La auditora es el examen crtico y sistemtico que realiza una persona o grupo de personas independientes del sistema auditado, que

puede ser una persona, organizacin, sistema, proceso, proyecto o producto. Metodologa de una Auditora de Sistemas Existen algunas metodologas de Auditoras de Sistemas y todas depende de lo que se pretenda revisar o analizar, pero como estndar analizaremos las cuatro fases bsicas de un proceso de revisin:

Estudio preliminar Revisin y evaluacin de controles y seguridades Examen detallado de reas criticas Comunicacin de resultados

Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditora, efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario para la obtencin de informacin para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas con los principales funcionarios del PAD. Revisin y evaluacin de controles y seguridades.- Consiste de la revisin de los diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas criticas, Revisin de procesos histricos (backups), Revisin de documentacin y archivos, entre otras actividades. Examen detallado de reas criticas.-Con las fases anteriores el auditor descubre las reas criticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance Recursos que usara, definir la metodologa de trabajo, la duracin de la auditora, Presentar el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto. Comunicacin de resultados.- Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas encontrados , los efectos y las recomendaciones de la Auditora. El informe debe contener lo siguiente:

Motivos de la Auditora Objetivos Alcance Estructura Orgnico-Funcional del rea Informtica Configuracin del Hardware y Software instalado Control Interno Resultados de la Auditora Caso Prctico

A continuacin se presenta una poltica en Informtica establecida como propuesta a fin de ilustrar el trabajo realizado de una auditora de sistemas enfocada en los controles de Organizacin y planificacin. Esta poltica fue creada con la finalidad de que satisfaga a un grupo de empresas jurdicamente establecidas con una estructura departamental del rea de Sistemas integrada por: Direccin, Subdireccin, Jefes Departamentales del rea de Sistemas en cada una de las empresas que pertenecen al grupo.

As mismo los Departamentos que la componen son: Departamento de Desarrollo de Sistemas y Produccin, Departamento de Soporte Tcnico y Departamento de Redes/ Comunicaciones, Departamento de Desarrollo de Proyectos. Para el efecto se ha creado una Administracin de Sistemas que efecta reuniones peridicas a fin de regular y normar el funcionamiento del rea de Sistemas y un Comit en el que participan personal del rea de Sistemas y personal administrativo. Objetivos Generales de una Auditora de Sistemas

Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el PAD Incrementar la satisfaccin de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de funcin informtica a las metas y objetivos de la organizacin Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico Minimizar existencias de riesgos en el uso de Tecnologa de informacin Decisiones de inversin y gastos innecesarios Capacitacin y educacin sobre controles en los Sistemas de Informacin

Tipos de Auditoria. Desde el punto de vista de informtica la podemos clasificar as: Auditora Informtica de Explotacin. La explotacin Informtica se ocupa de producir resultados, tales como listados, archivos soportados magnticamente, ordenes automatizadas, modificacin de procesos, etc. Para realizar la explotacin Informtica se dispone de datos, las cuales sufren un transformacin y se someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos realizan un informacin buena. Auditora Informtica de Desarrollo de Proyectos o Aplicaciones. La funcin de desarrollo de una evaluacin del llamado Anlisis de Programacin y sistemas. Auditora Informtica de Sistemas. Se ocupa de analizar la actividad que se conoce como tcnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, lneas y redes de las instalaciones informticas se auditen por separado, aunque formen parte del entorno general del sistema. (Ej. Auditar el cableado estructurado, ancho de banda de una red LAN) Auditoria Informtica de comunicacin y Redes. Este tipo de Auditora deber inquirir o actuar sobre ndices de utilizacin de las lneas contratadas con informacin sobre tiempos de uso, deber conocer la topologa de la red de comunicaciones, ya sea la actual o la desactualizada. Deber conocer cuantas lneas existen, como son, donde estn instaladas, y sobre ellas hacer una suposicin de inoperatividad Informtica. Todas estas actividades deben estar coordinadas y dependientes de una sola organizacin. (Debemos conocer los tipos de mapas actuales y anteriores, como son las lneas, el ancho de banda, suponer que todas las lneas estn mal, la suposicin mala confirmarlo).

Auditora de la Seguridad Informtica. Se debe tener presente la cantidad de informacin almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea individuos, las empresa o las instituciones, lo que significa que se debe cuidar del mal uso de esta informacin, de los robos, los fraudes, sabotajes y sobre todo de la destruccin parcial o total. En la actualidad se debe tambin cuidar la informacin d los virus informticos, los cuales permanecen ocultos y daan sistemticamente los datos. Controles de aplicacin: son aquellos controles que son aplicables para un determinado proceso de negocio o aplicacin, entre ellos podemos encontrar la edicin de registros, segregacin de funciones, totales de control, logs de transacciones y reportes de errores. En este sentido pueden existir distintos tipos de controles de aplicacin como ser: Controles de Ingreso: Los cuales son utilizados para mantener la integridad de los datos que son ingresados al sistema, Controles de Procesamiento: Estos controles, principalmente automticos proveen una manera automtica de asegurar que el procesamiento de las transacciones es completa, adecuado y autorizado. Controles de salida: Bsicamente estos controles direccionan a que operaciones fueron realizadas con los datos. Y comparando tambin bsicamente las salidas generadas con los ingresos realizados. Controles de integridad: Estos controles permitan verificar la integridad y consistencia de los datos procesados. Logs: Principalmente utilizados como Audit Trail, permiten a la gerencia identificar hechos inusuales para posterior investigar los mismos. Control interno: controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la direccin de la organizacin y/o la direccin informtica, as como los requerimientos legales. La funcin del control interno informtico es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas. Controles de aplicacin: Son los que se realizan para asegurar la exactitud, integridad y validez de la informacin procesada.