Auditora Informtica La palabra auditora viene del latn auditorius y de esta proviene la palabra auditor, que tiene la virtud

de oir y revisar cuentas. Auditoria Informtica Es un Examen objetivo, crtico, sistemtico, eminentemente posterior y selectivo de las polticas, normas, prcticas, procedimientos y procesos, con el fin de emitir una opinin respecto a la eficiencia en la utilizacin de los recursos informticos; la confiabilidad, consistencia, integridad y oportunidad de la informacin y la efectividad de los controles en los sistemas de informacin computarizados. Qu es la Auditora Informtica? 1. Verificacin de controles. Evaluar su efectividad y presentar recomendaciones a la gerencia. 2. Verificar y juzgar la informacin 3. Evaluacin de los procesos del rea Informtica (grado de eficiencia, efectividad y economa de los sistemas) 4. Proceso de recoleccin y evaluacin de evidencias: a. Daos internos y/o externos b. Salvaguardar activos de la destruccin c. Uso no autorizado de recursos (Informacin y equipos) d. Robo de informacin e. Mantener la integridad de la informacin (Precisin de los datos) f. Oportunidad de los datos g. Confiabilidad de la informacin h. Contribucin de la funcin informtica a las metas organizacionales i. Uso de recursos eficientemente en el procesamiento de la informacin. 5. Examen de carcter objetivo (independiente), crtico (evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados. -Objetivos de la Auditora Informtica El propsito del trabajo de auditora est enmarcado en uno o ms de los siguientes puntos: Cumplimiento de polticas, normas y procedimientos de orden gubernamental e institucional (adquisicin, contratacin e instalacin de servicios para el desarrollo de la funcin informtica) Comprobar el adecuado uso y resguardo de los recursos informticos de la entidad. Verificar que se efecta el mantenimiento preventivo y correctivo de los recursos informticos, para obtener la confiabilidad e integridad de los sistemas. Grado de confiabilidad y privacidad del ambiente informtico. Garantizar la seguridad (personas, datos, programas y los equipos). Verificar controles de seguridad fsica y ambiental. Evaluar controles establecidos para administrar la infraestructura tecnolgica (servidores de datos, aplicaciones, comunicaciones, terminales, impresoras, etc). Que los sistemas de informacin correspondan a los objetivos y requerimientos de la organizacin.

Comprobar la consistencia y confiabilidad de los sistemas. Verificar los controles involucrados en el software y en los procedimientos manuales de las aplicaciones. Verificar que las rutinas de clculo ejecutadas por las aplicaciones se apliquen correctamente. Clases de Auditoria Auditoria Interna. Existe por expresa decisin de la empresa, es decir que tambin se puede optar por su disolucin en cualquier momento. Auditoria Externa. Es realizada por personas afines a la empresa se presupone una mayor objetividad que en la auditoria interna debido al mayor distanciamiento entre auditor y auditado. La auditora informtica tanto interna como externa debe ser una actividad exenta de cualquier contenido o matiz poltico ajena a la propia estrategia y poltica general de la empresa. Motivos para efectuar una Auditora Informtica Entre los principales justificativos o motivos de una auditora encontramos: 1. Aumento del presupuesto del Departamento de Informtica. 2. Desconocimiento de la situacin informtica de la empresa. 3. Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. 4. Descubrimiento de fraudes efectuados con el uso del computador. 5. Falta de una planificacin informtica. Falta de visin. 6. Organizacin que no funciona correctamente, debido a falta de polticas, objetivos, normas, metodologa, estndares, delegacin de autoridad, asignacin de tareas y adecuada administracin del recurso humano. 7. Descontento general de los usuarios, motivado generalmente, por incumplimiento de plazos y mala calidad de los resultados. 8. Falta de documentacin o documentacin incompleta de sistemas. -Control Interno Son los procesos efectuados por la la junta directiva, la gerencia y otro personal de una empresa, con el propsito de brindar un grado de seguridad razonable para el logro de sus objetivos en las siguientes categoras: . Eficacia y eficiencia de operaciones . Confiabilidad de los informes financieros . Cumplimiento de las leyes y regulaciones aplicables. -El entorno de Control Es su personal (sus atributos individuales, incluyendo la integridad, los valores ticos y la profesionalidad) y el entorno en que trabajan, marcando pautas de comportamiento en la organizacin. El entorno de control tiene incidencia en las actividades empresariales, establecimiento de objetivos, evaluacin de riesgos, actividades de control, sistemas de informacin y comunicacin y las actividades de supervisin, es decir que sirven de base a los dems componentes del control interno. -Principales Riesgos: 1. Baja efectividad del Sistema Prdida de la calidad del servicio 2. Sistema ineficiente Mayores costes en Recursos de Informacin 3. Falta de confidencialidad Fuga de la Informacin Sanciones. econmicas-Fraude

4. Prdida de integridad Uso de informacin errnea -Prdida de Informacin 5.Indisponibilidad Interrupcin del servicio-Prdida de Imagen 6. Falta de cumplimiento Sanciones Econmicas 7. Ausencia de confiabilidad Incorrecta toma de decisionesPrdida de Imagen Limitaciones de la Auditoria Informtica . Incorrecta integracin entre la auditora operativa y la auditora informtica. . Independencia de la Auditora informtica. . Escasa difusin de la funcin de Auditora informtica. . Realizacin de tareas de soporte en detrimento de realizacin de trabajos de auditora propia de sistemas. . Baja utilizacin de nuestra experiencia en controles. . Cambios tecnolgicos a gran velocidad. . Escasa difusin de las normas y metodologas para realizar auditoria informtica. Alcance de la Auditora Cobertura y profundidad del trabajo a realizar para el logro de los objetivos de la accin de control, precisando el perodo y reas de la organizacin a examinar, mbito geogrfico dnde se realizar el examen y, asimismo, indicndose la normas a utilizar. Campo de la Auditora Informtica Segn Jos Echenique el campo de accin de la auditora de sistemas es: . La evaluacin administrativa del rea de informtica. . La evaluacin de los sistemas y procedimientos. . La evaluacin del proceso de datos y de los equipos de cmputo (software, hardware, redes, bases de datos, comunicaciones). . Seguridad. . Aspectos legales de los sistemas y de la informacin. Evaluacin administrativa del rea de informtica . Los objetivos del departamento, direccin o gerencia. . Metas, planes, polticas y procedimientos de procesos electrnicos estndares. . Organizacin del rea y su estructura orgnica. . Funciones y niveles de autoridad y responsabilidad del rea de procesos electrnicos. . Integracin de los recursos materiales y tcnicos. . Direccin. . Costos y controles presupuestales. . Controles administrativos del rea de procesos electrnicos. Evaluacin de los sistemas y procedimientos . Evaluacin del anlisis de los sistemas y sus diferentes etapas. . Evaluacin del diseo lgico del sistema. . Evaluacin del desarrollo fsico del sistema. . Facilidades para la elaboracin de los sistemas. . Control de proyectos. . Control de sistemas y programacin. . Instructivos y documentacin. . Formas de implantacin. . Seguridad fsica y lgica de los sistemas. . Confidencialidad de los sistemas. . Controles de mantenimiento y forma de respaldo de los sistemas. . Utilizacin de los sistemas. . Prevencin de factores que puedan causar contingencias; seguros y recuperacin en caso de desastre. . Productividad. . Derechos de autor y secretos industriales.

Evaluacin del proceso de datos y de los equipos de cmputo . Controles de los datos fuente y manejo de cifras de control. . Control de operacin. . Control de salida. . Control de asignacin de trabajo. . Control de medios de almacenamiento masivos. . Control de otros elementos de cmputo. . Control de medios de comunicacin . Orden en el centro de cmputo. Seguridad .Seguridad fsica y lgica. .Confidencialidad. .Respaldos. .Seguridad del personal. .Seguros. .Seguridad en la utilizacin de los equipos. .Plan de contingencia y procedimiento de respaldo para casos de desastre. .Restauracin de equipo y de sistemas Perfil del Auditor Informtico Los cambios permanentes en la informtica obligan a que el auditor de sistemas se mantenga al da, capacitndose en aspectos tales como bases de datos, sistemas abiertos, sistemas distribuidos y comunicaciones. Adems de los conocimientos tecnolgicos, debe tener una despierta curiosidad intelectual, una mentalidad investigativa y conservar un alto espritu de imparcialidad. Caractersticas del Auditor Informtico .Deben ser independientes de las actividades que auditan. . Tener un amplio criterio para no tomar decisiones subjetivas basadas en preferencias personales . Desempear su trabajo con libertad y objetividad. . Rendir juicios imparciales, esenciales para la adecuada conduccin de las auditoras . No deben subordinar sus juicios en materia de auditora a otros. . Que realicen sus auditoras de tal manera que tengan una honesta confianza en el producto de su trabajo y que no hayan creado compromisos significativos en cuanto a la calidad. . No deben colocarse en situaciones en las que se sientan imposibilitados para hacer juicios profesionales objetivos. . Debe contar con los conocimientos tcnicos requeridos y con capacidad profesional. . Que la experiencia tcnica y la formacin acadmica sean las apropiadas para realizar las auditoras en informtica. . Pericia en la aplicacin de las normas, procedimientos y tcnicas de auditora . Habilidad para comunicarse efectivamente tanto de manera oral como escrita. . Dar un trato adecuado a las personas. . Debern mantenerse informados acerca de las mejoras y desarrollos recientes. . Los auditores de sistemas deben ejercer el debido cuidado profesional al realizar sus auditoras. El Proceso de la Auditora de Sistemas Toda accin de auditora sigue ciertas fases especficas mediante las cuales se desarrolla el trabajo. Se deben seguir bsicamente las siguientes fases: Planeacin Para hacer una adecuada planeacin de la auditora en sistemas hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas del rea dentro de la organizacin a auditar, sus sistemas, organizacin y equipo. Con ello se podr determinar el nmero y caractersticas del personal

de auditora, las herramientas necesarias, el tiempo y el costo, as como definir los alcances de la auditora. Ejecucin Es la ejecucin del Programa de Auditora planificado para la entidad. Para ello se aplican tcnicas de auditora para obtener evidencia que fundamente las conclusiones y recomendaciones del auditor. Informe Es la culminacin de una auditora. Representa el aspecto crtico del proceso porque es la representacin fidedigna, visible en que terceros pueden confiar. Debe mostrar claramente el alcance del trabajo realizado y la responsabilidad que se asume en cuanto a la razonabilidad de los sistemas. Seguimiento Esta fase cierra el ciclo del proceso de auditora, en la cual se efectuar el anlisis y evaluacin del acatamiento del Departamento de Sistemas a las recomendaciones formuladas por la Oficina de Control Interno (OCI). Para su ejecucin se debe cumplir todo el ciclo de auditora. Cmo hacer para preparar un plan anual de trabajo? 1. Decidir quin participar en la preparacin del nuevo plan. 2. Organizar reuniones de planeacin al menos tres meses antes de que finalice el plan actual. 3. Revisar el plan de trabajo actual con el grupo de planeacin. 4. Discutir con el equipo si las actividades actuales necesitan modificarse. 5. Si fuera necesario, proponer un ejercicio de lluvia de ideas para crear nuevas actividades. 6. Describir cada actividad en detalle. 7. Determinar quin ser el responsable de llevar a cabo cada actividad. 8. Decidir qu recursos se necesitarn para realizar las actividades propuestas y cmo se obtendrn. 9. Revisar el presupuesto para asegurar que estn disponibles los fondos necesarios para cada una de las actividades. Asegurarse de contestar las siguientes preguntas: Cul Cul es la actividad? Quin Quin es (quines son) responsable(s) de llevar a cabo la actividad? Cmo Qu recursos son necesarios? Cundo En qu fecha se inicia y termina la actividad? Dnde Dnde se llevar a cabo la actividad? Cundo se desarrollan las actividades para el programa u organizacin: a. Fundamentar las actividades en los objetivos establecidos. b. Establecer claramente la actividad. c. Indicar cundo se llevar a cabo la actividad. d. Asignar responsabilidades al personal apropiado. e. Asegurarse de que los recursos necesarios estn disponibles. Caractersticas de un proyecto 1. Es nico 2. Tener un principio y un fin. 3. Diseado para el logro de un objetivo especfico. 4. Tener un calendario definido de ejecucin. 5. Tener una organizacin (aunque sea temporal) en funcin de las necesidades especficas (estructura, personas).

6. Contar con un presupuesto econmico. Problemas comunes de los proyectos 1. Poco involucramiento de la Alta Direccin 2. La envergadura del proyecto sobrepasa los lmites organizacionales. 3. Inexperiencia en la gerencia del proyecto. 4. Presin en el equipo por personal ajeno al proyecto. 5. Fracaso en el control de los costos. 6. Produccin del personal no tiene continuidad. Control de los riesgos del proyecto 1. Distribuir roles y responsabilidades. 2. Establecer buena comunicacin. 3. Reducir el proyecto en etapas manejables. 4. Planear cada etapa en detalle. 5. Planear entregables no actividades. 6. No inicie una nueva etapa hasta que una etapa previa haya concluido. 7. No sea ambicioso ms all de lo normal. 8. Revisar frecuentemente progresos contra presupuestos y fechas lmites. Algunas verdades en la gerencia de proyectos 1. Lo que no est en el papel no se ha dicho. 2. La palabra ms valiosa y menos usada en el vocabulario de un gerente de proyectos es NO. 3. Los problemas que hacen dao son aquellos que se desconoce hasta que se presentan. 4. Demasiadas personas en un proyecto crean ms problemas de los que solucionan. 5. Lo ms ridculo respecto a las fechas lmite es agregarles ms costos con la intencin de alcanzarlas. Ley de Patton Un buen plan es mejor HOY que un plan perfecto MAANA. Reglas para la Direccin de un Proyecto 1. Fijar una meta para nuestros colaboradores y para nosotros. Crear un consenso y una aspiracin comn. 2. Determinar objetivos del proyecto. 3. Establecer los puntos de control, las actividades, las relaciones y las estimaciones de tiempo. 4. Dibujar grficamente el esquema del proyecto. 5. Dirigir a las personas individualmente y como equipo de proyecto. 6. Reforzar el sentido de responsabilidad y moral del equipo del proyecto. 7. Mantener informados a todos los elementos involucrados. 8. Vitalizar a los componentes del equipo mediante la construccin del un consenso. 9. Encausar el poder propio y el de los dems elementos del equipo. 10. Favorecer la asuncin de riesgo y la creatividad Planeacin de la auditora Definir adecuadamente los objetivos y el alcance del trabajo, las tcnicas y herramientas a utilizar, los recursos humanos y tcnicos que se emplearn, as como los plazos para realizar el examen. Proveer conocimiento sobre la importancia de los sistemas de informacin en la organizacin, una evaluacin preliminar de sus fortalezas y debilidades y una lista de materias relacionadas con el rea, que sean de potencial significancia y que debern ser examinadas en la fase de ejecucin.

La fase de planeacin se compone de actividades importantes tales como: 1. Conocimiento general de la entidad Conocer y estudiar en forma general la entidad y la funcin informtica: informacin relacionada con la organizacin, sus objetivos, reglamentos, normas, funciones, estructura del rea de sistemas, sus equipos, aplicaciones. 2. Evaluacin del Sistema de Control Interno del rea de Sistemas Mtodos y procedimientos de administracin y proteccin de recursos informticos, la confiabilidad de los registros, la eficiencia de las operaciones y la adhesin a las polticas informticas establecidas por la organizacin. Controles de carcter general: Controles de Adquisicin, Organizacin, Desarrollo, Administracin fsica y lgica, Documentacin y de Seguridad.

Tipos de Controles Se evala a travs de controles de carcter general y/o controles de carcter especfico. Recomendacin: Se debe ir de lo general a lo particular Cmo ir de lo general a lo particular? El auditor debe identificar, verificar y evaluar los mtodos de control en el proceso de obtencin de la evidencia adecuada, para fundamentar las conclusiones de auditora a travs de pruebas de cumplimiento y/o sustantivas. Pruebas de Cumplimiento Se usan para determinar si un procedimiento de control prescrito est funcionando efectivamente y consiste en verificar: 1. La aplicacin de leyes o reglamentos y de los procedimientos establecidos en los manuales que stos se encuentren actualizados. 2. El conocimiento por parte del personal, de los manuales y de las polticas del ambiente informtico. 3. La existencia de informes o memorandos preparados por el Departamento de Informtica. 4. Si han sido implantadas las recomendaciones emitidas por auditoras anteriores. Pruebas Sustantivas Se disean para proveer una seguridad razonable sobre la validez de la informacin producida. El desarrollo de las pruebas es logrado mediante la aplicacin de una o varias tcnicas de auditora, ya sea simultnea o secuencialmente, tales como: 1. Analizar registros 2. Hacer operaciones 3. Comparar archivos 4. Estratificar archivos 5. Seleccionar una muestra aleatoria 6. Resumir informacin 7. Generar reportes 8. Construir archivos de prueba 9. Extraer informacin de un archivo 10.Realizar anlisis estadsticos 11.Simular parte del sistema o el sistema completo Pruebas Sustantivas NAGU 3.40 Evidencia El auditor debe tener evidencia suficiente, competente y relevante mediante la aplicacin de pruebas de control y procedimientos sustantivos que le permitan fundamentar razonablemente los juicios y conclusiones que formule respecto al organismo, programa, actividad o funcin que sea objeto de la auditoria. Tipos de evidencia Evidencia fsica Ejemplo: en la verificacin de saldos y/o cruces de informacin (magntico versus fsico). Evidencia documental Es la informacin obtenida de la entidad bajo auditora e incluye, comprobantes de pago, facturas, contratos, cheques y, en caso de empresas estatales, acuerdos de Directorio. La confiabilidad

Controles de carcter especfico: Controles de Aplicacin (Entrada, Proceso y Salida), Bases de Datos y de Procesamiento. Se debe ir de lo general a lo particular 3. Programa de Auditora Aspectos a cubrir en la fase de ejecucin de la Auditora y la disposicin en tiempo, modo y lugar de los recursos necesarios para llevar a cabo: La evaluacin administrativa del rea de informtica La evaluacin de los sistemas y procedimientos La evaluacin de los equipos de cmputo La evaluacin del proceso de datos La evaluacin de la seguridad Ejecucin de una Auditora de Sistemas Controles y Seguridades Controles: Conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello verificar si todo se realiza conforme a los programas adoptados, rdenes impartidas y principios admitidos. Seguridades: Todas las actividades realizadas con el fin de mantener la reserva de la informacin: en el manipuleo, proceso, archivo y uso de la informacin por parte del personal que opera y administra el sistema. Tipos de Controles Controles de carcter general

Controles de Adquisicin, Organizacin, Desarrollo, Administracin fsica y lgica, Documentacin y de Seguridad. Controles de carcter especfico

Controles de Aplicaciones (Entrada, Procesamiento y Salida) Bases de Datos y de Procesamiento

del documento depende de la forma como fue creado y su propia naturaleza. Clasificar los documentos en: Externos: aquellos que se originan fuera de la entidad. Internos: aquellos que se generan dentro de la entidad. Evidencia testimonial Informacin obtenida de terceros a travs de cartas o declaraciones recibidas en respuesta a indagaciones o mediante entrevistas. Evidencia analtica Se obtiene al analizar o verificar la informacin. La confiabilidad de evidencia analtica depende en gran parte de la importancia de la informacin comparable. Atributos de la evidencia Suficiencia Se refiere al alcance de los procedimientos de auditora desarrollados. Competencia Calidad de las evidencias obtenidas, su aplicabilidad respecto a una aseveracin en particular, y su confiabilidad. Relevancia (pertinencia) Relacin que existe entre la evidencia y su uso. Debe guardar relacin lgica y patente con este hecho. Parte de los Hallazgos Situacin: Los hechos encontrados en la auditora indicativos de que no se cumpli con uno o ms criterios. Criterio: El marco de referencia para evaluar la situacin. Es principalmente una ley, reglamento, carta circular, memorando, procedimiento, norma de control interno, norma de sana administracin, principio de contabilidad generalmente aceptado, opinin de un experto o juicio del auditor. Efecto: Lo que significa, real o potencialmente, no cumplir con el criterio. Causa: La razn fundamental por la cual ocurri la situacin. Al final de cada hallazgo se hace referencia a las recomendaciones que se incluyen en el informe para que se tomen las medidas necesarias sobre los errores, irregularidades o actos ilegales sealados. Tcnicas de auditora Son mtodos prcticos de investigacin y prueba que utiliza el auditor para obtener evidencia que fundamente su opinin. Las tcnicas ms utilizadas al realizar pruebas de transacciones y saldos son: Tcnicas de verificacin ocular Comparacin: Es el acto de observar la similitud o diferencia existente entre dos o ms elementos. Observacin: Es el examen ocular realizado para cerciorarse como se ejecutan las operaciones. Indagacin:

Es el ato de obtener informacin verbal sobre un asunto mediante averiguaciones directas o conversaciones con los funcionarios responsables de la entidad. Entrevistas: Pueden ser efectuadas al personal de la entidad auditada. Para obtener mejores resultados deben prepararse apropiadamente, especificar quienes sern entrevistados, definir las preguntas a formular, alertar al entrevistado acerca del propsito y puntos a ser abordados. Encuestas: Pueden ser tiles para recopilar informacin de un gran universo de datos o grupos de personas. Tcnicas de verificacin escrita Anlisis: Consiste en la separacin y evaluacin crtica, objetiva y minuciosa de los elementos o partes que conforman una operacin o proceso para establecer su relacin y conformidad con los criterios normativos y tcnicos existentes. Confirmacin: Permite comprobar la autenticidad de los registros y documentos analizados, a travs de informacin directa y por escrito. Tabulacin: Consiste en agrupar los resultados obtenidos en reas, segmentos o elementos examinados, de manera que se facilite la elaboracin de conclusiones. Conciliacin: Implica hacer que concuerden dos conjuntos de datos relacionados, separados e independientes. Comprobacin: Verificar la existencia, legalidad, autenticidad y legitimidad de las operaciones efectuadas por una entidad, mediante la verificacin de los documentos que las justifican. Computacin: Verificar la exactitud y correccin aritmtica de una operacin o resultado. Se prueba solamente la exactitud de un clculo, por lo tanto, se requiere de otras pruebas adicionales para establecer la validez de las cifras incluidas en una operacin. Rastreo: Es utilizada para dar seguimiento y controlar una operacin de manera progresiva, de un punto a otro de un proceso interno determinado. Revisin selectiva: Consiste en el examen ocular rpido de una parte de los datos o partidas que conforman un universo homogneo en ciertas reas. Inspeccin: Es el examen fsico y ocular de activos, obras, documentos y valores, con el objeto de establecer su existencia y autenticidad.