Auditora de Sistemas

Indice

1. Auditora 2. La funcin de la auditora en la organizacin 3. Tipos y clases de auditora 4. Sistemas De Informacin 5. Tendencias que afectan a los sistemas de informacin 6. Base Conceptual 7. Proceso De Implementacin 1. Auditora

Papel Del Auditor Informtico.Si se entiende que la auditoria informtica comprende las tareas de evaluar, analizar los procesos informticos, el papel de auditor debe estar encaminado hacia la bsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas. Adems que auditor Informtico debe estar capacitado en los siguientes aspectos:

Deber ver cuando se puede conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando obligado a presentar

recomendaciones acerca del reforzamiento del sistema y del estudio de las soluciones mas idneas, segn los problemas detectados en el sistema informtico, siempre y cuando las soluciones que se adopten no violen la ley ni los principios ticos. (Ej. Por que est mal el reporte) Una vez estudiado el sistema informtico a auditar, el auditor deber establecer los requisitos mnimos, aconsejables y ptimos para su adecuacin con la finalidad de que cumpla para lo que fue diseado, determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones, posibles mejoras, costos. El auditor deber lgicamente abstenerse de recomendar actuaciones

innecesariamente onerosas, daina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificaciones carentes de bases cientficas insuficientemente probadas o de imprevisible futuro. El auditor al igual que otros profesionales (Ej. Mdicos, abogados, educadores, etc.) pueden incidir en la toma de decisiones en la mayora de sus clientes con un elevado grado de autonoma, dado la dificultad prctica de los mismos, de constatar su capacidad profesional y en desequilibrio de desconocimientos tcnicos existente entre al auditor y los auditados (Puede pesar gravemente). El auditor deber prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. En los casos en que precariedad de los medios puestos a su disposicin, impidan o dificulten seriamente la realizacin de la auditoria deber negarse realizar hasta que se le garantice un mnimo de condiciones tcnicas que no comprometan la calidad de sus servicios o dictmenes. Cuando durante la ejecucin de la auditoria, el auditor considere conveniente recabar informe de otros mas calificados, sobre un aspecto o incidencia que superase su capacidad profesional para analizarlo en idneas condiciones deber remitir el mismo a un especialista en la materia o recabar su dictamen para reforzar la calidad y viabilidad global de la auditoria.

El auditor debe actuar con cierto grado de humildad evitando dar la impresin de estar al corriente de una informacin privilegiada sobre nuevas tecnologas a fin de actuar en de previsiones rectas y un porcentaje de riesgo debidamente fundamentado. (Si conocemos alguna tecnologa de primer orden debemos tener un cierto grado de humildad, que no se salga de la realidad [decir que ya sabemos esto...]. El auditor tanto en sus relaciones con el auditado como con terceras personas deber en todo momento, deber actuar conforme a las normas implcitas o explcitas de dignidad de la profesin y de correccin en el trato personal. (Que en todo momento, como cuando estamos en el bar, cafetera, o fiesta por que los auditores tienen la responsabilidad) El auditor deber facilitar e incrementar la confianza de auditado en base a una actuacin de transparencia, en su actividad profesional sin alardes cientficotcnico, que, por su incomprensin, pueden restar credibilidad a los resultados obtenidos y a las directrices aconsejadas.

Tope

2. La funcin de la auditora en la organizacin

Concepto De Auditar

Conjunto de procedimientos y tcnicas para evaluar y controlar total o parcialmente un sistema informtico con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente de acuerdo con las normas informticas y gener5ales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organizacin correspondiente. Al igual que los dems rganos de la empresa los sistemas informticos estn sometidos a un control. La importancia de llevar un control, se puede deducir de varios aspectos, as tenemos: Las computadoras y los centros de procesos de datos se pueden convertir en blancos apetecibles no solo para el espionaje no para la delincuencia y el terrorismo. Las computadoras creadas para procesar y difundir resultados pueden en cierto momento generar resultados o informacin errnea (Virus, tc). (La mquina suele arrojar resultados errneos cuando es alimentada con datos errneos). Un sistema informtico mal diseado puede convertirse en una herramienta peligrosa para la persona, puesto que las mquinas obedecen las rdenes recibidas y la modelizacin de la empresa est determinada por las computadoras que materializan los sistemas de informacin, por lo tanto la gestin y la organizacin de la empresa no pueden depender de un SOFTWARE o un HARDWARE mal diseado.

Auditora Interna Y Auditora Externa La auditoria es realizada en recursos materiales y personas que perteneces a la empresa auditada. Auditora Interna Existe por expresa decisin de la empresa, es decir que tambin se puede optar por su disolucin en cualquier momento.

Auditora Externa Es realizada por personas afines a la empresa se presupone una mayor objetividad que en la auditoria interna debido Al mayor distanciamiento entre auditor y auditado. La auditoria informtica tanto interna como externa debe ser una actividad exenta de cualquier contenido o matiz poltico ajena a la propia estrategia y poltica general de la empresa.

Areas De La Planificacin De La Auditora Las empresas acuden a las auditorias cuando existen algunos sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en algunas clases: Sntomas De Descoordinacin Y Desorganizacin No coinciden los objetivos de la informtica de la compaa Los estndares de productividad se desvan sencillamente de los promedios habituales. Sntomas De Mala Imagen O Insatisfaccin De Los Usuarios No se atienden a las peticiones de cambio de los usuarios No se reparan las averas de HARDWARE ni se resuelven problemas en plazos razonables No se cumplen los plazos de entregas de resultados Sntomas De Debilidades Econmico Financiero Incremento desmesurado de costos Necesidad de justificacin de inversiones informticas Desviaciones presupuestarias significativas

 Costos y plazos nuevos para proyectos Sntomas De Inseguridad (Evaluacin Del Nivel De Riesgo) Seguridad lgica Seguridad fsica Confidencialidad.- Los datos son de propiedad de la organizacin que nos genera, los datos de personal son especialmente confidenciales. Continuidad del servicio. (Establecer las estrategias de continuidad para fallos mediante planes de configuracin).

Ubicacin Y Organizacin De La Auditora La ubicacin de los procesos auditores dentro de un rea de sistemas depende del tipo de auditoria que se desee implementar, As tenemos que en muchas ocasiones la auditoria depende exclusivamente de la parte directriz o gerencial y en otras ocasiones de acuerdo a las necesidades de la empresa. La auditoria informtica nace de los niveles medios bajos de la empresa . (A nivel de organizacin la ubicacin es medio bajo, medios bajos son los Usuarios, con una serie de quejas obligan a hacer auditoria)

Tope

3. Tipos y clases de auditora

Auditoria Informtica De Explotacin

La explotacin informtica se ocupa de producir resultados, tales como listados, archivos soportados magnticamente, ordenes automatizadas, modificacin de procesos, etc. Para realizar la explotacin informtica se dispone de datos, las cuales sufren una transformacin y se someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos realizan una informacin buena)

Auditoria Informtica De Desarrollo De Proyectos O Aplicaciones La funcin de desarrollo es una evaluacin del llamado Anlisis de programacin y sistemas. As por ejemplo una aplicacin podra tener las siguientes fases Prerrequisitos del usuario y del entorno Anlisis funcional Diseo Anlisis orgnico (preprogramacin y programacin) Pruebas Explotacin

Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfaccin del cliente, insatisfaccin del usuario, altos costos, etc. Por lo tanto la auditoria deber comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la mquina, los resultados sean exactamente los previstos y no otros (El nivel organizativo es medio por los usuarios, se da cuenta el administrador Ejm. La contabilidad debe estar cuadrada)

Auditoria Informtica De Sistemas Se ocupa de analizar la actividad que se conoce como tcnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, lneas y redes de las instalaciones informticas se auditen por separado, aunque formen parte del entorno general del sistema (Ejm. De auditar el cableado estructurado, ancho de banda de una red LAN)

Auditoria Informtica De Comunicacin Y Redes Este tipo de auditoria deber inquirir o actuar sobre los ndices de utilizacin de las lneas contratadas con informacin sobre tiempos de uso y de no uso, deber conocer la topologa de la red de comunicaciones, ya sea la actual o la desactualizada. Deber conocer cuantas lneas existen, como son, donde estn instaladas, y sobre ellas hacer una suposicin de inoperatividad informtica. Todas estas actividades deben estar coordinadas y dependientes de una sola organizacin (Debemos conocer los tipos de mapas actuales y anteriores, como son las lneas, el ancho de banda, suponer que todas las lneas estn mal, la suposicin mala confirmarlo).

Auditoria De La Seguridad Informtica Se debe tener presente la cantidad de informacin almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta informacin, de los robos, los fraudes, sabotajes y sobre todo de la destruccin parcial o total. En la actualidad se debe tambin cuidar la informacin de los virus informticos, los cuales permanecen ocultos y daan sistemticamente los datos.

Tope

4. Sistemas De Informacin

Los Sistemas De Informacin Y Su Alcance Se entiende por un sistema de informacin al conjunto de normas, procedimientos y dems parmetros que forman la informacin general de una empresa o institucin. En un sistema de informacin se pueden visualizar algunos componentes tales como:

El nombre del sistema, Nombre de macros del sistema Software base Lenguajes de programacin Paquetes, Unidades o departamentos que utilizan la informacin, Volmenes de archivos que se utilizan diariamente (Semanal, mensual, etc.) Requerimientos mnimos de los equipos (En muchos de los casos s es un software) Fechas crticas

Ingreso de informacin Flujo de informacin Egresos de informacin

Tope

5. Tendencias que afectan a los sistemas de informacin

Al considerar un Sistema de Informacin como un conjunto de normas y procesos generales de una determinada, se deben considerar algunos puntos negativos y positivos que afectan directamente al sistema as por ejemplo:

Actualizaciones: Se refiere a que los sistemas de informacin de cualquier empresa, debe ser revisado peridicamente; no con una frecuencia continua, si no mas bien espaciada, se recomienda las revisiones bi anuales (No se recomienda que se actualice en una empresa paulatinamente, por ejemplo el software, cuadros estadsticos, es recomendable dentro de un ao cambiarlo, todo lo que es mquinas y software; por que si no realizaramos esto, se cambiara toda la estructura organizacional de la misma). Reestructuracin Organizacional (Puede ser una reestructuracin con los mismos puestos)

Una reestructuracin organizacional con cualquier empresa, implica cambios siempre en vista a buscar un mejor funcionamiento, evitar la burocracia, agilitar trmites o procesos, la reestructuracin puede ser de varios tipos, as por ejemplo. Aumentar o disminuir departamentos, puestos, reestructuracin de objetivos, etc. Siempre la reestructuracin afecta a los sistemas de informacin de la empresa. Revisin y Valorizacin del escalafn (No es para bien si no tambin para mal) La revisin y la revalorizacin del escalafn se espera que afecte a favor de los sistemas de informacin de las empresas, si el efecto es contrario el auditor informtico empresa. Cambios en el flujo de Informacin (Datos para el sistema de Informacin) Se refiere al cambio de flujo de datos exclusivamente en el rea informtica, esto afecta directamente en sistema informtico y por tanto al sistema de informacin. En lo que respecta a la Auditora informtica, el efecto puede ser positivo y negativo, dependiendo a los resultados obtenidos en cuanto al proceso de datos (menos seguridad, mas seguridad, backup). As por ejemplo: Se ha cambiado el flujo de informacin en el rea contable, para generar los roles mensuales (De inicio del rol era realizado por la secretaria, la cual ingresaba las existencias, fallas, atrasos, etc.; determinando un monto a descontar. Un monto bruto y un salario final, esto pasaba a la contadora para que justifique especialmente multas, se rectificaba en algunos casos, y se mandaba a imprimir el rol. Se considera un nuevo flujo de informacin, en el cual se ingresan los datos a un sistema informtico, y de acuerdo a los parmetros y normas de la empresa el sistema arroja un sueldo lquido a cobrarse, genera automticamente el reporte, los cheques y el contador solo aprueba este reporte). (Un ejemplo es cuando existe migracin de datos, la informacin migra o se cambia a otro sistema ms sofisticado ) deber emitir un informe del empleado a los empleados (Especficamente de departamentos), que estn boicoteando la informacin de la

Tope

6. Base Conceptual

En base al sistema de informacin el auditor informtico realizar su estudio y anlisis siguiendo cualquier metodologa de trabajo, pero sin desviarse de la base conceptual del sistema de informacin de la empresa auditada. Si por cualquier circunstancia el auditor informtico percibe y por lo menos tiene la idea de que tom parmetros de que no estn presentes en el sistema de informacin necesariamente deber volver a empezar (Por ejemplo en el rea de redes abarca muchas otras facetas que un auditor no podra conocerlas por lo que se necesita ayuda externa para realizar una buena Auditora) Conceptualmente los Sistemas de Informacin, tienen sus base en algunos aspectos de importancia dentro de cualquier empresa: As por ejemplo:

Aspectos econmicos Se deben considerar los recursos de la empresa, las crisis, el control, etc. Aspectos tecnolgicos Se refiere al equipo fsico dentro de la empresa, se debe considerar el incremento, los cambios, ya sea de software o hardware Aspectos sociales

Se refiere a mejoras orientadas hacia los empleados de la empresa, as por ejemplo, cursos, capacitacin, etc. Aspecto poltico legal Se refiere a las normas y leyes vigentes para las empresas, tanto internas como externas, se debe cuidar, el aspecto legal, especialmente en el Software Aspecto Administrativo Se refiere a la relacin a nivel de gerencias, mayor confianza en la tona de posiciones, decisiones o fortunas, siempre a favor de las empresas Simbologa En Los Sistemas De Informacin Todo sistema de informacin puede ser representado mediante diagramas, mediante los cuales depende de la complejidad de cada empresa, un ejemplo sencillo puede ser: 7. Proceso De Implementacin

Para implementar un sistema de informacin se puede seguir varios pasos, o metodologas o inclusive se lo puede hacer empricamente. E n la implementacin se considera siempre la implementacin del software (es decir dentro de la implementacin del sistema de informacin siempre deber implementar el software a utilizarse esta empresa).

As por ejemplo se podran seguir los siguientes pasos: a.- Recopilacin y anlisis de datos b.- Seleccin de datos idneos a ingresarse o utilizarse c.- Ingreso y manipulacin de datos

d.- Procesamiento e.- Anlisis de resultados

Seguridad De Los Sistema Informticos Para realizar o evaluar la seguridad en los sistemas, es importante conocer como: desarrollar, ejecutar e implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa planear, organizar, coordinar, dirigir y controlar actividades relacionadas para garantizar la integridad fsica de los recursos implicados en el departamento informtico, as como el resguardo de los activos de la empresa. Un sistema integral de seguridad debe contemplar los siguientes aspectos:

Definir elementos administrativos Definir polticos de seguridad Definir elementos a nivel departamental Definir elementos a nivel institucional Organizar y dividir las responsabilidades Prever desastres naturales y causas de descuido del personal de mantenimiento equipo cableado, etc. Adems se debe considerar algunos aspectos extras as por ejemplo: Motivacin.-En la cual es conveniente desarrollar mtodos de participacin reflexionando lo que significa la seguridad y el riesgo, el impacto a nivel empresarial, las responsabilidades individuales, etc.

Capacitacin general.- Se debe empezar con los ejecutivos de la empresa a fin que conozca la relacin entre riesgo, seguridad y la informacin y su impacto en la empresa. El objetivo debe ser detectar las debilidades y potencialidades de la organizacin frente al riesgo, en este proceso debe incluir la implantacin y la ejecucin de planes de contingencia y la simulacin de posibles delitos. Capacitacin de tcnicos.- Es importante formar tcnicos encargados de mantener la seguridad como parte fundamental de su trabajo y que este capacitado para capacitar a otras personas, en lo que es la ejecucin de medidas preventivas y correctivas. Beneficios de un sistema de seguridad.- Los beneficios de seguridad son inmediatos ya que la organizacin trabajar sobre una plataforma confiable que se puede reflejar los siguientes aspectos:

Aumento de la motivacin de personal Compromiso de la misin y visin Aumento de la productividad Mejora de las relaciones laborales Mejora en los equipos de la institucin Estrategias de proteccin Toda empresa dentro de su plan anual de actividades debe contemplar un plan estratgico de proteccin o plan de contingencia sobre su sistema informatico, entendiendose a dicho plan como un conjunto de pasos que se realizan con el propsito de salvaguardar los recursos de la empresa, tanto fsico como a nivel lgico.

Se puede mencionar algunos puntos importantes que debe contemplar el plan de contingencia, as por ejemplo:

Actividades antes de un desastre Actividades durante el desastre Actividades despus del desastre Actividades antes de un desastre

Planificacin de un plan de contingencia (debe contener aspectos relacionados a la prevencin de un desastre de cualquier tipo, as por ejemplo sacar respaldos, lugares de evacuacin, buscar sitios seguros, prevencin contra cortes elctricos, asignar responsabilidades. Simulacros de desastre, se refiere a simular en cada computadora un buen anti virus (actualizable que cubra la mayor cantidad de virus conocidos, que detecte limpie y vacune, que posea un manual de procedimiento, versatilidad residente en memoria). Preparar personal calificado de las distintas reas de seguridad Area informatica se refiere a designar 1 o 2 personas para realizar respaldos diarios de la informacin una o dos personas diferentes para enviar los resultados a sitios seguros. Area social se refiere a preparar personal que este capacitado para socorrer a loa compaeros en caso de desastre ( debe tener especial cuidado en las personas de la tercera edad).

Este personal tambin deber capacitarse en el uso de dispositivos o elementos fsicos para casos de emergencia (as por ejemplo uso de alarmas contra fuego, uso de bombas de agua , uso de switch de seguridad).

Actividades despus del desastre

Seguir el plan de contingencia Sujetarse a las disposiciones dadas por elpersonal calificado para desastres Tratar de rescatar la mayor cantidad de informacin posible en el acto Actividades despus del desastre

Verificar la calidad e integridad de la informacin existente (hacer las pruebas sobre los programas que antes del desastre funcionaban correctamente). Verificar la calidad e integridad de la informacin de respaldo Verificar la parte fsica o hadware En lo posible volver al estado original de la informacin antes del desastre Tipos y clases de auditorias Para cada uno delos tipos de auditoria se pueden especificar reas especificas en las culaes siempre se debe realizar una auditoria informatica, as tenemos: rea interna, rea de direccin, rea de nivel de usuario y rea de seguridad. rea interna cuando se realiza cualquier tipo de auditoria en el rea interna se debe tener presente que solamente se debe auditar al departamento o rea en mencin sin fijarse en sus correlaciones con otros departamentos.

Area de direccin Se refiere a realizar la auditoria en cualquier tipo a nivel gerencial o de direccin ya sea el departamento o de los departamentos con sus respectivos Inter.-relaciones. Area de usuario Se refiere a realizar la auditoria a nivel de usuario con todas las Inter.-relaciones que el usuario tenga dentro del departamento o fuera con otros departamentos. Area de seguridad Cualquiera sea el tipo de auditoria que esta realizando siempre debe fijarse en el rea de seguridad la cual constituye pilar fundamental para aprobar o reprobar una auditoria.

Auditoria Externa Aplicando el concepto general, se puede decir que la auditora Externa es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un Contador Pblico sin vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir una opinin independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento. El dictamen u opinin independiente tiene trascendencia a los terceros, pues da plena validez a la informacin generada por el sistema ya que se produce bajo la figura de la Fe Pblica, que obliga a los mismos a tener plena credibilidad en la informacin examinada. La Auditora Externa examina y evala cualquiera de los sistemas de informacin de una organizacin y emite una opinin independiente sobre los mismos, pero las empresas generalmente requieren de la evaluacin de su sistema de informacin financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el trmino Auditora Externa a Auditora de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir Auditora Externa del Sistema de

Informacin

Tributario,

Auditora

Externa

del

Sistema

de

Informacin

Administrativo, Auditora Externa del Sistema de Informacin Automtico etc. La Auditora Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella informacin producida por los sistemas de la organizacin. Una Auditora Externa se lleva a cabo cuando se tiene la intencin de publicar el producto del sistema de informacin examinado con el fin de acompaar al mismo una opinin independiente que le d autenticidad y permita a los usuarios de dicha informacin tomar decisiones confiando en las declaraciones del Auditor. Una auditora debe hacerla una persona o firma independiente de capacidad profesional reconocidas. Esta persona o firma debe ser capaz de ofrecer una opinin imparcial y profesionalmente experta a cerca de los resultados de auditora, basndose en el hecho de que su opinin ha de acompaar el informe presentado al trmino del examen y concediendo que pueda expresarse una opinin basada en la veracidad de los documentos y de los estados financieros y en que no se imponga restricciones al auditor en su trabajo de investigacin. Bajo cualquier circunstancia, un Contador profesional acertado se distingue por una combinacin de un conocimiento completo de los principios y procedimientos contables, juicio certero, estudios profesionales adecuados y una receptividad mental imparcial y razonable. Auditora Interna La auditora Interna es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un profesional con vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulacin interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Publica.

Las auditoras internas son hechas por personal de la empresa. Un auditor interno tiene a su cargo la evaluacin permanente del control de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los mtodos y procedimientos de control interno que redunden en una operacin ms eficiente y eficaz. Cuando la auditora est dirigida por Contadores Pblicos profesionales independientes, la opinin de un experto desinteresado e imparcial constituye una ventaja definida para la empresa y una garanta de proteccin para los intereses de los accionistas, los acreedores y el Pblico. La imparcialidad e independencia absolutas no son posibles en el caso del auditor interno, puesto que no puede divorciarse completamente de la influencia de la alta administracin, y aunque mantenga una actitud independiente como debe ser, esta puede ser cuestionada ante los ojos de los terceros. Por esto se puede afirmar que el Auditor no solamente debe ser independiente, sino parecerlo para as obtener la confianza del Pblico. La auditora interna es un servicio que reporta al ms alto nivel de la direccin de la organizacin y tiene caractersticas de funcin asesora de control, por tanto no puede ni debe tener autoridad de lnea sobre ningn funcionario de la empresa, a excepcin de los que forman parte de la planta de la oficina de auditora interna, ni debe en modo alguno involucrarse o comprometerse con las operaciones de los sistemas de la empresa, pues su funcin es evaluar y opinar sobre los mismos, para que la alta direccin toma las medidas necesarias para su mejor funcionamiento. La auditora interna solo interviene en las operaciones y decisiones propias de su oficina, pero nunca en las operaciones y decisiones de la organizacin a la cual presta sus servicios, pues como se dijo es una funcin asesora. Diferencias entre auditoria interna y externa: Existen diferencias substanciales entre la Auditora Interna y la Auditora Externa, algunas de las cuales se pueden detallar as:

En la Auditora Interna existe un vnculo laboral entre el auditor y la empresa, mientras que en la Auditora Externa la relacin es de tipo civil. En la Auditora Interna el diagnstico del auditor, esta destinado para la empresa; en el caso de la Auditora Externa este dictamen se destina generalmente para terceras personas o sea ajena a la empresa. La Auditora Interna est inhabilitada para dar Fe Pblica, debido a su vinculacin contractual laboral, mientras la Auditora Externa tiene la facultad legal de dar Fe Pblica.

Sntomas de Necesidad de una Auditora Informtica:

Las empresas acuden a las auditoras externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases:

Sntomas de descoordinacion y desorganizacin: - No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa.

- Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente.

[Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin fallida de alguna rea o en la modificacin de alguna Norma importante]

Sntomas de mala imagen e insatisfaccin de los usuarios: - No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, resfrecamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc.

- No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido permanentemente.

- No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones crticas y sensibles.

Sntomas de debilidades econmico-financiero: - Incremento desmesurado de costes.

- Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones).

- Desviaciones Presupuestarias significativas.

- Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin).

Sntomas de Inseguridad: Evaluacin de nivel de riesgos - Seguridad Lgica

- Seguridad Fsica

- Confidencialidad

[Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de personal son especialmente confidenciales]

- Continuidad del Servicio. Es un concepto an ms importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.

- Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, sera prcticamente intil la auditora. Esa es la razn por la cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio.

*Planes de Contingencia:

Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la informacin diariamente y que aparte, sea doble, para tener un Backup en la

empresa y otro afuera de sta. Una empresa puede tener unas oficinas paralelas que posean servicios bsicos (luz, telfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le provea telfono Telecom, a las oficinas paralelas, Telefnica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizara el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y despus se van reciclando.