REPBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN UNIVERSITARIA UNIVERSIDAD POLITCNICA TERRITORIAL DE MARACAIBO PROGRAMA

NACIONAL DE FORMACION EN INFORMTICA

AUDITORIA INFORMTICA. HERRAMIENTAS Y TCNICAS PARA LA AUDITORIA INFORMTICA.

Realizado por: MEJIA, Ninoska GALBAN, Ender PEREZ, Rafael C.I.-16.149.005 C.I.-15.938.686 C.I.-15.558.345

LUZARDO, Sergio C.I.-14.832.536

Maracaibo, Abril 2014

INFORME
Herramientas y Tcnicas para la Auditoria Informtica: Las Herramientas: Son el conjunto de elementos que permiten llevar a cabo las acciones definidas en las tcnicas.

Las Tcnicas: son los procedimientos que se usan en el desarrollo de un proceso de auditora informtica.

Las herramientas utilizadas son: Cuestionarios, Entrevistas, Checklist, Trazas y/o Huellas, Log.

Cuestionarios: es la herramienta punto de partida que permite obtener informacin y documentacin de todo el proceso de una organizacin, que piensa ser auditado.

El auditor debe realizar una tarea de campo para obtener la informacin necesaria, basado en evidencias o hechos demostrables. Inicia su trabajo solicitando que se completen los cuestionarios enviados a las personas correspondientes, marcadas por el auditor. Los cuestionarios deben ser especficos para cada organizacin.

La fase de cuestionarios puede omitirse si el auditor ha podido recabar informacin por otra parte.

La segunda fase a utilizar es la Entrevista, en la que llega a obtener informacin ms especifica que la obtenida durante el cuestionario, utilizando el mtodo el interrogatorio, con preguntas variadas y sencillas pero que han sido convenientemente elaboradas.

La tercera herramienta que se utiliza es el Checklist, conjunto de preguntas respondidas en la mayora de las veces oralmente, destinado principalmente a

personal tcnico. Por estos motivos deben ser realizadas en un orden determinado, muy sistematizadas, coherentes y clasificadas por materias, permitiendo que el auditado responda claramente.

Existen dos tipos de filosofa en la generacin de checklist:

De rango: las preguntas han de ser puntuadas en un rango establecido (por ejemplo de 1 a 5, siendo 1 la respuesta ms negativa y 5 la ms positiva).

Binaria: las respuesta tienen dos valores (de ah su nombre) cuya respuesta puede ser s o no.

La primera filosofa permite una mayor precisin en la evaluacin, aunque depende, claro est, del equipo auditor. Los binarios, con una elaboracin ms compleja, deben ser ms precisos.

La siguiente herramienta que se utiliza, las Trazas y/o Huellas, se basa en el uso de software, que permiten conocer todos los pasos seguidos por la informacin, sin interferir el sistema. Adems del uso de trazas, el auditor utilizara, los ficheros que el prximo sistema genera y que recoge todas las actividades que se realizan y la modificacin de los datos, que se conoce que se conoce con el nombre de log. El log almacena toda aquella informacin que ha sido cambiada y como ha ido cambiando, de forma cronolgica.

Documentos de la auditoria: Se conoce como papeles de trabajo la "totalidad de los documentos preparados o recibidos por el auditor, de manera que, en conjunto, constituyen un compendio de la informacin utilizada y de las pruebas efectuadas en la ejecucin de su trabajo, junto con las decisiones que ha debido tomar para llegar a formarse su opinin".

Documentacin realizada durante el proceso de auditora El Informe de Auditora, si se precisa que sea profesional, tiene que estar basado en la documentacin o papeles de trabajo, como utilidad inmediata, previa supervisin. Por otra parte, no debemos omitir la caracterstica registral del Informe, tanto en su parte cronolgica como en la organizativa, con procedimientos de archivo, bsqueda, custodia y conservacin de su documentacin, cumpliendo toda la normativa vigente, legal y profesional, como mnimo exigible. Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/o expertos independientes, as como de los auditores internos, se reseen o no en el Informe de Auditora Informtica, formarn parte de la documentacin. Adems, se incluirn: El contrato cliente/auditor informtico y/o la carta propuesta del auditor informtico. Las declaraciones de la Direccin. Los contratos, o equivalentes, que afecten al sistema de informacin, as como el informe de la asesora jurdica del cliente sobre sus asuntos actuales y previsibles. El informe sobre terceros vinculados. - Conocimiento de la actividad del cliente. Informe del auditor Se ha realizado una visin rpida de los aspectos previos para tenerlos muy presentes al redactar el Informe de Auditora Informtica, esto es, la comunicacin del Auditor Informtico al cliente, formal y, quiz, solemne, tanto del alcance de la auditora; (objetivos, perodo de cobertura, naturaleza y extensin del trabajo realizado) como de los resultados y conclusiones. Es momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su importancia y vinculacin con el factor riesgo, tarea

eminentemente de carcter profesional y tico, segn el leal saber y entender del Auditor Informtico. Aunque no existe un formato vinculante, s existen esquemas

recomendados con los requisitos mnimos aconsejables respecto a estructura y contenido. Tambin es cuestin previa decidir si el informe es largo o, por el contrario, corto, por supuesto con otros informes sobre aspectos, bien ms detallados, bien ms concretos, como el informe de debilidades del control interno, incluso de hechos o aspectos; todo ello teniendo en cuenta tanto la legislacin vigente como el contrato con el cliente. En lo referente a su redaccin, el Informe deber ser claro, adecuado, suficiente y comprensible. Una utilizacin apropiada del lenguaje informtico resulta recomendable. Los puntos esenciales, genricos y mnimos del Informe de Auditora Informtica, son los siguientes: 1. Identificacin del Informe: El ttulo del Informe deber identificarse con objeto de distinguirlo de otros informes. 2. Identificacin del Cliente: Deber identificarse a los destinatarios y a las personas que efecten el encargo. 3. Identificacin de la entidad auditada: Identificacin de la entidad objeto

de la Auditora Informtica. 4. Objetivos de la Auditora Informtica: Declaracin de los objetivos de la auditora para identificar su propsito, sealando los objetivos incumplidos. 5. Normativa aplicada y excepciones: Identificacin de las normas legales y profesionales utilizadas, as como las excepciones significativas de uso y el posible impacto en los resultados de la auditora.

6.

Alcance de la Auditora: Concretar la naturaleza y extensin del trabajo realizado: rea organizativa, perodo de auditora, sistemas de

informacin... sealando limitaciones al alcance y restricciones del auditado. 7. Conclusiones: Informe corto de opinin: Lgicamente, se ha llegado a los resultados y, sobre todo, a la esencia del dictamen, la opinin y los prrafos de salvedades y nfasis, si procede. El Informe debe contener uno de los siguientes tipos de opinin: favorable o sin salvedades, con salvedades, desfavorable o adversa, y denegada. 8. Resultados: Informe largo y otros informes Parece ser que, de acuerdo con la teora de ciclos, el informe largo va a colocar al informe corto en su debido sitio, o sea, como resumen del informe largo (quiz obsoleto?). Los usuarios, no hay duda, desean saber ms y desean transparencia como valor aadido.

Es indudable que el lmite lo marcan los papeles de trabajo o documentacin de la Auditora Informtica, pero existen aspectos a tener en cuenta: El secreto de la empresa. El secreto profesional. Los aspectos relevantes de la auditora.

Las soluciones previsibles se orientan hacia un Informe por cada objetivo de la Auditora Informtica, tal como el de Debilidades de Control Interno o los informes especiales y/o complementarios que exigen algunos organismos gubernamentales, como, por ejemplo, el Banco de Espaa, la Comisin Nacional del Mercado de Valores y la Direccin General de Seguros, entre otros y por ahora.

9. Informes previos No es una prctica recomendable, aunque s usual en algunos casos, ya que el Informe de Auditora Informtica es, por principio, un informe de conjunto. Sin embargo, en el caso de deteccin de irregularidades significativas, tanto errores como fraudes, sobre todo, se requiere una actuacin inmediata segn la normativa legal y profesional, independientemente del nivel jerrquico afectado dentro de la estructura de la entidad. Recordemos al respecto el delito societario y la responsabilidad civil del Auditor (Informtico). 10. Fecha del Informe El tiempo no es neutral; la fecha del Informe es importante, no slo por la cuantificacin de honorarios y el cumplimiento con el cliente, sino para conocer la magnitud del trabajo y sus aplicaciones. Conviene precisar las fechas de inicio y conclusin del trabajo de campo, incluso la del cierre del ejercicio, si es que se est realizando un Informe de Auditora Informtica como herramienta de apoyo a la Auditora de Cuentas. En casos conflictivos pueden ser relevantes aspectos tales como los hechos posteriores al fin del perodo de auditora, hechos anteriores y posteriores al trabajo de campo. 11. Identificacin y firma del Auditor Este aspecto formal del informe es esencial tanto si es individual como si forma parte de una sociedad de auditora, que deber corresponder a un socio o socios legalmente as considerados. 12. Distribucin del Informe Bien en el contrato, bien en la carta propuesta del Auditor Informtico, deber definirse quin o quines podrn hacer uso del Informe, as como los usos concretos que tendr, pues los honorarios debern guardar relacin con la responsabilidad civil.

CRMR (Computer resource management review) Su traduccin ms adecuada, Evaluacin de la gestin de recursos informticos. En cualquier caso, esta terminologa quiere destacar la posibilidad de realizar una evaluacin de eficiencia de utilizacin de los recursos por medio del management. Una revisin de esta naturaleza no tiene en s misma el grado de profundidad de una auditora informtica global, pero proporciona soluciones ms rpidas a problemas concretos y notorios.

reas de aplicacin Las reas en que el mtodo CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de aplicacin sealadas en cuanto a: Gestin de Datos. Control de Operaciones. Control y utilizacin de recursos materiales y humanos. Interfaces y relaciones con usuarios. Planificacin. Organizacin y administracin.

Objetivos CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y mtodos de gestin que se observan en un Centro de Proceso de Datos. Las Recomendaciones que se emitan como resultado de la aplicacin del CRMR, tendrn como finalidad algunas de las que se relacionan: Identificar y fijar responsabilidades. Mejorar la flexibilidad de realizacin de actividades. Aumentar la productividad. Disminuir costes. Mejorar los mtodos y procedimientos de Direccin.

Alcance Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo. Se establecen tres clases: 1. Reducido. El resultado consiste en sealar las reas de actuacin con potencialidad inmediata de obtencin de beneficios. 2. Medio. En este caso, el CRMR ya establece conclusiones y

Recomendaciones, tal y como se hace en la auditora informtica ordinaria. 3. Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de implementacin de las Recomendaciones, a la par que desarrolla las conclusiones.