos de la empresa auditada. Los auditores internos
no disponen de este software, por que cuentan slo con
software que la instalacin les proporciona.
Las empresas desarrolladoras de software se han visto a
fabricar interfaces de transporte de datos entre computadoras
personales y Mainframe, esto debido a la expansin de las
redes locales y de su filosofa ClienteServidor, as, el auditor
rescata la informacin ms importante para su trabajo.
Conectados al Host, los terminales almacenan datos que han
sido proporcionados por el mismo, estos datos son tratadosposteriormente de un modo PC. El auditor esta obligado a
recopilar informacin de los usuarios finales, esto se puede
hacer con mucha facilidad, de acuerdo a los productos
descritos. El trabajo del auditor informtico en el campo se
deber hacer con productos del cliente. Para la realizacindel trabajo de Auditora Informtica es importante unametodologa:
-
8/8/2019 Que Es Auditoria a
42/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica44
METODOLOGA DE TRABAJOEl Auditor Informtico utiliza un mtodo de trabajo el cual sedivide en fases o etapas:
Determinar los Alcances y Objetivos. Anlisis del ambiente a Auditar y del entorno Auditable. Determinacin de recursos de la Auditora Informtica. Establecer cuales son los recursos mnimos a emplear en
la Auditora.
Elaboracin y planteamiento del plan de trabajo y de losprogramas.
Actividades a realizar en la Auditora. Elaboracin del informe Final. Elaboracin de la Carta de Introduccin correspondiente
al Informe final.
DETERMINACION DE ALCANCES Y OBJETIVOS.
Debe delimitarse cual va a
ser el alcance que tenga la
auditora. Las funciones
que se van a cumplir
deben plantearse mediante
un acuerdo muy preciso y
este se dar entre
auditores y clientes,
igualmente sobre las
materias y entidades a
auditar.
Esto es importante, pues implica un ahorro de tiempo y otorga
beneficios a ambas partes, ya que de acuerdo a este punto se
podrn determinar cuales son las materias, funciones o quizs
organizaciones que sern auditadas. Estos alcances y
limitaciones sern expresadas en el principio del informe final.
Los objetivos que tiene la auditora deben ser conocidos hastael ltimo detalle por las personas que harn la auditora, as
como tambin, los objetivos a los que su tarea quiere llegar.
-
8/8/2019 Que Es Auditoria a
43/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 45
La necesidad del cliente deber ser satisfecha con elcumplimiento de sus pretensiones, de la manera que las metas
trazadas sean cubiertas.
Los objetivos determinados debern aadirse a los Objetivos
Generales de la Auditora Informtica, los que son: Los
controles Generales de la Gestin Informtica y la
Operatividad de los Sistemas.
ANALISIS DEL AMBIENTE A AUDITAR Y DELENTORNO AUDITABLE.Para llevar a cabo esta actividad debe realizarse un anlisis de
exhaustivo de las funciones que cumple la informtica, tanto
como sus actividades generales. Para llevar a esto a cabo el
auditor debe tener pleno conocimiento de:
Organizacin:
Conocer a las personas responsables, quien es el que ordena,quien disea y quien ejecuta es importante para el auditor y
todo su equipo. Deben tomarse en cuenta los siguiente puntos:
- Organigrama.
- Departamentos.
- Relaciones de jerarqua y funcionales entre
organismos y la organizacin.
- Flujos de Informacin.
- Cantidad de Personal por puesto de trabajo.- Nmero de puestos de trabajo
Ambiente de trabajoEs de suma importancia que el equipo auditor conozca el
ambiente sobre el cual va a trabajar y en el que se va a
desenvolver.
-
8/8/2019 Que Es Auditoria a
44/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica46
Esto permitir que:- Haya un conocimiento pleno de la situacin
geogrfica de los sistemas, ya que podr determinarse
la ubicacin de los Centros de Procesamiento de
Datos de la organizacin.
- Se conocer la Arquitectura y Configuracin de
hardware y Software.
- Inventario de Hardware y
Software, es importante
saber donde figuran todoslos elementos fsicos y
lgicos de la instalacin. En
este inventario deben estar
todos los productos lgicos
del sistema, desde el
software bsico hasta
programas de uso y
adquiridos o desarrollados
internamente.- Comunicacin y Redes de Comunicacin, las
caractersticas de las lneas y de acceso a la red
pblica de comunicaciones deben estar a disposicin
del auditor. De igual forma podrn tener informacin
-
8/8/2019 Que Es Auditoria a
45/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 47
DETERMINACION DE RECURSOS DE LAAUDITORA INFORMTICAUna vez concluido el estudio inicial se procede a determinar la
cantidad de recursos humanos y materiales que se utilizarn
durante el desarrollo de la auditora.
Recursos materiales:Los recursos materiales son proporcionados por el cliente
mayormente. El sistema auditado ser evaluado por lasherramientas de software propias del equipo, por este motivo
habr una coordinacin entre el equipo auditor y el cliente.
Estos recursos pueden ser de dos tipos:
Recursos de software:Los mismos que pueden estar comprendidos de programas
que son herramientas de auditora, estos tienen gran
potencia y flexibilidad.
Luego estn los monitores: son usados de acuerdo aldesarrollo obtenido por la tcnica del auditado, la calidad
y la cantidad de los datos.
Recursos de hardware:Estos recursos sern proporcionados por el cliente. Las
computadoras del auditado sern evaluadas de forma
obligatoria por el auditor. Para que esto se lleve a cabo, se
deber coordinar con el cliente para evitar cualquier
contratiempo. Se evaluar tiempo de mquina, espacio endisco, impresoras ocupadas, etc.
Recursos HumanosLa materia Auditable ser quien determine
la cantidad de recursos, y tambin el
personal que ser asignado para su
desarrollo considerando el perfil personal
y profesional de cada uno. Una auditora
general se ejerce generalmente porprofesionales universitarios, los cuales han
-
8/8/2019 Que Es Auditoria a
46/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica48
obtenido en la universidad el criterio necesario para poderdisernir cada situacin presentada en estos casos, o tambin
por personal con experiencia multidisciplinaria comprobada.
ELABORACIN Y PLANTEAMIENTO DEL PLAN DETRABAJO Y DE LOS PROGRAMASEl plan de trabajo es una actividad que se realiza cuando ya se
tienen asignados los recursos, el responsable de la auditora y
sus colaboradores son quienes tienen a cargo esta labor. Unavez terminado este comenzar a llevarse a cabo la
programacin del mismo.
Los criterios a tomarse en consideracin deben ser elaboracin
con sumo cuidado, pudiendo ser los siguientes:
1. La elaboracin es ms compleja o ms costosa si
se da el caso de que la revisin se realice por
reas generales o especficas.
2. Si es que la auditora abarca toda el reainformtica o slo en forma parcial, el nmero de
auditores necesarios es determinado por el
volumen a auditar, determina tambin las
especialidades necesarias del personal.
3. Deben ser especificadas la ayudas de parte del
auditado que el auditor necesitar y recibir.
4. Las materias a auditar deben tener una escala de
prioridad y esta estar dada en el plan, de
acuerdo a las necesidades y prioridades delcliente.
5. Los calendarios no son de consideracin dentro
del plan, debido a que solo son manejados
recursos genricos y no especficos.
6. La disponibilidad de los recursos posteriormente,
es establecida durante la revisin.
7. Los recursos y esfuerzos globales que sern
necesarios se establecern en el plan.
-
8/8/2019 Que Es Auditoria a
47/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 49
8. Cada miembro del grupo recibir instrucciones ytareas a realizar, estas tareas son designadas de
acuerdo al plan estructural.
La programacin de actividades es lo que sigue a
continuacin, el plan debe ser de fcil maniobrabilidad con la
finalidad de aceptar modificaciones a lo largo del proyecto.
ACTIVIDADES A REALIZAR EN LA AUDITORA
Por temas generales o reas especficasLa Auditora Informtica general es realizada por reas
generales o por reas especficas. El empleo de mayores
recursos y ms tiempo total se daran si es que se examina por
grandes temas.
Si una auditora es realizada por reas especficas, se acaparan
las peculiaridades que afectan a al misma a la vez, de esta
forma el resultado el resultado es obtenido de manera msrpida pero con menor calidad.
Tcnicas de Trabajo- Estudio exhaustivo de la informacin recopilada del
personal auditado.
- Anlisis de informacin propia.
- Cruce de ambas informaciones.
- Entrevistas.
- Muestreos.
- Simulacin.
Herramientas a utilizar- Cuestionario inicial general.
- Simuladores (Generadores de Datos).
- Cuestionario Checklist.
- Matrices de riesgo.
- Estndares.
- Paquetes de auditora (Generadores de Programas).
- Simuladores (Generadores de Datos).- Monitores.
-
8/8/2019 Que Es Auditoria a
48/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 51
ELABORACIN DEL INFORME FINAL.
El documento final, el cual
refleja el trabajo realizado, los
procedimientos llevados a cabo
y las conclusiones finales y sus
respectivas recomendaciones,
se materializa en el informe
final. De acuerdo a laelaboracin final del informe se
determina la calidad del trabajo
realizado.
Antes de la elaboracin de este informe ya se han realizado
varios borradores en los cuales las opiniones del auditor y del
auditado son contrastadas, para as disipar cualquier duda que
pueda existir o descubrir algn fallo de apreciacin por parte
del auditor.
El informe se realizar comenzando con la fecha de inicio de
la auditora y la fecha de redaccin del mismo. Aqu son
incluidos los nombres del personal perteneciente al equipo
auditor, y los nombres de las personas auditadas, con
indicacin de jefatura, responsabilidad y puesto de trabajo que
ostente.
Se determinan los objetivos y alcances de la auditora,
enumerando los temas considerados. Y se enumeran demanera exhaustiva los temas objeto de la Auditora, antes de
entrar profundamente en cada uno de ellos.
Para la exposicin de los temas evaluados se seguir un orden,
el cual es:
- La situacin actual, esta actividad es realizada cuando
se trata de una revisin peridica, aqu no solo se
analiza el estado actual sino tambin el progreso que
haya tenido en el tiempo. Se dar a conocer el estadoactual y luego se expondr la situacin real.
-
8/8/2019 Que Es Auditoria a
49/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica52
- Las tendencias que existen, de acuerdo a los
parmetros establecidos, se har una proyeccin de laevolucin futura.
- Se expondrn los puntos dbiles y las amenazas.
- Se darn las recomendaciones y los planes de accin,
aqu se expondr el verdadero objetivo de la auditora
informtica, junto con la exposicin de los puntos
dbiles.
- Por ltimo se redactar la carta de presentacin o
introduccin
Sobre la exposicin del informe final se puede decir que:
- El informe debe incluir
hechos netamente
importantes, ya que los
hechos irrelevantes no
hacen ms que distraer
la atencin del lector.
- Los hechos que sedescriben en el informe
deben ser sustentados
por el mismo. Es decir que, estos hechos deben estar
documentalmente probados y soportados mediante
una verificacin objetiva. Y esta verificacin debe
seguir criterios que sern:
- Podrn ser sometidos a cambios.
- El cambio otorgar ventajas que superarn los
inconvenientes derivados de mantener lasituacin.
- No habr alternativas viables que superen al
cambio propuesto.
- Las recomendaciones del auditor sern utilizadas
para mantener o mejorar las normas y estndares
existentes en la instalacin.
Los hechos que aparecen en un informe de auditora significan
que pueden ser una debilidad la cual debe ser corregida.
-
8/8/2019 Que Es Auditoria a
50/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica 53
Flujo del hecho o debilidad:Cuando se da una ocurrencia la cual reporta un hecho o unadebilidad, entonces se da un flujo que es como sigue:
Cuando se encuentra un hecho:- Todo hecho tiene importancia para el auditor y el
cliente.
- Tiene que tener un fundamento para ser convincente
y debe ser exacto.- Los hechos no deben repetirse.
Qu consecuencias puede traer este hecho:- Estas consecuencias deben ser redactadas, de tal
forma que puedan deducirse del hecho.
Consecuencias ocasionadas por el hecho:- Las consecuencias directas que el hecho pueda
ocasionar sern redactadas, debido a que lasinfluencias directas pueden darse sobre aspectos
informticos u otros mbitos de la organizacin.
- Las conclusiones se dan slo en el caso de que los
casos expuestos sean de condicin extensa, o en todo
caso si es que tienen un grado de complejidad grande.
El Auditor Informtico y sus recomendaciones:- Las recomendaciones debern ser simples y
entendibles, con slo leerlas.- Tendrn una sustentacin bien fundamentada.
- Deber ser claro y exacto en el tiempo, as, su
implementacin podr ser verificada.
- Las recomendaciones sern expresadas en forma
directa a personas que puedan hacer la
implementacin respectiva.
-
8/8/2019 Que Es Auditoria a
51/52
Qu es la Auditora Informtica?
Instituto Nacional de Estadstica e Informtica54
ELABORACIN DE LA CARTA DE INTRODUCCINCORRESPONDIENTE AL INFORME FINAL
Esta carta es muy importante debido a
que es un resumen bastante compacto de
la Auditora Realizada. Esta carta va
dirigida a la persona que se encuentra
como responsable de la empresa, o en
todo caso a la persona que pidi la
auditora.El informe final podr tener tantas
copias como sea solicitado el cliente,
pero slo se presentar una carta de
introduccin o presentacin.
La carta de introduccin constar de:- Deber expresar de manera explcita la cantidad de
reas analizadas.
- Se deben incluir fechas, objetivos, alcances ynaturaleza.
- Deber tener un mximo de 4 folios.
- Dar a conocer una conclusin general, explicando
cuales son las reas ms dbiles
- Las Debilidades sern expuestas llevando un orden el
cual se regir de acuerdo a la importancia o gravedad.
- Nunca deben escribirse recomendaciones.
-
8/8/2019 Que Es Auditoria a
52/52
Qu es la Auditora Informtica?
CONCLUSIONES
La Auditora Informtica es importante, en toda empresa ya
sea pblica o privada y basta que posean Sistemas de
Informacin que tengan un grado de complejidad
considerable, deben ser sometidas a un riguroso control, y a
una evaluacin constante de eficacia y eficiencia.
Prcticamente un porcentaje considerable de las empresas de
hoy tienen su informacin estructurada en Sistemasinformticos, ese es el motivo para que estas entidades se
preocupen por su correcto funcionamiento.
La informatizacin de las empresas de hoy, es obligada,
debido a que la eficiencia de estas depende de sus sistemas de
Informacin. La vulnerabilidad de los sistemas har que las
empresas nunca salgan adelante por ms que cuenten con un
personal altamente calificado
La Auditora deber realizarse con gente muy capaz, seria, con
minuciosidad y responsabilidad. Ya que una Auditora mal
hecha, puede traer consecuencias econmicas graves para la
empresa que ha sido evaluada.