Normas, tcnicas y procedimientos de auditora El desarrollo de una auditora se basa en la aplicacin de normas, tcnicas y procedim ientos de auditora.

Para nuestro caso, estudiaremos aquellas enfocadas a la audit ora en informtica. Es fundamental mencionar que para el auditor en informtica conocer los productos de software que han sido creados para apoyar su funcin aparte de los componentes de la propia computadora resulta esencial, esto por razones econmicas y para faci litar el manejo de la informacin Normas Las normas de auditora son los requisitos mnimos de calidad relativos a la persona lidad del auditor, al trabajo que desempea ya la informacin que rinde como resulta do de este trabajo. Las normas de auditora se clasifican en: Normas personales: son cualidades que el auditor debe tener para ejercer sin dol o una auditora, basados en un sus conocimientos profesionales as como en un entren amiento tcnico, que le permita ser imparcial a la hora de dar sus sugerencias. Normas de ejecucin del trabajo: son la planificacin de los mtodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditora. Normas de informacin: son el resultado que el auditor debe entregar a los interes ados para que se den cuenta de su trabajo, tambin es conocido como informe o dict amen. Tcnicas Son los mtodos prcticos de investigacin y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo s e basa en su criterio o juicio, segn las circunstancias . PROCEDIMIENTOS Al conjunto de tcnicas de investigacin aplicables a un grupo de hechos o circunsta ncias que nos sirven para fundamentar la opinin del auditor dentro de una auditora , se les dan el nombre de procedimientos de auditora en informtica. La combinacin de dos o ms procedimientos, derivan en programas de auditora, y al co njunto de programas de auditora se le denomina plan de auditora, el cual servir al auditor para llevar una estrategia y organizacin de la propia auditora. El auditor no puede obtener el conocimiento que necesita para sustentar su opinin en una sola prueba, es necesario examinar los hechos, mediante varias tcnicas de aplicacin simultnea En General los procedimientos de auditora permiten Obtener conocimientos del control interno. Analizar loas caractersticas del control interno. Verificar los resultados de control interno. Fundamentar conclusiones de la auditora. Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o procedi miento de auditora sern los mas indicados par obtener su opinin. ANLISIS DE DATOS Dentro de este trabajo, desarrollaremos diversos tipos de tcnicas y procedimiento s de auditora, de los cuales destacan el anlisis de datos, ya que para las organiz aciones el conjunto de datos o informacin son de tal importancia que es necesario verificarlos y comprobarlos, as tambin tiene la misma importancia para el auditar ya que debe de utilizar diversas tcnicas para el anlisis de datos TCNICAS PARA EL ANLISIS DE DATOS Comparacin de programas: esta tcnica se emplea para efectuar una comparacin de cdigo (fuente, objeto o comandos de proceso) entre la versin de un programa en ejecucin y la versin de un programa piloto que ha sido modificado en forma indebida, para encontrar diferencias.

Mapeo y rastreo de programas: esta tcnica emplea un software especializado que pe rmite analizar los programas en ejecucin, indicando el nmero de veces que cada lnea de cdigo es procesada y las de las variables de memoria que estuvieron presentes Anlisis de cdigo de programas: Se emplea para analizar los programas de una aplica cin. El anlisis puede efectuarse en forma manual (en cuyo caso slo se podra analizar el cdigo ejecutable). Datos de prueba: Se emplea para verificar que los procedimientos de control incl uidos los programas de una aplicacin funcionen correctamente. Los datos de prueba consisten en la preparacin de una serie de transacciones que contienen tanto dat os correctos como datos errneos predeterminados. Datos de prueba integrados: Tcnica muy similar a la anterior, con la diferencia d e que en sta se debe crear una entidad, falsa dentro de los sistemas de informacin . Anlisis de bitcoras: Existen varios tipos de bitcoras que pueden ser analizadas por el auditor, ya sea en forma manual o por medio de programas especializados, tal es como bitcoras de fallas del equipo, bitcoras de accesos no autorizados, bitcoras de uso de recursos, bitcoras de procesos ejecutados Simulacin paralela: Tcnica muy utilizada que consiste en desarrollar programas o md ulos que simulen a los programas de un sistema en produccin. El objetivo es proce sar los dos programas o mdulos de forma paralela e identificar diferencias entre los resultados de ambos MONITOREO Dentro de las organizaciones todos los procesos necesitan ser evaluados a travs d el tiempo para verificar su calidad en cuanto a las necesidades de control, inte gridad y confidencialidad, este es precisamente el mbito de esta tcnica, a continu acin se muestran los procesos de monitoreo: Monitoreo del proceso. Evaluar lo adecuado del control Interno. Obtencin de aseguramiento independiente. Proveer auditora independiente Monitoreo del proceso Asegura el logro de los objetivos para los procesos, lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeo y la implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos. Para ello la gerencia podr definir indicadores claves de desempeo y factores crtico s de xito y compararlos con los niveles propuestos para evaluar el desempeo de los procesos de la organizacin Evaluar lo adecuado del control Interno Asegura el logro de los objetivos de control interno establecidos para los proce sos, para ello se debe monitorear la efectividad de los controles internos a tra vs de actividades administrativas, de supervisin, comparaciones, acciones rutinari as, evaluar su efectividad y emitir reportes en forma regular Obtencin de aseguramiento independiente Incrementa los niveles de confianza entre la organizacin, clientes y proveedores, este proceso se lleva a cabo a intervalos regulares de tiempo. Para ello la gerencia deber obtener una certificacin o acreditacin independiente de seguridad y control interno antes de implementar nuevos servicios de tecnologa d e informacin que resulten crticos Proveer auditora independiente Incrementa los niveles de confianza de recomendaciones basadas en mejores prctica s de su implementacin, lo que se logra con el uso de auditoras independientes desa rrolladas a intervalos regulares de tiempo. Para ello la gerencia deber establecer los estatutos para la funcin de auditora, de stacando en este documento la responsabilidad, autoridad y obligaciones de la au ditora.

El auditor deber ser independiente del auditado, esto significa que los auditores no debern estar relacionados con la seccin o departamento que est siendo auditado y en lo posible deber ser independiente de la propia empresa; esta auditora deber r espetar la tica y los estndares profesionales, seleccionando para ello auditores q ue sean tcnicamente competentes, es decir que cuenten con habilidades y conocimie ntos que aseguren tareas efectivas y eficientes de auditora informtica. La funcin de la auditora informtica deber proporcionar un reporte que muestre los ob jetivos, perodo de cobertura, naturaleza y trabajo de auditora realizado, as como t ambin la organizacin, conclusin y recomendaciones relacionadas con el trabajo de au ditora informtica llevado a cabo Anlisis de bitcoras Una bitcora puede registrar mucha informacin acerca de eventos relacionados con el sistema que la genera los cuales pueden ser: Fecha y hora. Direcciones IP origen y destino. Direccin IP que genera la bitcora. Usuarios. Errores. La importancia de las bitcoras es la de recuperar informacin ante incidentes de se guridad, deteccin de comportamiento inusual, informacin para resolver problemas, e videncia legal, es de gran ayuda en las tareas de cmputo forense Las Herramientas de anlisis de bitcoras mas conocidas son las siguientes: Para UNIX, Logcheck, SWATCH. Para Windows, LogAgent Las bitcoras contienen informacin crtica es por ello que deben ser analizadas, ya q ue estn teniendo mucha relevancia, como evidencia en aspectos legales PAPELES DE TRABAJO PARA LA AUDITORA DE SISTEMAS Objetivos de los papeles de trabajo - Servir como evidencia del trabajo realizado y de soporte de las conclusiones d el mismo. - Presentar informes a las partes interesadas. - Facilitar los medios para organizar, controlar, administrar y supervisar el tr abajo ejecutado en las oficinas del cliente - Facilitar la continuidad del trabajo en el caso de que un rea deba ser terminad a por persona distinta de la que la inici. - Facilitar la labor de revisiones posteriores y servir para la informacin y eval uacin personal. Tipos de papeles de trabajo En funcin de la fuente de la que procedan los papeles de trabajo, stos se podrn cla sificar en tres grupos: a) Preparados por la entidad auditada. Se trata de toda aquella documentacin que la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros, memoria, escritura, contratos, acuerdos. b) Confirmaciones de terceros. Una parte del trabajo de auditora consiste en la v erificacin de los saldos que aparecen en el balance de situacin a auditar. c) Preparados por el auditor. Este ltimo grupo estar formado por toda la documenta cin elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestio narios y programas, descripciones, detalles de los diferentes captulos de los est ados financieros, cuentas, transacciones, INSTRUMENTOS DE RECOPILACION DE INFORMACION EN AUDITORIA Entrevista Es la principal actividad de un auditor sin importar el tipo de auditoria que se realice, es la recopilacin de conformacin sobre el aspecto que va auditar, pues c oncentra y tabular esa conformacin en cuadros Y estadsticas analiza sus resultados y emite un juicio sobre lo que evalu

Las preguntas para una entrevista Pueden ser: Abiertas: donde el entrevistado tiene libertad absoluta para responder. Cerradas: su objetivo es centrar las respuestas donde el auditor quiera llegar s in salirse del tema. De sondeo: se utiliza para determinar el grado de cooperacin y colaboracin. De Cierre: se hacen para terminar con el interrogatorio. Mixta: es la combinacin de dos o ms de las preguntas anteriores Encuesta Los datos se obtienen a partir de realizar un conjunto de preguntas normalizadas dirigidas a una muestra representativa o al conjunto total de la poblacin en est udio. La encuesta se realiza siempre en funcin de un cuestionario Cuestionarios Es la recopilacin de datos mediante preguntas impresas en la que el encuestado re sponde mediante su criterio. Que luego el auditor convierte en informacin valiosa para realizar su trabajo. Documento bsico para obtener la informacin. Observacin Es la accin de observar y mirar detenidamente, esta tcnica es muy utilizada por lo s auditores ya que les permite recolectar directamente la informacin necesaria. La accin de observar es el hecho de examinar, analizar, advertir, o estudiar algo en este caso el auditor observa todo lo relacionado con los sistemas de una emp resa. Inventario Consiste en comprar las cantidades reales existentes con las que beberan haber pa ra ver si son iguales o no. Esta forma de recopilacin de informacin consiste en hacer un recuento fsico de lo q ue se esta auditando a fin de saber la cantidad existente de algn producto en una fecha determinada y comprarla con la que deba haber segn los documentos en esa mi sma fecha. Muestreo Para emitir una opinin fundamentada sobre los funcionamientos de las operaciones un auditor debe tener informacin segura pero se le hace imposible e inoperante re visar todas las transacciones, razn por la cual debe tomar una muestra representa tiva de cada una de las labores de la poblacin auditada Inventario Consiste en comprar las cantidades reales existentes con las que beberan haber pa ra ver si son iguales o no. Esta forma de recopilacin de informacin consiste en hacer un recuento fsico de lo q ue se esta auditando a fin de saber la cantidad existente de algn producto en una fecha determinada y comprarla con la que deba haber segn los documentos en esa mi sma fecha Experimentacin Es un procedimiento mediante el cual se trata de comprobar, confirmar o verifica r, una o varias hiptesis relacionadas Entre los tipos de experimentos que daremos a conocer estn: Experimentos exploratorios Experimento confirmatorios Experimento cruciales TECNICAS DE EVALUACION APLICABLES EN UNA AUDITORIA DE SISTEMAS EXAMEN Consiste en analizar y poner a prueba o demostracin algn fenmeno o hecho relacionad o con la gestin administrativa de un centro de cmputo, de sus componentes o de la

operacin del sistema procesados de informacin, con el propsito de evaluar el cumpli miento de sus funciones, actividades y operaciones, as como el cumplimiento del p rocesamiento de datos y la emisin de informacin que se requiere en la empresa o en las reas que la integren INSPECCION La inspeccin es Sinnimo de supervisin, ya que trata de examinar la forma en que se desarrollan las actividades de un rea de sistemas computacionales, a fin de evalu ar y emitir un informe sobre el desarrollo normal de sus funciones y operaciones COMPARACION (Determinar las semejanzas o diferencias que hay entre dos o mas elementos) Esta debe ser aplicada de acuerdo a las necesidades y caractersticas especificas del r ea de sistemas o del propio sistemas que va a se auditado. Con la comparacin de informacin se pueden encontrar las similitudes y diferencias entre ambas reas o empresa, con lo cual se pueden hacer conjeturas y deducciones sobre las desviaciones encontradas REVISION DOCUMENTAL Es la forma mas importante de evaluar a las empresas; La revisin documental avala los registros de operaciones y actividades de una emp resa, principalmente en aquellos casos donde la evaluacin esta enfocada a los asp ectos financieros, registros de los activos y a cualquier otro aspecto contable y administrativo de la empresa. Esta tcnica se aplica verificando el registro cor recto de datos en documentos formales de la empresa, con mucha frecuencia la emi sin de sus resultados financieros. En los sistemas computacionales es utilizada p ara evaluar el desarrollo de las operaciones y funcionamiento del sistema, revis ar el uso y registro adecuado de los documentos del software, verificar la exist encia y actualizacin de registros formales para la administracin y control de oper acin del sistema. ACTA TESTIMONIAL Es un documento de carcter formal, que por su representatividad, importancia y po sibles alcances de carcter legal y jurdico es uno de los documentos vitales. La im portancia de este radica en que con su uso se pueden evidenciar pruebas fehacien tes, circunstanciales, probatorias para comprobar desviaciones en el rea auditada y es utilizada para testimoniar los robos, desapariciones o cualquier aspecto r elacionado con la desaparicin de algn bien de la empresa, para fincar responsabili dades por deficiencia en las actividades de la empresa; auque puede ser levanta da en cualquier otra incidencia de las actividades cotidiana de una empresa. MATRIZ DE EVALUACION MATRIZ DOFA Es un acrnimo de Debilidades, Oportunidades, Fortalezas y amenazas de la empresa, las cuales son analizadas cada una por separado en cuanto a su presencia intern a y a la influencia que la empresa recibe del exterior.