Auditora Informtica

http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml
Introduccin:
A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms
poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier
organizacin empresarial, los Sistemas de Informacin de la empresa.
La Informtica hoy, est susumida en la gestin integral de la empresa, y por eso las normas y
estndares propiamente informticos deen estar, por lo tanto, sometidos a los generales de la
misma. !n consecuencia, las organizaciones informticas forman parte de lo que se ha
denominado el "management" o gestin de la empresa. #ae aclarar que la Informtica no
gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s$ misma.
%or ende, deido a su importancia en el funcionamiento de una empresa, e&iste la Auditor$a
Informtica.
!l t'rmino de Auditor$a se ha empleado incorrectamente con frecuencia ya que se ha
considerado como una evaluacin cuyo (nico fin es detectar errores y se)alar fallas. A causa
de esto, se ha tomado la frase "*iene Auditor$a" como sinnimo de que, en dicha entidad, antes
de realizarse la auditor$a, ya se ha$an detectado fallas.
!l concepto de auditor$a es mucho ms que esto. Es un examen crtico ue se reali!a con el
fin de e"aluar la eficacia # eficiencia de una seccin$ un organismo$ una entidad$ etc.
La palara auditor$a proviene del lat$n auditorius, y de esta proviene la palara auditor, que se
refiere a todo aquel que tiene la virtud de o$r.
%or otra parte, el diccionario !spa)ol Sopena lo define como+ ,evisor de #uentas colegiado.
!n un principio esta definicin carece de la e&plicacin del o-etivo fundamental que persigue
todo auditor+ evaluar la eficiencia y eficacia.
Si consultamos el .olet$n de /ormas de auditor$a del Instituto me&icano de contadores nos
dice+ " La auditor$a no es una actividad meramente mecnica que implique la aplicacin de
ciertos procedimientos cuyos resultados, una vez llevado a cao son de carcter indudale."
0e todo esto sacamos como deduccin que la auditor$a es un e&amen cr$tico pero no
mecnico, que no implica la pree&istencia de fallas en la entidad auditada y que persigue el fin
de evaluar y me-orar la eficacia y eficiencia de una seccin o de un organismo.
Los principales o-etivos que constituyen a la auditor$a Informtica son el control de la funcin
informtica, el anlisis de la eficiencia de los Sistemas Informticos que comporta, la
verificacin del cumplimiento de la /ormativa general de la empresa en este mito y la
revisin de la eficaz gestin de los recursos materiales y humanos informticos.
!l auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la
empresa pone en -uego para disponer de un eficiente y eficaz Sistema de Informacin. #laro
est, que para la realizacin de una auditor$a informtica eficaz, se dee entender a la empresa
en su ms amplio sentido, ya que una 1niversidad, un 2inisterio o un 3ospital son tan
empresas como una Sociedad Annima o empresa %(lica. *odos utilizan la informtica para
gestionar sus "negocios" de forma rpida y eficiente con el fin de otener eneficios
econmicos y de costes.
%or eso, al igual que los dems rganos de la empresa 4.alances y #uentas de ,esultados,
*arifas, Sueldos, etc.5, los Sistemas Informticos estn sometidos al control correspondiente, o
al menos deer$a estarlo. La importancia de llevar un control de esta herramienta se puede
deducir de varios aspectos. 3e aqu$ algunos+
Las computadoras y los #entros de %roceso de 0atos se convirtieron en lancos
apeteciles no solo para el espiona-e, sino para la delincuencia y el terrorismo. !n este
caso interviene la Auditor$a Informtica de Seguridad.
Las computadoras creadas para procesar y difundir resultados o informacin elaorada
pueden producir resultados o informacin errnea si dichos datos son, a su vez,
errneos. !ste concepto ovio es a veces olvidado por las mismas empresas que
terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus
Sistemas Informticos, con la posiilidad de que se provoque un efecto cascada y
afecte a Aplicaciones independientes. !n este caso interviene la Auditor$a Informtica
de 0atos.
1n Sistema Informtico mal dise)ado puede convertirse en una herramienta harto
peligrosa para la empresa+ como las maquinas oedecen ciegamente a las rdenes
reciidas y la modelizacin de la empresa est determinada por las computadoras que
materializan los Sistemas de Informacin, la gestin y la organizacin de la empresa no
puede depender de un Soft6are y 3ard6are mal dise)ados.
Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema
Informtico, por eso, la necesidad de la Auditora de Sistemas.
Auditora:
La auditoria nace como un rgano de control de algunas instituciones estatales y privadas. Su
funcin inicial es estrictamente econmico7financiero, y los casos inmediatos se encuentran en
las peritaciones -udiciales y las contrataciones de contales e&pertos por parte de .ancos
8ficiales.
La funcin auditora dee ser asolutamente independiente9 no tiene carcter e-ecutivo, ni son
vinculantes sus conclusiones. :ueda a cargo de la empresa tomar las decisiones pertinentes.
La auditoria contiene elementos de anlisis, de verificacin y de e&posicin de deilidades y
disfunciones. Aunque pueden aparecer sugerencias y planes de accin para eliminar las
disfunciones y deilidades antedichas9 estas sugerencias plasmadas en el Informe final recien
el nomre de ,ecomendaciones.
Las funciones de anlisis y revisin que el auditor informtico realiza, puede chocar con la
psicolog$a del auditado, ya que es un informtico y tiene la necesidad de realizar sus tareas con
racionalidad y eficiencia. La reticencia del auditado es comprensile y, en ocasiones, fundada.
!l nivel t'cnico del auditor es a veces insuficiente, dada la gran comple-idad de los Sistemas,
unidos a los plazos demasiado reves de los que suelen disponer para realizar su tarea.
Adems del chequeo de los Sistemas, el auditor somete al auditado a una serie de
cuestionario. 0ichos cuestionarios, llamados #hec; List, son guardados celosamente por las
empresas auditoras, ya que son activos importantes de su actividad. Las #hec; List tienen que
ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y mal recitadas
se pueden llegar a otener resultados distintos a los esperados por la empresa auditora. La
#hec; List puede llegar a e&plicar cmo ocurren los hechos pero no por qu' ocurren. !l
cuestionario dee estar suordinado a la regla, a la norma, al m'todo. Slo una metodolog$a
precisa puede desentra)ar las causas por las cuales se realizan actividades tericamente
inadecuadas o se omiten otras correctas.
!l auditor slo puede emitir un -uicio gloal o parcial asado en hechos y situaciones
incontrovertiles, careciendo de poder para modificar la situacin analizada por 'l mismo.
Auditora Interna # Auditora Externa:
La auditor$a interna es la realizada con recursos materiales y personas que pertenecen a la
empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente.
La auditor$a interna e&iste por e&presa decisin de la !mpresa, o sea, que puede optar por su
disolucin en cualquier momento.
%or otro lado, la auditor$a e&terna es realizada por personas afines a la empresa auditada9 es
siempre remunerada. Se presupone una mayor o-etividad que en la Auditor$a Interna, deido
al mayor distanciamiento entre auditores y auditados.
La auditor$a informtica interna cuenta con algunas venta-as adicionales muy importantes
respecto de la auditor$a e&terna, las cuales no son tan perceptiles como en las auditor$as
convencionales. La auditor$a interna tiene la venta-a de que puede actuar peridicamente
realizando ,evisiones gloales, como parte de su %lan Anual y de su actividad normal. Los
auditados conocen estos planes y se hait(an a las Auditor$as, especialmente cuando las
consecuencias de las ,ecomendaciones haidas enefician su traa-o.
!n una empresa, los responsales de Informtica escuchan, orientan e informan sore las
posiilidades t'cnicas y los costes de tal Sistema. #on voz, pero a menudo sin voto,
Informtica trata de satisfacer lo ms adecuadamente posile aquellas necesidades. La
empresa necesita controlar su Informtica y 'sta necesita que su propia gestin est' sometida
a los mismos %rocedimientos y estndares que el resto de aquella. La con-uncin de amas
necesidades cristaliza en la figura del auditor interno informtico.
!n cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditor$a
propia y permanente, mientras que el resto acuden a las auditor$as e&ternas. %uede ser que
alg(n profesional informtico sea trasladado desde su puesto de traa-o a la Auditor$a Interna
de la empresa cuando 'sta e&iste. <inalmente, la propia Informtica requiere de su propio
grupo de #ontrol Interno, con implantacin f$sica en su estructura, puesto que si se uicase
dentro de la estructura Informtica ya no ser$a independiente. 3oy, ya e&isten varias
organizaciones Informticas dentro de la misma empresa, y con diverso grado de autonom$a,
que son coordinadas por rganos corporativos de Sistemas de Informacin de las !mpresas.
1na !mpresa o Institucin que posee auditor$a interna puede y dee en ocasiones contratar
servicios de auditor$a e&terna. Las razones para hacerlo suelen ser+
/ecesidad de auditar una materia de gran especializacin, para la cual los servicios
propios no estn suficientemente capacitados.
#ontrastar alg(n Informe interno con el que resulte del e&terno, en aquellos supuestos
de emisin interna de graves recomendaciones que chocan con la opinin generalizada
de la propia empresa.
Servir como mecanismo protector de posiles auditor$as informticas e&ternas
decretadas por la misma empresa.
Aunque la auditor$a interna sea independiente del 0epartamento de Sistemas, sigue
siendo la misma empresa, por lo tanto, es necesario que se le realicen auditor$as
e&ternas como para tener una visin desde afuera de la empresa.
La auditor$a informtica, tanto e&terna como interna, dee ser una actividad e&enta de cualquier
contenido o matiz "pol$tico" a-eno a la propia estrategia y pol$tica general de la empresa. La
funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte,
esto es, por encargo de la direccin o cliente.
Alcance de la Auditora Informtica:
!l alcance ha de definir con precisin el entorno y los l$mites en que va a desarrollarse la
auditor$a informtica, se complementa con los o-etivos de 'sta. !l alcance ha de figurar
e&presamente en el Informe <inal, de modo que quede perfectamente determinado no
solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas.
!-emplo+ =Se sometern los registros graados a un control de integridad e&haustivo>? =Se
comproar que los controles de validacin de errores son adecuados y suficientes>? La
indefinicin de los alcances de la auditor$a compromete el '&ito de la misma.
*Control de integridad de registros:
3ay Aplicaciones que comparten registros, son registros comunes. Si una Aplicacin no tiene
integrado un registro com(n, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la
aplicacin no funcionar$a como deer$a.
*Control de validacin de errores:
Se corroora que el sistema que se aplica para detectar y corregir errores sea eficiente.
%aractersticas de la Auditora Informtica:
La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un
Activo ,eal de la misma, como sus Stoc;s o materias primas si las hay. %or ende, han de
realizarse inversiones informticas, materia de la que se ocupa la Auditora de Inversin
Informtica.
0el mismo modo, los Sistemas Informticos han de protegerse de modo gloal y particular+ a
ello se dee la e&istencia de la Auditora de Seguridad Informtica en general, o a la auditor$a
de Seguridad de alguna de sus reas, como pudieran ser 0esarrollo o *'cnica de Sistemas.
#uando se producen camios estructurales en la Informtica, se reorganiza de alguna forma su
funcin+ se est en el campo de la Auditora de rgani!acin Informtica.
!stos tres tipos de auditor$as engloan a las actividades auditoras que se realizan en una
auditor$a parcial. 0e otra manera+ cuando se realiza una auditoria del rea de 0esarrollo de
%royectos de la Informtica de una empresa, es porque en ese 0esarrollo e&isten, adems de
ineficiencias, deilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla
de ellas.
&ntomas de 'ecesidad de una Auditora Informtica:
Las empresas acuden a las auditor$as e&ternas cuando e&isten s$ntomas ien perceptiles de
deilidad. !stos s$ntomas pueden agruparse en clases+
S$ntomas de descoordinacin y desorganizacin+
7 /o coinciden los o-etivos de la Informtica de la #ompa)$a y de la propia #ompa)$a.
7 Los estndares de productividad se desv$an sensilemente de los promedios
conseguidos haitualmente.
@%uede ocurrir con alg(n camio masivo de personal, o en una reestructuracin fallida
de alguna rea o en la modificacin de alguna /orma importanteA
S$ntomas de mala imagen e insatisfaccin de los usuarios +
7 /o se atienden las peticiones de camios de los usuarios. !-emplos+ camios de
Soft6are en los terminales de usuario, refrescamiento de paneles, variacin de los
ficheros que deen ponerse diariamente a su disposicin, etc.
7 /o se reparan las aver$as de 3ard6are ni se resuelven incidencias en plazos
razonales. !l usuario percie que est aandonado y desatendido permanentemente.
7 /o se cumplen en todos los casos los plazos de entrega de resultados peridicos.
%eque)as desviaciones pueden causar importantes desa-ustes en la actividad del
usuario, en especial en los resultados de Aplicaciones cr$ticas y sensiles.
S$ntomas de deilidades econmico7financiero +
7 Incremento desmesurado de costes.
7 /ecesidad de -ustificacin de Inversiones Informticas 4la empresa no est
asolutamente convencida de tal necesidad y decide contrastar opiniones5.
7 0esviaciones %resupuestarias significativas.
7 #ostes y plazos de nuevos proyectos 4deen auditarse simultneamente a 0esarrollo
de %royectos y al rgano que realiz la peticin5.
S$ntomas de Inseguridad + !valuacin de nivel de riesgos
7 Seguridad Lgica
7 Seguridad <$sica
7 #onfidencialidad
@Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de
personal son especialmente confidencialesA
7 #ontinuidad del Servicio. !s un concepto a(n ms importante que la Seguridad.
!stalece las estrategias de continuidad entre fallos mediante %lanes de #ontingencia>
*otales y Locales.
7 #entro de %roceso de 0atos fuera de control. Si tal situacin llegara a perciirse,
ser$a prcticamente in(til la auditor$a. !sa es la razn por la cual, en este caso, el
s$ntoma dee ser sustituido por el m$nimo indicio.
*"lanes de Contingencia:
%or e-emplo, la empresa sufre un corte total de energ$a o e&plota, =#mo sigo operando en
otro lugar? Lo que generalmente se pide es que se hagan .ac;ups de la informacin
diariamente y que aparte, sea dole, para tener un .ac;up en la empresa y otro afuera de 'sta.
1na empresa puede tener unas oficinas paralelas que posean servicios sicos 4luz, tel'fono,
agua5 distintos de los de la empresa principal, es decir, si a la empresa principal le prove$a
tel'fono *elecom, a las oficinas paralelas, *elefnica. !n este caso, si se produce la
inoperancia de Sistemas en la empresa principal, se utilizar$a el .ac;up para seguir operando
en las oficinas paralelas. Los .ac;ups se pueden acumular durante dos meses, o el tiempo que
estipule la empresa, y despu's se van reciclando.
(ipos # clases de Auditoras:
!l departamento de Informtica posee una actividad proyectada al e&terior, al usuario, aunque
el "e&terior" siga siendo la misma empresa. 3e aqu$, la Auditora Informtica de #suario. Se
hace esta distincin para contraponerla a la informtica interna, en donde se hace la
informtica cotidiana y real. !n consecuencia, e&iste una Auditora Informtica de Actividades
Internas.
!l control del funcionamiento del departamento de informtica con el e&terior, con el usuario se
realiza por medio de la 0ireccin. Su figura es importante, en tanto en cuanto es capaz de
interpretar las necesidades de la #ompa)$a. 1na informtica eficiente y eficaz requiere el
apoyo continuado de su 0ireccin frente al "e&terior". ,evisar estas interrelaciones constituye el
o-eto de la Auditora Informtica de $ireccin. !stas tres auditor$as, mas la auditor$a de
Seguridad, son las cuatro Areas Benerales de la Auditor$a Informtica ms importantes.
0entro de las reas generales, se estalecen las siguientes divisiones de Auditor$a Informtica+
de !&plotacin, de Sistemas, de #omunicaciones y de 0esarrollo de %royectos. !stas son las
Areas !specificas de la Auditor$a Informtica ms importantes.

Areas
Especficas
Areas )enerales
Interna 0ireccin 1suario Seguridad
!&plotacin
0esarrollo
Sistemas
#omunicaciones
Seguridad
#ada Area !specifica puede ser auditada desde los siguientes criterios generales+
0esde su propio funcionamiento interno.
0esde el apoyo que recie de la 0ireccin y, en sentido ascendente, del grado de
cumplimiento de las directrices de 'sta.
0esde la perspectiva de los usuarios, destinatarios reales de la informtica.
0esde el punto de vista de la seguridad que ofrece la Informtica en general o la rama
auditada.
!stas cominaciones pueden ser ampliadas y reducidas seg(n las caracter$sticas de la
empresa auditada.
*bjeti"o fundamental de la auditora informtica: peratividad
La operatividad es una funcin de m$nimos consistente en que la organizacin y las maquinas
funcionen, siquiera m$nimamente. /o es admisile detener la maquinaria informtica para
descurir sus fallos y comenzar de nuevo. La auditor$a dee iniciar su actividad cuando los
Sistemas estn operativos, es el principal o-etivo el de mantener tal situacin. *al o-etivo
dee conseguirse tanto a nivel gloal como parcial.
La operatividad de los Sistemas ha de constituir entonces la principal preocupacin del auditor
informtico. %ara conseguirla hay que acudir a la realizacin de Controles %&cnicos 'enerales
de peratividad y Controles %&cnicos Especficos de peratividad, previos a cualquier
actividad de aquel.
Los #ontroles *'cnicos Benerales son los que se realizan para verificar la
compatiilidad de funcionamiento simultaneo del Sistema 8perativo y el Soft6are de
ase con todos los susistemas e&istentes, as$ como la compatiilidad del 3ard6are y
del Soft6are instalados. !stos controles son importantes en las instalaciones que
cuentan con varios competidores, deido a que la profusin de entornos de traa-o muy
diferenciados oliga a la contratacin de diversos productos de Soft6are sico, con el
consiguiente riesgo de aonar ms de una vez el mismo producto o desaprovechar
parte del Soft6are aonado. %uede ocurrir tami'n con los productos de Soft6are
sico desarrolla7dos por el personal de Sistemas Interno, sore todo cuando los
diversos equipos estn uicados en #entros de %roceso de 0atos geogrficamente
ale-ados. Lo negativo de esta situacin es que puede producir la inoperatividad del
con-unto. #ada #entro de %roceso de 0atos tal vez sea operativo traa-ando
independientemente, pero no ser posile la intercone&in e intercomunicacin de
todos los #entros de %roceso de 0atos si no e&isten productos comunes y compatiles.
Los #ontroles *'cnicos !spec$ficos, de modo menos acusado, son igualmente
necesarios para lograr la 8peratividad de los Sistemas. 1n e-emplo de lo que se puede
encontrar mal son parmetros de asignacin automtica de espacio en disco> que
dificulten o impidan su utilizacin posterior por una Seccin distinta de la que lo gener.
*ami'n, los periodos de retencin de ficheros comunes a varias Aplicaciones pueden
estar definidos con distintos plazos en cada una de ellas, de modo que la p'rdida de
informacin es un hecho que podr producirse con facilidad, quedando inoperativa la
e&plotacin de alguna de las Aplicaciones mencionadas.
*"armetros de asignacin automtica de espacio en disco:
*odas las Aplicaciones que se desarrollan son super7parametrizadas , es decir, que tienen un
montn de parmetros que permiten configurar cual va a ser el comportamiento del Sistema.
1na Aplicacin va a usar para tal y tal cosa cierta cantidad de espacio en disco. Si uno no
analiz cual es la operatoria y el tiempo que le va a llevar ocupar el espacio asignado, y se
pone un valor muy chico, puede ocurrir que un d$a la Aplicacin reviente, se caiga. Si esto
sucede en medio de la operatoria y la Aplicacin se cae, el volver a levantarla, con la nueva
asignacin de espacio, si hay que hacer reconversiones o lo que sea, puede llegar a demandar
much$simo tiempo, lo que significa un riesgo enorme.
+e"isin de %ontroles de la )estin Informtica:
1na vez conseguida la 8peratividad de los Sistemas, el segundo o-etivo de la auditor$a es la
verificacin de la oservancia de las normas tericamente e&istentes en el departamento de
Informtica y su coherencia con las del resto de la empresa. %ara ello, harn de revisarse
sucesivamente y en este orden+
C. Las /ormas Benerales de la Instalacin Informtica. Se realizar una revisin inicial sin
estudiar a fondo las contradicciones que pudieran e&istir, pero registrando las reas
que carezcan de normativa, y sore todo verificando que esta /ormativa Beneral
Informtica no est en contradiccin con alguna /orma Beneral no informtica de la
empresa.
D. Los %rocedimientos Benerales Informticos. Se verificar su e&istencia, al menos en
los sectores ms importantes. %or e-emplo, la recepcin definitiva de las mquinas
deer$a estar firmada por los responsales de !&plotacin. *ampoco el alta de una
nueva Aplicacin podr$a producirse si no e&istieran los %rocedimientos de .ac;up y
,ecuperacin correspondientes.
E. Los %rocedimientos !spec$ficos Informticos. Igualmente, se revisara su e&istencia en
las reas fundamentales. As$, !&plotacin no deer$a e&plotar una Aplicacin sin haer
e&igido a 0esarrollo la pertinente documentacin. 0el mismo modo, deer
comproarse que los %rocedimientos !spec$ficos no se opongan a los %rocedimientos
Benerales. !n todos los casos anteriores, a su vez, deer verificarse que no e&iste
contradiccin alguna con la /ormativa y los %rocedimientos Benerales de la propia
empresa, a los que la Informtica dee estar sometida.

Auditora Informtica de Explotacin:
La !&plotacin Informtica se ocupa de producir resultados informticos de todo tipo+ listados
impresos, ficheros soportados magn'ticamente para otros informticos, ordenes automatizadas
para lanzar o modificar procesos industriales, etc. La e&plotacin informtica se puede
considerar como una farica con ciertas peculiaridades que la distinguen de las reales. %ara
realizar la !&plotacin Informtica se dispone de una materia prima, los 0atos, que es
necesario transformar, y que se someten previamente a controles de integridad y calidad. La
transformacin se realiza por medio del %roceso informtico, el cual est goernado por
programas. 8tenido el producto final, los resultados son sometidos a varios controles de
calidad y, finalmente, son distriuidos al cliente, al usuario.
Auditar !&plotacin consiste en auditar las secciones que la componen y sus interrelaciones.
La !&plotacin Informtica se divide en tres grandes reas+ %lanificacin, %roduccin y Soporte
*'cnico, en la que cada cual tiene varios grupos.

#ontrol de !ntrada de 0atos+
Se analizar la captura de la informacin en soporte compatile con los Sistemas, el
cumplimiento de plazos y calendarios de tratamientos y entrega de datos9 la correcta
transmisin de datos entre entornos diferentes. Se verificar que los controles de integridad y
calidad de datos se realizan de acuerdo a /orma.
%lanificacin y ,ecepcin de Aplicaciones+
Se auditarn las normas de entrega de Aplicaciones por parte de 0esarrollo, verificando su
cumplimiento y su calidad de interlocutor (nico. 0eern realizarse muestreos selectivos de la
0ocumentacin de las Aplicaciones e&plotadas. Se inquirir sore la anticipacin de contactos
con 0esarrollo para la planificacin a medio y largo plazo.
#entro de #ontrol y Seguimiento de *raa-os+
Se analizar cmo se prepara, se lanza y se sigue la produccin diaria. .sicamente, la
e&plotacin Informtica e-ecuta procesos por cadenas o lotes sucesivos 4.atch>5, o en tiempo
real 4*iempo ,eal>5. 2ientras que las Aplicaciones de *eleproceso estn permanentemente
activas y la funcin de !&plotacin se limita a vigilar y recuperar incidencias, el traa-o .atch
asore una uena parte de los efectivos de !&plotacin. !n muchos #entros de %roceso de
0atos, 'ste rgano recie el nomre de #entro de #ontrol de .atch. !ste grupo determina el
'&ito de la e&plotacin, en cuanto que es uno de los factores ms importantes en el
mantenimiento de la produccin.
*(atc) * %iempo +eal:
Las Aplicaciones que son .atch son Aplicaciones que cargan mucha informacin durante el d$a
y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la
informacin, calcular cosas y otener como salida, por e-emplo, reportes. 8 sea, recolecta
informacin durante el d$a, pero todav$a no procesa nada. !s solamente un tema de "0ata
!ntry" que recolecta informacin, corre el proceso .atch 4por lotes5, y calcula todo lo necesario
para arrancar al d$a siguiente.
Las Aplicaciones que son *iempo ,eal u 8nline, son las que, luego de haer ingresado la
informacin correspondiente, inmediatamente procesan y devuelven un resultado. Son
Sistemas que tienen que responder en *iempo ,eal.
8peracin. Salas de 8rdenadores+
Se intentarn analizar las relaciones personales y la coherencia de cargos y salarios, as$ como
la equidad en la asignacin de turnos de traa-o. Se verificar la e&istencia de un responsale
de Sala en cada turno de traa-o. Se analizar el grado de automatizacin de comandos, se
verificara la e&istencia y grado de uso de los 2anuales de 8peracin. Se analizar no solo la
e&istencia de planes de formacin, sino el cumplimiento de los mismos y el tiempo transcurrido
para cada 8perador desde el (ltimo #urso reciido. Se estudiarn los monta-es diarios y por
horas de cintas o cartuchos, as$ como los tiempos transcurridos entre la peticin de monta-e por
parte del Sistema hasta el monta-e real. Se verificarn las l$neas de papel impresas diarias y
por horas, as$ como la manipulacin de papel que comportan.
#entro de #ontrol de ,ed y #entro de 0iagnosis+
!l #entro de #ontrol de ,ed suele uicarse en el rea de produccin de !&plotacin. Sus
funciones se refieren e&clusivamente al mito de las #omunicaciones, estando muy
relacionado con la organizacin de Soft6are de #omunicaciones de *'cnicas de Sistemas.
0ee analizarse la fluidez de esa relacin y el grado de coordinacin entre amos. Se verificar
la e&istencia de un punto focal (nico, desde el cual sean perceptiles todos las l$neas
asociadas al Sistema. !l #entro de 0iagnosis es el ente en donde se atienden las llamadas de
los usuarios7clientes que han sufrido aver$as o incidencias, tanto de Soft6are como de
3ard6are. !l #entro de 0iagnosis est especialmente indicado para informticos grandes y con
usuarios dispersos en un amplio territorio. !s uno de los elementos que ms contriuyen a
configurar la imagen de la Informtica de la empresa. 0ee ser auditada desde esta
perspectiva, desde la sensiilidad del usuario sore el servicio que se le dispone. /o asta con
comproar la eficiencia t'cnica del #entro, es necesario analizarlo simultneamente en el
mito de 1suario.

Auditora Informtica de ,esarrollo de -ro#ectos o Aplicaciones:
La funcin de 0esarrollo es una evolucin del llamado Anlisis y %rogramacin de Sistemas y
Aplicaciones. A su vez, engloa muchas reas, tantas como sectores informatizales tiene la
empresa. 2uy escuetamente, una Aplicacin recorre las siguientes fases+
%rerequisitos del 1suario 4(nico o plural5 y del entorno
Anlisis funcional
0ise)o
Anlisis orgnico 4%reprogramacion y %rogramacin5
%rueas
!ntrega a !&plotacin y alta para el %roceso.
!stas fases deen estar sometidas a un e&igente control interno, caso contrario, adems del
disparo de los costes, podr producirse la insatisfaccin del usuario. <inalmente, la auditor$a
deer comproar la seguridad de los programas en el sentido de garantizar que los
e-ecutados por la maquina sean e&actamente los previstos y no otros.
1na auditor$a de Aplicaciones pasa indefectilemente por la oservacin y el anlisis de cuatro
consideraciones+
C. +evisin de las metodologas utili!adas+ Se analizaran 'stas, de modo que se asegure
la modularidad de las posiles futuras ampliaciones de la Aplicacin y el fcil
mantenimiento de las mismas.
D. Control Interno de las Aplicaciones+ se deern revisar las mismas fases que
presuntamente han deido seguir el rea correspondiente de 0esarrollo+
!studio de Fialidad de la Aplicacin. @importante para Aplicaciones largas, comple-as y
carasA
0efinicin Lgica de la Aplicacin. @se analizar que se han oservado los postulados
lgicos de actuacin, en funcin de la metodolog$a elegida y la finalidad que persigue el
proyectoA
0esarrollo *'cnico de la Aplicacin. @Se verificar que 'ste es ordenado y correcto. Las
herramientas t'cnicas utilizadas en los diversos programas deern ser compatilesA
0ise)o de %rogramas. @deern poseer la m&ima sencillez, modularidad y econom$a
de recursosA
2'todos de %rueas. @ Se realizarn de acuerdo a las /ormas de la Instalacin. Se
utilizarn -uegos de ensayo de datos, sin que sea permisile el uso de datos realesA
0ocumentacin. @cumplir la /ormativa estalecida en la Instalacin, tanto la de
0esarrollo como la de entrega de Aplicaciones a !&plotacinA
!quipo de %rogramacin. @0een fi-arse las tareas de anlisis puro, de programacin y
las intermedias. !n Aplicaciones comple-as se producir$an variaciones en la
composicin del grupo, pero estos deern estar previstosA
C. Satisfaccin de usuarios: 1na Aplicacin t'cnicamente eficiente y ien desarrollada,
deer considerarse fracasada si no sirve a los intereses del usuario que la solicit. La
aquiescencia del usuario proporciona grandes venta-as posteriores, ya que evitar
reprogramaciones y disminuir el mantenimiento de la Aplicacin.
D. Control de "rocesos * E,ecuciones de "rogramas Crticos: !l auditor no dee descartar
la posiili7dad de que se est' e-ecutando un mdulo que no se corresponde con el
programa fuente que desarroll, codific y pro el rea de 0esarrollo de Aplicaciones.
Se ha de comproar la correspondencia iun$voca y e&clusiva entre el programa
codificado y su compilacin. Si los programas fuente y los programa mdulo no
coincidieran podr$ase provocar, desde errores de ulto que producir$an graves y altos
costes de mantenimiento, hasta fraudes, pasando por acciones de saota-e, espiona-e
industrial7informativo, etc. %or ende, hay normas muy r$gidas en cuanto a las Lirer$as
de programas9 aquellos programas fuente que hayan sido dados por ueno por
0esarrollo, son entregados a !&plotacin con el fin de que 'ste+
C. #opie el programa fuente en la Lirer$a de <uentes de !&plotacin, a la que
nadie ms tiene acceso
D. #ompile y monte ese programa, depositndolo en la Lirer$a de 2dulos de
!&plo7tacin, a la que nadie ms tiene acceso.
E. #opie los programas fuente que les sean solicitados para modificarlos,
arreglarlos, etc. en el lugar que se le indique. #ualquier camio e&igir pasar
nuevamente por el punto C.
#omo este sistema para auditar y dar el alta a una nueva Aplicacin es astante ardua y
comple-a, hoy 4algunas empresas lo usarn, otras no5 se utiliza un sistema llamado 1.A.* 41ser
Acceptance *est5. !ste consiste en que el futuro usuario de esta Aplicacin use la Aplicacin
como si la estuviera usando en %roduccin para que detecte o se denoten por s$ solos los
errores de la misma. !stos defectos que se encuentran se van corrigiendo a medida que se va
haciendo el 1.A.*. 1na vez que se consigue el 1.A.*., el usuario tiene que dar el Sign 8ff
4"!sto est ien"5. *odo este testeo, auditor$a lo tiene que controlar, tiene que evaluar que el
testeo sea correcto, que e&ista un plan de testeo, que est' involucrado tanto el cliente como el
desarrollador y que estos defectos se corri-an. Auditor$a tiene que corroorar que el 1.A.*.
pruea todo y que el Sign 8ff del usuario sea un Sign 8ff por todo.

Auditora Informtica de &istemas:
Se ocupa de analizar la actividad que se conoce como *'cnica de Sistemas en todas sus
facetas. 3oy, la importancia creciente de las telecomunicaciones ha propiciado que las
#omunicaciones, L$neas y ,edes de las instalaciones informticas, se auditen por separado,
aunque formen parte del entorno general de Sistemas.
Sistemas 8perativos+
!ngloa los Susistemas de *eleproceso, !ntradaGSal$da, etc. 0ee verificarse en primer lugar
que los Sistemas estn actualizados con las (ltimas versiones del faricante, indagando las
causas de las omisiones si las huiera. !l anlisis de las versiones de los Sistemas 8perativos
permite descurir las posiles incompatiilidades entre otros productos de Soft6are .sico
adquiridos por la instalacin y determinadas versiones de aquellas. 0een revisarse los
parmetros variales de las Lirer$as ms importantes de los Sistemas, por si difieren de los
valores haituales aconse-ados por el constructor.
Soft6are .sico+
!s fundamental para el auditor conocer los productos de soft6are sico que han sido
facturados aparte de la propia computadora. !sto, por razones econmicas y por razones de
comproacin de que la computadora podr$a funcionar sin el producto adquirido por el cliente.
!n cuanto al Soft6are desarrollado por el personal informtico de la empresa, el auditor dee
verificar que 'ste no agreda ni condiciona al Sistema. Igualmente, dee considerar el esfuerzo
realizado en t'rminos de costes, por si huiera alternativas ms econmicas.
Soft6are de *eleproceso 4*iempo ,eal5+
/o se incluye en Soft6are .sico por su especialidad e importancia. Las consideraciones
anteriores son vlidas para 'ste tami'n.
*unning+
!s el con-unto de t'cnicas de oservacin y de medidas encaminadas a la evaluacin del
comportamiento de los Susistemas y del Sistema en su con-unto. Las acciones de tunning
deen diferenciarse de los controles haituales que realiza el personal de *'cnica de Sistemas.
!l tunning posee una naturaleza ms revisora, estaleci'ndose previamente planes y
programas de actuacin seg(n los s$ntomas oservados. Se pueden realizar+
o #uando e&iste sospecha de deterioro del
comportamiento parcial o general del Sistema
o 0e modo sistemtico y peridico, por e-emplo
cada H meses. !n este caso sus acciones son
repetitivas y estn planificados y organizados
de antemano.
!l auditor deer conocer el n(mero de *unning realizados en el (ltimo a)o, as$ como sus
resultados. 0eer analizar los modelos de carga utilizados y los niveles e $ndices de confianza
de las oservacio7nes.
8ptimizacin de los Sistemas y Susistemas+
*'cnica de Sistemas dee realizar acciones permanentes de optimizacin como consecuencia
de la realizacin de tunnings preprogramados o espec$ficos. !l auditor verificar que las
acciones de optimizacin> fueron efectivas y no comprometieron la 8peratividad de los
Sistemas ni el plan cr$tico de produccin diaria de !&plotacin.


*ptimi!acin:
%or e-emplo+ cuando se instala una Aplicacin, normalmente est vac$a, no tiene nada cargado
adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicacin se va
poniendo cada vez ms lenta9 porque todas las referencias a talas es cada vez ms grande, la
informacin que est moviendo es cada vez mayor, entonces la Aplicacin se tiende a poner
lenta. Lo que se tiene que hacer es un anlisis de performance, para luego optimizarla, me-orar
el rendimiento de dicha Aplicacin.
Administracin de .ase de 0atos+
!l dise)o de las .ases de 0atos, sean relaciones o -errquicas, se ha convertido en una
actividad muy comple-a y sofisticada, por lo general desarrollada en el mito de *'cnica de
Sistemas, y de acuerdo con las reas de 0esarrollo y usuarios de la empresa. Al conocer el
dise)o y arquitectura de 'stas por parte de Sistemas, se les encomienda tami'n su
administracin. Los auditores de Sistemas han oservado algunas disfunciones derivadas de la
relativamente escasa e&periencia que *'cnica de Sistemas tiene sore la prolemtica general
de los usuarios de .ases de 0atos.
La administracin tendr$a que estar a cargo de !&plotacin. !l auditor de .ase de 0atos
deer$a asegurarse que !&plotacin conoce suficientemente las que son accedidas por los
%rocedimientos que ella e-ecuta. Analizar los Sistemas de salvaguarda e&istentes, que
competen igualmente a !&plotacin. ,evisar finalmente la integridad y consistencia de los
datos, as$ como la ausencia de redundancias entre ellos.
Investigacin y 0esarrollo+
#omo empresas que utilizan y necesitan de informticas desarrolladas, saen que sus propios
efectivos estn desarrollando Aplicaciones y utilidades que, conceidas inicialmente para su
uso interno, pueden ser susceptiles de adquisicin por otras empresas, haciendo competencia
a las #ompa)$as del ramo. La auditor$a informtica deer cuidar de que la actividad de
Investigacin y 0esarrollo no interfiera ni dificulte las tareas fundamentales internas.
ILa propia e&istencia de aplicativos para la otencin de estad$sticas desarrollados por los
t'cnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor e&perto una
visin astante e&acta de la eficiencia y estado de desarrollo de los SistemasJ
Auditora Informtica de %omunicaciones # +edes:
%ara el informtico y para el auditor informtico, el entramado conceptual que constituyen las
,edes /odales, L$neas, #oncentradores, 2ultiple&ores, ,edes Locales, etc. no son sino el
soporte f$sico7lgico del *iempo ,eal. !l auditor tropieza con la dificultad t'cnica del entorno,
pues ha de analizar situaciones y hechos ale-ados entre s$, y est condicionado a la
participacin del monopolio telefnico que presta el soporte. #omo en otros casos, la auditor$a
de este sector requiere un equipo de especialis7tas, e&pertos simultneamente en
#omunicaciones y en ,edes Locales 4no hay que olvidarse que en entornos geogrficos
reducidos, algunas empresas optan por el uso interno de ,edes Locales, dise)adas y
caleadas con recursos propios5.
!l auditor de #omunicaciones deer inquirir sore los $ndices de utilizacin de las l$neas
contratadas con informacin aundante sore tiempos de desuso. 0eer proveerse de la
topolog$a de la ,ed de #omunicaciones, actualizada, ya que la desactualizacion de esta
documentacin significar$a una grave deilidad. La ine&istencia de datos sore la cuantas
l$neas e&isten, cmo son y donde estn instaladas, supondr$a que se ordea la Inoperatividad
Informtica. Sin emargo, las deilidades ms frecuentes o importantes se encuentran en las
disfunciones organizativas. La contratacin e instalacin de l$neas va asociada a la instalacin
de los %uestos de *raa-o correspondientes 4%antallas, Servidores de ,edes Locales,
#omputadoras con tar-etas de #omunicaciones, impresoras, etc.5. *odas estas actividades
deen estar muy coordinadas y a ser posile, dependientes de una sola organizacin.
Auditora de la &eguridad informtica:
La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede
ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada
a personas que hagan mal uso de esta. *ami'n puede ocurrir roos, fraudes o saota-es que
provoquen la destruccin total o parcial de la actividad computacional. !sta informacin puede
ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos
sumamente costosos.
!n la actualidad y principalmente en las computadoras personales, se ha dado otro factor que
hay que considerar+ el llamado "virus" de las computadoras, el cual, aunque tiene diferentes
intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin
4"piratas"5 y orra toda la informacin que se tiene en un disco. Al auditar los sistemas se dee
tener cuidado que no se tengan copias "piratas" o ien que, al conectarnos en red con otras
computadoras, no e&ista la posiilidad de transmisin del virus. !l uso inadecuado de la
computadora comienza desde la utilizacin de tiempo de mquina para usos a-enos de la
organizacin, la copia de programas para fines de comercializacin sin reportar los derechos de
autor hasta el acceso por v$a telefnica a ases de datos a fin de modificar la informacin con
propsitos fraudulentos.
La seguridad en la informtica aarca los conceptos de seguridad f$sica y seguridad lgica. La
seguridad f$sica se refiere a la proteccin del 3ard6are y de los soportes de datos, as$ como a
la de los edificios e instalaciones que los alergan. #ontempla las situaciones de incendios,
saota-es, roos, catstrofes naturales, etc.
La seguridad lgica se refiere a la seguridad de uso del soft6are, a la proteccin de los datos,
procesos y programas, as$ como la del ordenado y autorizado acceso de los usuarios a la
informacin.
1n m'todo eficaz para proteger sistemas de computacin es el soft6are de control de acceso.
0icho simplemente, los paquetes de control de acceso protegen contra el acceso no
autorizado, pues piden del usuario una contrase)a antes de permitirle el acceso a informacin
confidencial. 0ichos paquetes han sido populares desde hace muchos a)os en el mundo de las
computadoras grandes, y los principales proveedores ponen a disposicin de clientes algunos
de estos paquetes.
E,emplo: E-iste una Aplicacin de Seguridad que se llama SES, para #ni-, que lo que )ace
es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a arc)ivos,
accesos a directorios, que usuario lo )i!o, si tena o no tena permiso, si no tena permiso
porque fall, entrada de usuarios a cada uno de los servidores, fec)a * )ora, accesos con
pass.ord equivocada, cam/ios de pass.ord, etc. 0a Aplicacin lo puede graficar, tirar en
n1meros, puede )acer reportes, etc.
La seguridad informtica se la puede dividir como Area Beneral y como Area !specifica
4seguridad de !&plotacin, seguridad de las Aplicaciones, etc.5. As$, se podrn efectuar
auditor$as de la Seguridad Bloal de una Instalacin Informtica KSeguridad Beneral7 y
auditor$as de la Seguridad de un rea informtica determinada K Seguridad !specifica 7.
#on el incremento de agresiones a instalaciones informticas en los (ltimos a)os, se han ido
originando acciones para me-orar la Seguridad Informtica a nivel f$sico. Los accesos y
cone&iones indeidos a trav's de las ,edes de #omunicaciones, han acelerado el desarrollo
de productos de Seguridad lgica y la utilizacin de sofisticados medios criptograficos.
!l sistema integral de seguridad dee comprender+
!lementos administrativos
0efinicin de una pol$tica de seguridad
8rganizacin y divisin de responsailidades
Seguridad f$sica y contra catstrofes4incendio, terremotos, etc.5
%rcticas de seguridad del personal
!lementos t'cnicos y procedimientos
Sistemas de seguridad 4de equipos y de sistemas, incluyendo todos los elementos,
tanto redes como terminales.
Aplicacin de los sistemas de seguridad, incluyendo datos y archivos
!l papel de los auditores, tanto internos como e&ternos
%laneacin de programas de desastre y su pruea.
La decisin de aordar una Auditor$a Informtica de Seguridad Bloal en una empresa, se
fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida. Se
elaoran "matrices de riesgo", en donde se consideran los factores de las "Amenazas" a las
que est sometida una instalacin y los "Impactos" que aquellas puedan causar cuando se
presentan. Las matrices de riesgo se representan en cuadros de dole entrada IIAmenaza7
ImpactoJJ, en donde se eval(an las proailidades de ocurrencia de los elementos de la
matriz.
!-emplo+
Impacto Amenaza
C+ Improale
D+ %roale
E+ #erteza
7+ 0espreciale
!rror Incendio Saota-e LL..
0estruccin
de 3ard6are
7 C C
.orrado de
Informacin
E C C
!l cuadro muestra que si por error codificamos un parmetro que ordene el orrado de un
fichero, 'ste se orrar con certeza.

!l caso de los .ancos en la ,ep(lica Argentina+
!n la Argentina, el .anco #entral 4.#,A5 les realiza una Auditor$a de Seguridad de Sistemas a
todos los .ancos, minoritarios y mayoristas. !l .anco que es auditado le prepara a los
auditores del .#,A un "demo" para que estos vean cual es el flu-o de informacin dentro del
.anco y que Aplicaciones estn involucradas con 'sta. Si los auditores detectan alg(n
prolema o alguna cosa que seg(n sus normas no est ien, y en ase a eso, emiten un
informe que va, tanto a la empresa, como al mercado. !ste, principalmente, es uno de los
puntos sicos donde se analiza el riesgo de un anco, ms all de cmo se mane-a. #ada
.anco tiene cierto riesgo dentro del mercado9 por un lado, est dado por como se mueve 'ste
dentro del mercado 4inversiones, r'ditos, etc.5 y por otro lado, el como funcionan sus Sistemas.
%or esto, todos los .ancos tienen auditor$a interna y auditor$a e&terna9 y se los audita muy
frecuentemente.
4Fer Ane&o de las normas del .anco #entral sore la Seguridad de los Sistemas de
Informacin5
.erramientas # (/cnicas para la Auditora Informtica:
Cuestionarios:
Las auditor$as informticas se materializan recaando informacin y documentacin de todo
tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las
situaciones de deilidad o fortaleza de los diferentes entornos. !l traa-o de campo del auditor
consiste en lograr toda la informacin necesaria para la emisin de un -uicio gloal o-etivo,
siempre amparado en hechos demostrales, llamados tami'n evidencias.
%ara esto, suele ser lo haitual comenzar solicitando la cumplimentacin de cuestionarios
preimpresos que se env$an a las personas concretas que el auditor cree adecuadas, sin que
sea oligatorio que dichas personas sean las responsales oficiales de las diversas reas a
auditar.
!stos cuestionarios no pueden ni deen ser repetidos para instalaciones distintas, sino
diferentes y muy espec$ficos para cada situacin, y muy cuidados en su fondo y su forma.
Sore esta ase, se estudia y analiza la documentacin reciida, de modo que tal anlisis
determine a su vez la informacin que deer elaorar el propio auditor. !l cruzamiento de
amos tipos de informacin es una de las ases fundamentales de la auditor$a.
#ae aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por
otro medios la informacin que aquellos preimpresos huieran proporcionado.

Entrevistas:
!l auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres
formas+
C. 2ediante la peticin de documentacin concreta sore alguna materia de su
responsailidad.
D. 2ediante "entrevistas" en las que no se sigue un plan predeterminado ni un m'todo
estricto de sometimiento a un cuestionario.
E. %or medio de entrevistas en las que el auditor sigue un m'todo preestalecido de
antemano y usca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del auditor9 en ellas, 'ste
recoge ms informacin, y me-or matizada, que la proporcionada por medios propios
puramente t'cnicos o por las respuestas escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se asa
fundamentalmente en el concepto de interrogatorio9 es lo que hace un auditor, interroga y se
interroga a s$ mismo. !l auditor informtico e&perto entrevista al auditado siguiendo un
cuidadoso sistema previamente estalecido, consistente en que a-o la forma de una
conversacin correcta y lo menos tensa posile, el auditado conteste sencillamente y con
pulcritud a una serie de preguntas variadas, tami'n sencillas. Sin emargo, esta sencillez es
solo aparente. *ras ella dee e&istir una preparacin muy elaorada y sistematizada, y que es
diferente para cada caso particular.
Checklist:
!l auditor profesional y e&perto es aqu'l que reelaora muchas veces sus cuestionarios en
funcin de los escenarios auditados. *iene claro lo que necesita saer, y por qu'. Sus
cuestionarios son vitales para el traa-o de anlisis, cruzamiento y s$ntesis posterior, lo cual no
quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no
conducen a nada. 2uy por el contrario, el auditor conversar y har preguntas "normales", que
en realidad servirn para la cumplimentacin sistemtica de sus #uestionarios, de sus
#hec;lists.
3ay opiniones que descalifican el uso de las #hec;lists, ya que consideran que leerle una pila
de preguntas recitadas de memoria o le$das en voz alta descalifica al auditor informtico. %ero
esto no es usar #hec;lists, es una evidente falta de profesionalismo. !l profesionalismo pasa
por un procesamiento interno de informacin a fin de otener respuestas coherentes que
permitan una correcta descripcin de puntos d'iles y fuertes. !l profesionalismo pasa por
poseer preguntas muy estudiadas que han de formularse fle&ilemente.
!l con-unto de estas preguntas recie el nomre de #hec;list. Salvo e&cepciones, las
#hec;lists deen ser contestadas oralmente, ya que superan en riqueza y generalizacin a
cualquier otra forma.
Seg(n la claridad de las preguntas y el talante del auditor, el auditado responder desde
posiciones muy distintas y con disposicin muy variale. !l auditado, haitualmente informtico
de profesin, percie con cierta facilidad el perfil t'cnico y los conocimientos del auditor,
precisamente a trav's de las preguntas que 'ste le formula. !sta percepcin configura el
principio de autoridad y prestigio que el auditor dee poseer.
%or ello, aun siendo importante tener elaoradas listas de preguntas muy sistematizadas,
coherentes y clasificadas por materias, todav$a lo es ms el modo y el orden de su formulacin.
Las empresas e&ternas de Auditor$a Informtica guardan sus #hec;lists, pero de poco sirven si
el auditor no las utiliza adecuada y oportunamente. /o dee olvidarse que la funcin auditora
se e-erce sore ases de autoridad, prestigio y 'tica.
!l auditor deer aplicar la #hec;list de modo que el auditado responda clara y escuetamente.
Se deer interrumpir lo menos posile a 'ste, y solamente en los casos en que las respuestas
se aparten sustancialmente de la pregunta. !n algunas ocasiones, se har necesario invitar a
aqu'l a que e&ponga con mayor amplitud un tema concreto, y en cualquier caso, se deer
evitar asolutamente la presin sore el mismo.
Algunas de las preguntas de las #hec;lists utilizadas para cada sector, deen ser repetidas. !n
efecto, a-o apariencia distinta, el auditor formular preguntas equivalentes a las mismas o a
distintas personas, en las mismas fechas, o en fechas diferentes. 0e este modo, se podrn
descurir con mayor facilidad los puntos contradictorios9 el auditor deer analizar los matices
de las respuestas y reelaorar preguntas complementarias cuando hayan e&istido
contradicciones, hasta conseguir la homogeneidad. !l entrevistado no dee perciir un
e&cesivo formalismo en las preguntas. !l auditor, por su parte, tomar las notas imprescindiles
en presencia del auditado, y nunca escriir cruces ni marcar cuestionarios en su presencia.
Los cuestionarios o #hec;lists responden fundamentalmente a dos tipos de "filosof$a" de
calificacin o evaluacin+
a. #hec;list de rango
#ontiene preguntas que el auditor dee puntuar dentro de un rango preestalecido 4por
e-emplo, de C a M, siendo C la respuesta ms negativa y el M el valor ms positivo5
E,emplo de C)ec2list de rango:
Se supone que se est realizando una auditor$a sore la seguridad f$sica de una
instalacin y, dentro de ella, se analiza el control de los accesos de personas y cosas al
#entro de #lculo. %odr$an formularse las preguntas que figuran a continuacin, en
donde las respuestas tiene los siguientes significados+
C + 2uy deficiente.
D + 0eficiente.
E + 2e-orale.
N + Aceptale.
M + #orrecto.
Se figuran posiles respuestas de los auditados. Las preguntas deen sucederse sin
que parezcan encorsetadas ni clasificadas previamente. .asta con que el auditor lleve
un peque)o guin. La cumplimentacin de la #hec;list no dee realizarse en presencia
del auditado.
7=!&iste personal espec$fico de vigilancia e&terna al edificio?
7/o, solamente un guarda por la noche que atiende adems otra instalacin adyacente.
I%untuacin+ CJ
7%ara la vigilancia interna del edificio, =3ay al menos un vigilante por turno en los
aleda)os del #entro de #lculo?
7Si, pero sue a las otras N plantas cuando se le necesita.
I%untuacin+ DJ
7=3ay salida de emergencia adems de la hailitada para la entrada y salida de
mquinas?
7Si, pero e&isten ca-as apiladas en dicha puerta. Algunas veces las quitan.
I%untuacin+ DJ
7!l personal de #omunicaciones, =%uede entrar directamente en la Sala de
#omputadoras?
7/o, solo tiene tar-eta el Oefe de #omunicaciones. /o se la da a su gente mas que por
causa muy -ustificada, y avisando casi siempre al Oefe de !&plotacin.
I%untuacin+ NJ
!l resultado ser$a el promedio de las puntuaciones+ 4C P D P D P N5 GN Q D,DM 0eficiente.
. #hec;list .inaria
!s la constituida por preguntas con respuesta (nica y e&cluyente+ Si o /o. Aritmeticamente,
equivalen a C4uno5 o R4cero5, respectivamente.
E,emplo de C)ec2list (inaria:
Se supone que se est realizando una ,evisin de los m'todos de prueas de programas en el
mito de 0esarrollo de %royectos.
7=!&iste /ormativa de que el usuario final compruee los resultados finales de los programas?
I%untuacin+ CJ
7=#onoce el personal de 0esarrollo la e&istencia de la anterior normativa?
I%untuacin+ CJ
7=Se aplica dicha norma en todos los casos?
I%untuacin+ RJ
7=!&iste una norma por la cual las prueas han de realizarse con -uegos de ensayo o copia de
.ases de 0atos reales?
I%untuacion+ RJ
8s'rvese como en este caso estn contestadas las siguientes preguntas+
7=Se conoce la norma anterior?
I%untuacin+ RJ
7=Se aplica en todos los casos?
I%untuacin+ RJ
Las #hec;lists de rango son adecuadas si el equipo auditor no es muy grande y mantiene
criterios uniformes y equivalentes en las valoraciones. %ermiten una mayor precisin en la
evaluacin que en la chec;list inaria. Sin emargo, la ondad del m'todo depende
e&cesivamente de la formacin y competencia del equipo auditor.
Las #hec;lists .inarias siguen una elaoracin inicial mucho ms ardua y comple-a. 0een ser
de gran precisin, como corresponde a la suma precisin de la respuesta. 1na vez construidas,
tienen la venta-a de e&igir menos uniformidad del equipo auditor y el inconveniente gen'rico del
Isi o noJ frente a la mayor riqueza del intervalo.
/o e&isten #hec;lists estndar para todas y cada una de las instalaciones informticas a
auditar. #ada una de ellas posee peculiaridades que hacen necesarios los retoques de
adaptacin correspondientes en las preguntas a realizar.
Trazas y/o Huellas:
#on frecuencia, el auditor informtico dee verificar que los programas, tanto de los Sistemas
como de usuario, realizan e&actamente las funciones previstas, y no otras. %ara ello se apoya
en productos Soft6are muy potentes y modulares que, entre otras funciones, rastrean los
caminos que siguen los datos a trav's del programa.
2uy especialmente, estas "*razas" se utilizan para comproar la e-ecucin de las validaciones
de datos previstas. Las mencionadas trazas no deen modificar en asoluto el Sistema. Si la
herramienta auditora produce incrementos apreciales de carga, se convendr de antemano
las fechas y horas ms adecuadas para su empleo.
%or lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que
compruean los valores asignados por *'cnica de Sistemas a cada uno de los parmetros
variales de las Lirer$as ms importantes del mismo. !stos parmetros variales deen estar
dentro de un intervalo marcado por el faricante. A modo de e-emplo, algunas instalaciones
descompensan el n(mero de iniciadores de traa-os de determinados entornos o toman
criterios especialmente restrictivos o permisivos en la asignacin de unidades de servicio para
seg(n cuales tipos carga. !stas actuaciones, en principio (tiles, pueden resultar
contraproducentes si se traspasan los l$mites.
/o ostante la utilidad de las *razas, ha de repetirse lo e&puesto en la descripcin de la
auditor$a informtica de Sistemas+ el auditor informtico emplea preferentemente la amplia
informacin que proporciona el propio Sistema+ As$, los ficheros de IAccountingJ o de
IcontailidadJ, en donde se encuentra la produccin completa de aqu'l, y los ILog>J de dicho
Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la actividad
general.
0el mismo modo, el Sistema genera automticamente e&acta informacin sore el tratamiento
de errores de maquina central, perif'ricos, etc.
@La auditor$a financiero7contale convencional emplea trazas con mucha frecuencia. Son
programas encaminados a verificar lo correcto de los clculos de nminas, primas, etc.A.
*0og:
!l log vendr$a a ser un historial que informa que fue camiando y cmo fue camiando
4informacin5. Las ases de datos, por e-emplo, utilizan el log para asegurar lo que se llaman
las transacciones. Las transacciones son unidades atmicas de camios dentro de una ase de
datos9 toda esa serie de camios se encuadra dentro de una transaccin, y todo lo que va
haciendo la Aplicacin 4graar, modificar, orrar5 dentro de esa transaccin, queda graado en
el log. La transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se vuelca
todo a la ase de datos. Si en el medio de la transaccin se cort por & razn, lo que se hace
es volver para atrs. !l log te permite analizar cronolgicamente que es lo que sucedi con la
informacin que est en el Sistema o que e&iste dentro de la ase de datos.
Software de Interroaci!n:
3asta hace ya algunos a)os se han utilizado productos soft6are llamados gen'ricamente
Ipaquetes de auditor$aJ, capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informtico.
2s tarde, dichos productos evolucionaron hacia la otencin de muestreos estad$sticos que
permitieran la otencin de consecuencias e hiptesis de la situacin real de una instalacin.
!n la actualidad, los productos Soft6are especiales para la auditor$a informtica se orientan
principalmente hacia lengua-es que permiten la interrogacin de ficheros y ases de datos de la
empresa auditada. !stos productos son utilizados solamente por los auditores e&ternos, por
cuanto los internos disponen del soft6are nativo propio de la instalacin.
0el mismo modo, la proliferacin de las redes locales y de la filosof$a "#liente7Servidor", han
llevado a las firmas de soft6are a desarrollar interfaces de transporte de datos entre
computadoras personales y mainframe, de modo que el auditor informtico copia en su propia
%# la informacin ms relevante para su traa-o.
#ae recordar, que en la actualidad casi todos los usuarios finales poseen datos e informacin
parcial generada por la organizacin informtica de la #ompa)$a.
!fectivamente, conectados como terminales al "3ost", almacenan los datos proporcionados por
este, que son tratados posteriormente en modo %#. !l auditor se ve oligado 4naturalmente,
dependiendo del alcance de la auditor$a5 a recaar informacin de los mencionados usuarios
finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos. #on
todo, las opiniones ms autorizadas indican que el traa-o de campo del auditor informtico
dee realizarse principalmente con los productos del cliente.
<inalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente
determinadas partes del Informe. %ara ello, resulta casi imprescindile una cierta soltura en el
mane-o de %rocesadores de *e&to, paquetes de Brficos, 3o-as de #lculo, etc.

0etodologa de (rabajo de Auditora Informtica
!l m'todo de traa-o del auditor pasa por las siguientes etapas+
Alcance * /,etivos de la Auditora Informtica.
Estudio inicial del entorno audita/le.
$eterminacin de los recursos necesarios para reali!ar la auditora.
Ela/oracin del plan * de los "rogramas de %ra/a,o.
Actividades propiamente dic)as de la auditora.
Confeccin * redaccin del Informe 3inal.
+edaccin de la Carta de Introduccin o Carta de "resentacin del Informe final.
,efinicin de Alcance # *bjeti"os
!l alcance de la auditor$a e&presa los l$mites de la misma. 0ee e&istir un acuerdo muy preciso
entre auditores y clientes sore las funciones, las materias y las organizaciones a auditar.
A los efectos de acotar el traa-o, resulta muy eneficioso para amas partes e&presar las
e&cepciones de alcance de la auditor$a, es decir cuales materias, funciones u organizaciones
no van a ser auditadas.
*anto los alcances como las e&cepciones deen figurar al comienzo del Informe <inal.
Las personas que realizan la auditor$a han de conocer con la mayor e&actitud posile los
o-etivos a los que su tarea dee llegar. 0een comprender los deseos y pretensiones del
cliente, de forma que las metas fi-adas puedan ser cumplidas.
1na vez definidos los o-etivos 4o-etivos espec$ficos5, 'stos se a)adirn a los o-etivos
generales y comunes de a toda auditor$a Informtica+ La operatividad de los Sistemas y los
#ontroles Benerales de Bestin Informtica.
Estudio Inicial
%ara realizar dicho estudio ha de e&aminarse las funciones y actividades generales de la
informtica.
%ara su realizacin el auditor dee conocer lo siguiente+
*rgani!acin:
%ara el equipo auditor, el conocimiento de qui'n ordena, qui'n dise)a y qui'n e-ecuta
es fundamental. %ara realizar esto en auditor deer fi-arse en+
45 rganigrama:
!l organigrama e&presa la estructura oficial de la organizacin a auditar.
Si se descuriera que e&iste un organigrama fctico diferente al oficial, se pondr de
manifiesto tal circunstancia.
65 $epartamentos:
Se entiende como departamento a los rganos que siguen inmediatamente a la
0ireccin. !l equipo auditor descriir revemente las funciones de cada uno de ellos.
75 +elaciones 8errquicas * funcionales entre rganos de la rgani!acin:
!l equipo auditor verificar si se cumplen las relaciones funcionales y Oerrquicas
previstas por el organigrama, o por el contrario detectar, por e-emplo, si alg(n
empleado tiene dos -efes.
Las de Oerarqu$a implican la correspondiente suordinacin. Las funcionales por el
contrario, indican relaciones no estrictamente suordinales.
9. 3lu,os de Informacin:
Adems de las corrientes verticales intradepartamentales, la estructura organizativa
cualquiera que sea, produce corrientes de informacin horizontales y olicuas
e&tradepartamentales.
Los flu-os de informacin entre los grupos de una organizacin son necesarios para su
eficiente gestin, siempre y cuando tales corrientes no distorsionen el propio
organigrama.
!n ocasiones, las organizaciones crean espontneamente canales alternativos de
informacin, sin los cuales las funciones no podr$an e-ercerse con eficacia9 estos
canales alternativos se producen porque hay peque)os o grandes fallos en la
estructura y en el organigrama que los representa.
8tras veces, la aparicin de flu-os de informacin no previstos oedece a afinidades
personales o simple comodidad. !stos flu-os de informacin son indeseales y
producen graves perturaciones en la organizacin.
:. ;1mero de "uestos de tra/a,o
!l equipo auditor comproar que los nomres de los %uesto de los %uestos de
*raa-o de la organizacin corresponden a las funciones reales distintas.
!s frecuente que a-o nomres diferentes se realicen funciones id'nticas, lo cual indica
la e&istencia de funciones operativas redundantes.
!sta situacin pone de manifiesto deficiencias estructurales9 los auditores darn a
conocer tal circunstancia y e&presarn el n(mero de puestos de traa-o
verdaderamente diferentes.
<. ;1mero de personas por "uesto de %ra/a,o
!s un parmetro que los auditores informticos deen considerar. La inadecuacin del
personal determina que el n(mero de personas que realizan las mismas funciones rara
vez coincida con la estructura oficial de la organizacin.
Entorno *peracional
!l equipo de auditor$a informtica dee poseer una adecuada referencia del entorno en el que
va a desenvolverse.
!ste conocimiento previo se logra determinando, fundamentalmente, los siguientes e&tremos+
a. Situacin geogrfica de los Sistemas+
Se determinar la uicacin geogrfica de los distintos #entros de %roceso de 0atos
en la empresa. A continuacin, se verificar la e&istencia de responsales en cada
unos de ellos, as$ como el uso de los mismos estndares de traa-o.
5 Arquitectura y configuracin de 3ard6are y Soft6are+
#uando e&isten varios equipos, es fundamental la configuracin elegida para cada uno
de ellos, ya que los mismos deen constituir un sistema compatile e intercomunicado.
La configuracin de los sistemas esta muy ligada a las pol$ticas de seguridad lgica de
las compa)$as.
Los auditores, en su estudio inicial, deen tener en su poder la distriucin e
intercone&in de los equipos.
c. Inventario de 3ard6are y Soft6are+
!l auditor recaar informacin escrita, en donde figuren todos los elementos f$sicos y
lgicos de la instalacin. !n cuanto a 3ard6are figurarn las #%1s, unidades de
control local y remotas, perif'ricos de todo tipo, etc.
!l inventario de soft6are dee contener todos los productos lgicos del Sistema, desde
el soft6are sico hasta los programas de utilidad adquiridos o desarrollados
internamente. Suele ser haitual clasificarlos en facturales y no facturales.
d5 #omunicacin y ,edes de #omunicacin+
!n el estudio inicial los auditores dispondrn del n(mero, situacin y caracter$sticas
principales de las l$neas, as$ como de los accesos a la red p(lica de comunicaciones.
Igualmente, poseern informacin de las ,edes Locales de la !mpresa.
Aplicaciones bases de datos # ficheros
!l estudio inicial que han de realizar los auditores se cierra y culmina con una idea
general de los procesos informticos realizados en la empresa auditada. %ara ello
deern conocer lo siguiente+
a. Folumen, antigSedad y comple-idad de las Aplicaciones
. 2etodolog$a del 0ise)o
Se clasificar gloalmente la e&istencia total o parcial de metodolog$a en el desarrollo
de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondr de
manifiesto.
c. 0ocumentacin
La e&istencia de una adecuada documentacin de las aplicaciones proporciona
eneficios tangiles e inmediatos muy importantes.
La documentacin de programas disminuye gravemente el mantenimiento de los
mismos.
d. #antidad y comple-idad de .ases de 0atos y <icheros.
!l auditor recaar informacin de tama)o y caracter$sticas de las .ases de 0atos,
clasificndolas en relacin y -erarqu$as. 3allar un promedio de n(mero de accesos a
ellas por hora o d$as. !sta operacin se repetir con los ficheros, as$ como la
frecuencia de actualizaciones de los mismos.
!stos datos proporcionan una visin aceptale de las caracter$sticas de la carga
informtica.
,eterminacin de recursos de la auditora Informtica
2ediante los resultados del estudio inicial realizado se procede a determinar los
recursos humanos y materiales que han de emplearse en la auditor$a.
+ecursos materiales
!s muy importante su determinacin, por cuanto la mayor$a de ellos son
proporcionados por el cliente. Las herramientas soft6are propias del equipo van a
utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posile
las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos+
a. ,ecursos materiales Soft6are
"rogramas propios de la auditoria: Son muy potentes y <le&iles. 3aitualmente se
a)aden a las e-ecuciones de los procesos del cliente para verificarlos.
=onitores: Se utilizan en funcin del grado de desarrollo oservado en la actividad de
*'cnica de Sistemas del auditado y de la cantidad y calidad de los datos ya e&istentes.
. ,ecursos materiales 3ard6are
Los recursos hard6are que el auditor necesita son proporcionados por el
cliente. Los procesos de control deen efectuarse necesariamente en las
#omputadoras del auditado.
%ara lo cul har de convenir, tiempo de maquina, espacio de disco,
impresoras ocupadas, etc.
+ecursos .umanos
La cantidad de recursos depende del volumen auditale. Las caracter$sticas y perfiles del
personal seleccionado depende de la materia auditale.
!s igualmente rese)ale que la auditor$a en general suele ser e-ercida por profesionales
universitarios y por otras personas de proada e&periencia multidisciplinaria.

-erfiles -orfesionales de los auditores informticos

-rofesin Acti"idades # conocimientos deseables
Informtico Beneralista #on e&periencia amplia en ramas distintas. 0eseale
que su laor se haya desarrollado en !&plotacin y en
0esarrollo de %royectos. #onocedor de Sistemas.
!&perto en 0esarrollo de %royectos Amplia e&periencia como responsale de proyectos.
!&perto analista. #onocedor de las metodolog$as de
0esarrollo ms importantes.
*'cnico de Sistemas !&perto en Sistemas 8perativos y Soft6are .sico.
#onocedor de los productos equivalentes en el
mercado. Amplios conocimientos de !&plotacin.
!&perto en .ases de 0atos y
Administracin de las mismas.
#on e&periencia en el mantenimiento de .ases de
0atos. #onocimiento de productos compatiles y
equivalentes. .uenos conocimientos de e&plotacin
!&perto en Soft6are de #omunicacin Alta especializacin dentro de la t'cnica de sistemas.
#onocimientos profundos de redes. 2uy e&perto en
Susistemas de teleproceso.
!&perto en !&plotacin y Bestin de
#%0TS
,esponsale de alg(n #entro de #lculo. Amplia
e&periencia en Automatizacin de traa-os. !&perto en
relaciones humanas. .uenos conocimientos de los
sistemas.
*'cnico de 8rganizacin !&perto organizador y coordinador. !specialista en el
anlisis de flu-os de informacin.
*'cnico de evaluacin de #ostes !conomista con conocimiento de Informtica. Bestin
de costes.

Elaboracin del -lan # de los programas de trabajo
1na vez asignados los recursos, el responsale de la auditor$a y sus colaoradores estalecen
un plan de traa-o. 0ecidido 'ste, se procede a la programacin del mismo.
!l plan se elaora teniendo en cuenta, entre otros criterios, los siguientes+
a5 Si la ,evisin dee realizarse por reas generales o reas espec$ficas. !n el primer
caso, la elaoracin es ms comple-a y costosa.
5 Si la auditor$a es gloal, de toda la Informtica, o parcial. !l volumen determina no
solamente el n(mero de auditores necesarios, sino las especialidades necesarias del
personal.
!n el plan no se consideran calendarios, porque se mane-an recursos gen'ricos y no
espec$ficos.
!n el %lan se estalecen los recursos y esfuerzos gloales que van a ser necesarios.
!n el %lan se estalecen las prioridades de materias auditales, de acuerdo siempre
con las prioridades del cliente.
!l %lan estalece disponiilidad futura de los recursos durante la revisin.
!l %lan estructura las tareas a realizar por cada integrante del grupo.
!n el %lan se e&presan todas las ayudas que el auditor ha de reciir del auditado.
1na vez elaorado el %lan, se procede a la %rogramacin de actividades. !sta ha de ser lo
suficientemente como para permitir modificaciones a lo largo del proyecto.
Acti"idades de la Auditora Informtica
Auditora por temas generales o por reas especficas:
La auditor$a Informtica general se realiza por reas generales o por reas espec$ficas. Si se
e&amina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total
y mayores recursos.
#uando la auditor$a se realiza por reas espec$ficas, se aarcan de una vez todas las
peculiaridades que afectan a la misma, de forma que el resultado se otiene ms
rpidamente y con menor calidad.
*'cnicas de *raa-o+
7 Anlisis de la informacin recaada del auditado.
7 Anlisis de la informacin propia.
7 #ruzamiento de las informaciones anteriores.
7 !ntrevistas.
7 Simulacin.
7 2uestreos.
3erramientas+
7 #uestionario general inicial.
7 #uestionario #hec;list.
7 !stndares.
7 2onitores.
7 Simuladores 4Beneradores de datos5.
7 %aquetes de auditor$a 4Beneradores de %rogramas5.
7 2atrices de riesgo.

Informe 1inal
La funcin de la auditor$a se materializa e&clusivamente por escrito. %or lo tanto la elaoracin
final es el e&ponente de su calidad.
,esulta evidente la necesidad de redactar orradores e informes parciales previos al informe
final, los que son elementos de contraste entre opinin entre auditor y auditado y que pueden
descurir fallos de apreciacin en el auditor.
Estructura del informe final:
!l informe comienza con la fecha de comienzo de la auditor$a y la fecha de redaccin del
mismo. Se incluyen los nomres del equipo auditor y los nomres de todas las personas
entrevistadas, con indicacin de la -efatura, responsailidad y puesto de traa-o que ostente.
$efinicin de o/,etivos * alcance de la auditora.
Enumeracin de temas considerados:
Antes de tratarlos con profundidad, se enumerarn lo ms e&haustivamente posile todos los
temas o-eto de la auditor$a.
Cuerpo e-positivo:
%ara cada tema, se seguir el siguiente orden a saer+
a5 Situacin actual. #uando se trate de una revisin peridica, en la que se analiza no
solamente una situacin sino adems su evolucin en el tiempo, se e&pondr la
situacin prevista y la situacin real
5 *endencias. Se tratarn de hallar parmetros que permitan estalecer tendencias futuras.
c5 %untos d'iles y amenazas.
d5 ,ecomendaciones y planes de accin. #onstituyen -unto con la e&posicin de puntos
d'iles, el verdadero o-etivo de la auditor$a informtica.
e5 ,edaccin posterior de la #arta de Introduccin o %resentacin.
"odelo conce#tual de la e$#osici!n del informe final:
7 !l informe dee incluir solamente hechos importantes.
La inclusin de hechos poco relevantes o accesorios desv$a la atencin del lector.
7 !l Informe dee consolidar los hechos que se descrien en el mismo.
!l t'rmino de "hechos consolidados" adquiere un especial significado de verificacin o-etiva y
de estar documentalmente proados y soportados. La consolidacin de los hechos dee
satisfacer, al menos los siguientes criterios+
C. !l hecho dee poder ser sometido a camios.
D. Las venta-as del camio deen superar los inconvenientes derivados de mantener la
situacin.
E. /o deen e&istir alternativas viales que superen al camio propuesto.
N. La recomendacin del auditor sore el hecho dee mantener o me-orar las normas y
estndares e&istentes en la instalacin.
La aparicin de un hecho en un informe de auditor$a implica necesariamente la e&istencia de
una deilidad que ha de ser corregida.
<lu-o del hecho o deilidad+
C K 3echo encontrado.
7 3a de ser relevante para el auditor y pera el cliente.
7 3a de ser e&acto, y adems convincente.
7 /o deen e&istir hechos repetidos.
D K #onsecuencias del hecho
7 Las consecuencias deen redactarse de modo que sean directamente
deduciles del hecho.
E K ,epercusin del hecho
7 Se redactar las influencias directas que el hecho pueda tener sore
otros aspectos informticos u otros mitos de la empresa.
N K #onclusin del hecho
7 /o deen redactarse conclusiones ms que en los casos en que la
e&posicin haya sido muy e&tensa o comple-a.
M K ,ecomendacin del auditor informtico
7 0eer entenderse por s$ sola, por simple lectura.
7 0eer estar suficientemente soportada en el propio te&to.
7 0eer ser concreta y e&acta en el tiempo, para que pueda ser verificada su
implementacin.
7 La recomendacin se redactar de forma que vaya dirigida
e&presamente a la persona o personas que puedan implementarla.
Carta de introduccin o presentacin del informe final:
La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditor$a
realizada. Se destina e&clusivamente al responsale m&imo de la empresa, o a la persona
concreta que encargo o contrato la auditor$a.
As$ como pueden e&istir tantas copias del informe <inal como solicite el cliente, la auditor$a no
har copias de la citada carta de Introduccin.
La carta de introduccin poseer los siguientes atriutos+
*endr como m&imo N folios.
Incluir fecha, naturaleza, o-etivos y alcance.
#uantificar la importancia de las reas analizadas.
%roporcionar una conclusin general, concretando las reas de gran deilidad.
%resentar las deilidades en orden de importancia y gravedad.
!n la carta de Introduccin no se escriirn nunca recomendaciones.

%+0+ 2%omputer resource management re"iew3
,efinicin de la metodologa %+0+:
#,2, son las siglas de II#omputer resource management revie6JJ9 su traduccin ms
adecuada, !valuacin de la gestin de recursos informticos. !n cualquier caso, esta
terminolog$a quiere destacar la posiilidad de realizar una evaluacin de eficiencia de
utilizacin de los recursos por medio del management.
1na revisin de esta naturaleza no tiene en s$ misma el grado de profundidad de una auditor$a
informtica gloal, pero proporciona soluciones ms rpidas a prolemas concretos y notorios.
&upuestos de aplicacin:
!n funcin de la definicin dada, la metodolog$a areviada #,2, es aplicale ms a
deficiencias organizativas y gerenciales que a prolemas de tipo t'cnico, pero no cure
cualquier rea de un #entro de %rocesos de 0atos.
!l m'todo #,2, puede aplicarse cuando se producen algunas de las situaciones que se citan+
Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.
Los resultados del #entro de %rocesos de 0atos no estn a disposicin de los usuarios
en el momento oportuno.
Se genera con alguna frecuencia informacin errnea por fallos de datos o proceso.
!&isten sorecargas frecuentes de capacidad de proceso.
!&isten costes e&cesivos de proceso en el #entro de %roceso de 0atos.
!fectivamente, son 'stas y no otras las situaciones que el auditor informtico encuentra con
mayor frecuencia. Aunque pueden e&istir factores t'cnicos que causen las deilidades
descritas, hay que convenir en la mayor incidencia de fallos de gestin.
Areas de aplicacin:
Las reas en que el m'todo #,2, puede ser aplicado se corresponden con las su-etas a las
condiciones de aplicacin se)aladas en punto anterior+
Bestin de 0atos.
#ontrol de 8peraciones.
#ontrol y utilizacin de recursos materiales y humanos.
Interfaces y relaciones con usuarios.
%lanificacin.
8rganizacin y administracin.
#iertamente, el #,2, no es adecuado para evaluar la procedencia de adquisicin de nuevos
equipos 4#apacity %lanning5 o para revisar muy a fondo los caminos cr$ticos o las holguras de
un %royecto comple-o.
*bjeti"os:
#,2, tiene como o-etivo fundamental evaluar el grado de ondad o ineficiencia de los
procedimientos y m'todos de gestin que se oservan en un #entro de %roceso de 0atos. Las
,ecomendaciones que se emitan como resultado de la aplicacin del #,2,, tendrn como
finalidad algunas de las que se relacionan+
Identificar y fi-as responsailidades.
2e-orar la fle&iilidad de realizacin de actividades.
Aumentar la productividad.
0isminuir costes
2e-orar los m'todos y procedimientos de 0ireccin.
Alcance:
Se fi-arn los l$mites que aarcar el #,2,, antes de comenzar el traa-o.
Se estalecen tres clases+
C. ,educido. !l resultado consiste en se)alar las reas de actuacin con potencialidad
inmediata de otencin de eneficios.
D. 2edio. !n este caso, el #,2, ya estalece conclusiones y ,ecomendaciones, tal y
como se hace en la auditor$a informtica ordinaria.
E. Amplio. !l #,2, incluye %lanes de Accin, aportando t'cnicas de implementacin de
las ,ecomendaciones, a la par que desarrolla las conclusiones.
Informacin necesaria para la e"aluacin del %+0+:
Se determinan en este punto los requisitos necesarios para que esta simiosis de auditor$a y
consultor$a pueda llevarse a cao con '&ito.
C. !l traa-o de campo del #,2, ha de realizarse completamente integrado en la
estructura del #entro de %roceso de 0atos del cliente, y con los recursos de 'ste.
D. Se deer cumplir un detallado programa de traa-o por tareas.
E. !l auditor7consultor recaar determinada informacin necesaria del cliente.
Se tratan a continuacin los tres requisitos e&puestos+

4. Integracin del auditor en el Centro de "rocesos de $atos a revisar
/o dee olvidarse que se estn evaluando actividades desde el punto de vista
gerencial. !l contacto permanente del auditor con el traa-o ordinario del #entro de
%roceso de 0atos permite a aqu'l determinar el tipo de esquema organizativo que se
sigue.
6. "rograma de tra/a,o clasificado por tareas
*odo traa-o har de ser descompuesto en tareas. #ada una de ellas se someter a la
siguiente sistemtica+
Identificacin de la tarea.
0escripcin de la tarea.
0escripcin de la funcin de direccin cuando la tarea se realiza incorrectamente.
0escripcin de venta-as, sugerencias y eneficios que puede originar un camio o
modificacin de tarea
*est para la evaluacin de la prctica directiva en relacin con la tarea.
%osiilidades de agrupacin de tareas.
A-ustes en funcin de las peculiaridades de un departamento concreto.
,egistro de resultados, conclusiones y ,ecomendaciones.
4. Informacin necesaria para la reali!acin del C+=+
!l cliente es el que facilita la informacin que el auditor contrastar con su traa-o de campo.
Se e&hie a continuacin una #hec;list completa de los datos necesarios para confeccionar el
#,2,+
0atos de mantenimiento preventivo de 3ard6are.
Informes de anomal$as de los Sistemas.
%rocedimientos estndar de actualizacin.
%rocedimientos de emergencia.
2onitarizacin de los Sistemas.
Informes del rendimiento de los Sistemas.
2antenimiento de las Lirer$as de %rogramas.
Bestin de !spacio en disco.
0ocumentacin de entrega de Aplicaciones a !&plotacin.
0ocumentacin de alta de cadenas en !&plotacin.
1tilizacin de #%1, canales y discos.
0atos de paginacin de los Sistemas.
Folumen total y lire de almacenamiento.
8cupacin media de disco.
2anuales de %rocedimientos de !&plotacin.
!sta informacin cure ampliamente el espectro del #,2, y permite e-ercer el seguimiento de
las ,ecomendaciones realizadas.
%aso -rctico de una Auditora de &eguridad Informtica 44%iclo de &eguridad55
A continuacin, un caso de auditor$a de rea general para proporcionar una visin ms
desarrollada y amplia de la funcin auditora.
!s una auditor$a de Seguridad Informtica que tiene como misin revisar tanto la seguridad
f$sica del #entro de %roceso de 0atos en su sentido ms amplio, como la seguridad lgica de
datos, procesos y funciones informticas ms importantes de aqu'l.
%iclo de &eguridad
!l o-etivo de esta auditor$a de seguridad es revisar la situacin y las cuotas de eficiencia de la
misma en los rganos ms importantes de la estructura informtica.
%ara ello, se fi-an los supuestos de partida+
!l rea auditada es la Seguridad. !l rea a auditar se divide en+ Segmentos.
Los segmentos se dividen en+ Secciones.
Las secciones se dividen en+ Su/secciones.
0e este modo la auditor$a se realizara en E niveles.
Los segmentos a auditar, son+
Segmento C+ Seguridad de cumplimiento de normas y estndares.
Segmento D+ Seguridad de Sistema 8perativo.
Segmento E+ Seguridad de Soft6are.
Segmento N+ Seguridad de #omunicaciones.
Segmento M+ Seguridad de .ase de 0atos.
Segmento H+ Seguridad de %roceso.
Segmento U+ Seguridad de Aplicaciones.
Segmento V+ Seguridad <$sica.
Se darn los resultados gloales de todos los segmentos y se realizar un tratamiento
e&haustivo del Segmento V, a nivel de seccin y suseccin.
#onceptualmente la auditoria informtica en general y la de Seguridad en particular, ha de
desarrollarse en seis fases ien diferenciadas+
1ase 6. #ausas de la realizacin del ciclo de seguridad.
1ase 7. !strategia y log$stica del ciclo de seguridad.
1ase 8. %onderacin de sectores del ciclo de seguridad.
1ase 9. 8perativa del ciclo de seguridad.
1ase :. #lculos y resultados del ciclo de seguridad.
1ase ;. #onfeccin del informe del ciclo de seguridad.

A su vez, las actividades auditoras se realizan en el orden siguiente+
C. #omienzo del proyecto de Auditor$a Informtica.
D. Asignacin del equipo auditor.
E. Asignacin del equipo interlocutor del cliente.
N. #umplimentacin de formularios gloales y parciales por parte del cliente.
M. Asignacin de pesos t'cnicos por parte del equipo auditor.
H. Asignacin de pesos pol$ticos por parte del cliente.
U. Asignacin de pesos finales a segmentos y secciones.
V. %reparacin y confirmacin de entrevistas.
W. !ntrevistas, confrontaciones y anlisis y repaso de documentacin.
CR. #alculo y ponderacin de susecciones, secciones y segmentos.
CC. Identificacin de reas me-orales.
CD. !leccin de las reas de actuacin prioritaria.
CE. %reparacin de recomendaciones y orrador de informe
CN. 0iscusin de orrador con cliente.
CM. !ntrega del informe.
%ausas de reali!acin de una Auditora de &eguridad
!sta constituye la <AS! R de la auditor$a y el orden R de actividades de la misma.
!l equipo auditor dee conocer las razones por las cuales el cliente desea realizar el #iclo de
Seguridad. %uede haer muchas causas+ ,eglas internas del cliente, incrementos no previstos
de costes, oligaciones legales, situacin de ineficiencia gloal notoria, etc.
0e esta manera el auditor conocer el entorno inicial. As$, el equipo auditor elaorar el %lan
de *raa-o.
Estrategia # logstica del ciclo de &eguridad
#onstituye la <AS! C del ciclo de seguridad y se desarrolla en las actividades C, D y E+
<ase C. Estrategia * logstica del ciclo de seguridad
C. 0esignacin del equipo auditor.
D. Asignacin de interlocutores, validadores y decisores del cliente.
E. #umplimentacin de un formulario general por parte del cliente, para la realizacin del
estudio inicial.
#on las razones por las cuales va a ser realizada la auditor$a 4<ase R5, el equipo auditor dise)a
el proyecto de #iclo de Seguridad con arreglo a una estrategia definida en funcin del volumen
y comple-idad del traa-o a realizar, que constituye la <ase C del punto anterior.
%ara desarrollar la estrategia, el equipo auditor necesita recursos materiales y humanos. La
adecuacin de estos se realiza mediante un desarrollo log$stico, en el que los mismos deen
ser determinados con e&actitud. La cantidad, calidad, coordinacin y distriucin de los
mencionados recursos, determina a su vez la eficiencia y la econom$a del %royecto.
Los planes del equipo auditor se desarrolla de la siguiente manera+
C. !ligiendo el responsale de la auditoria su propio equipo de traa-o. !ste ha de ser
heterog'neo en cuanto a especialidad, pero compacto.
D. ,ecaando de la empresa auditada los nomres de las personas de la misma que han
de relacionarse con los auditores, para las peticiones de informacin, coordinacin de
entrevistas, etc.
E. 2ediante un estudio inicial, del cual forma parte el anlisis de un formulario e&haustivo,
tami'n inicial, que los auditores entregan al cliente para su cumplimentacin.
Seg(n los planes marcados, el equipo auditor, cumplidos los requisitos C, D y E, estar
en disposicin de comenzar la "tarea de campo", la operativa auditora del #iclo de
Seguridad.
-onderacin de los &ectores Auditados
!ste constituye la <ase D del %royecto y engloa las siguientes actividades+
1A&E 8. "onderacin de sectores del ciclo de seguridad.
N. Asignacin de pesos t'cnicos. Se entienden por tales las ponderaciones que el equipo
auditor hace de los segmentos y secciones, en funcin de su importancia.
M. Asignacin de pesos pol$ticos. Son las mismas ponderaciones anteriores, pero
evaluadas por el cliente.
H. Asignacin de pesos finales a los Segmentos y Secciones. !l peso final es el promedio
del peso t'cnico y del peso pol$tico. La Susecciones se calculan pero no se ponderan.
Se pondera la importancia relativa de la seguridad en los diversos sectores de la
organizacin informtica auditada.
Las asignaciones de pesos a Secciones y Segmentos del rea de seguridad que se
audita, se realizan del siguiente modo+
%esos t&cnicos
Son los coeficientes que el equipo auditor asigna a los Segmentos y a las Secciones.
%esos #olticos
Son los coeficientes o pesos que el cliente concede a cada Segmento y a cada Seccin
del #iclo de Seguridad.
%iclo de &eguridad. &uma -esos &egmentos < 766
2con independencia del n=mero de segmentos consideradas3
Segmentos %esos *'cnicos %esos %ol$ticos %esos <inales
SegC. /ormas y !stndares CD V CR
SegD. Sistema 8perativo CR CR CR
SegE. Soft6are .sico CR CN CD
SegN. #omunicaciones CD CD CD
SegM. .ases de 0atos CD CD CD
SegH. %rocesos CH CD CN
SegU. Aplicaciones CH CH CH
SegV. Seguridad <$sica CD CH CN
(*(A> 766 766 766
%esos finales
Son el promedio de los pesos anteriores.
!l total de los pesos de los V segmentos es CRR. !ste total de CRR puntos es el que se
ha asignado a la totalidad del rea de Seguridad, como podr$a haerse elegido otro
cualquiera. !l total de puntos se mantiene cualquiera que huiera sido el n(mero de
segmentos. Si huieran e&istido cinco segmentos, en lugar de V, la suma de los cinco
har$a de seguir siendo de CRR puntos.
Suma %eso Secciones Q DR
4con independencia del n(mero de Secciones consideradas5
&ecciones -esos (/cnicos -esos -olticos -esos 1inales
SeccC. Seg. <$sica de 0atos H H H
SeccD. #ontrol de Accesos M E N
SeccE. !quipos H N M
SeccN. 0ocumentos D N E
SeccM. Suministros C E D
*8*AL DR DR DR
%uede oservarse la diferente apreciacin de pesos por parte del cliente y del equipo
auditor. 2ientras 'stos estiman que las /ormas y !stndares y los %rocesos son muy
importantes, el cliente no los considera tanto, a la vez que prima, tal vez
e&cesivamente, el Soft6are .sico.
0el mismo modo, se concede a todos los segmentos el mismo valor total que se desee,
por e-emplo DR, con asoluta independencia del n(mero de Secciones que tenga cada
Segmento. !n este caso, se han definido y pesado cinco Secciones del Segmento de
Seguridad <$sica. #ae aclarar, solo se desarroll un solo Segmento a modo de
e-emplo.
*perati"a del ciclo de &eguridad
1na vez asignados los pesos finales a todos los Segmentos y Secciones, se comienza
la <ase E, que implica las siguientes actividades+
1A&E 9. perativa del ciclo de seguridad
U. %reparacin y confirmacin de entrevistas.
V. !ntrevistas, prueas, anlisis de la informacin, cruzamiento y repaso de la misma.
Las entrevistas deen realizarse con e&actitud. !l responsale del equipo auditor designar a
un encargado, dependiendo del rea de la entrevista. !ste, por supuesto, deer conocer a
fondo la misma.
La realizacin de entrevistas adecuadas constituye uno de los factores fundamentales del '&ito
de la auditor$a. La adecuacin comienza con la completa cooperacin del entrevistado. Si esta
no se produce, el responsale lo har saer al cliente.
0een realizarse varias entrevistas del mismo tema, al menos a dos o tres niveles -errquicos
distintos. !l mismo auditor puede, y en ocasiones es conveniente, entrevistar a la misma
persona sore distintos temas. Las entrevistas deen realizarse de acuerdo con el plan
estalecido, aunque se pueden llegar a agregar algunas adicionales y sin planificacin.
La entrevista concreta suele aarcar Susecciones de una misma Seccin tal vez una seccin
completa. #omenzada la entrevista, el auditor o auditores formularn preguntas alGlos
entrevistadoGs. 0ee identificarse quien ha dicho qu', si son ms de una las personas
entrevistadas.
Las #hec;listXs son (tiles y en muchos casos imprescindiles. *erminadas las entrevistas, el
auditor califica las respuestas del auditado 4no dee estar presente5 y procede al levantamiento
de la informacin correspondiente.
Simultneamente a las entrevistas, el equipo auditor realiza prueas planeadas y prueas
sorpresa para verificar y cruzar los datos solicitados y facilitados por el cliente. !stas prueas
se realizan e-ecutando traa-os propios o repitiendo los de aqu'l, que indefectilemente
deern ser similares si se han reproducido las condiciones de carga de los Sistemas
auditados. Si las prueas realizadas por el equipo auditor no fueran consistentes con la
informacin facilitada por el auditado, se deer recaar nueva informacin y reverificar los
resultados de las prueas auditoras.
La evaluacin de las #hec;lists, las prueas realizadas, la informacin facilitada por el cliente y
el anlisis de todos los datos disponiles, configuran todos los elementos necesarios para
calcular y estalecer los resultados de la auditoria, que se materializarn en el informe final.
A continuacin, un e-emplo de auditor$a de la Seccin de #ontrol de Accesos del Segmento de
Seguridad <$sica+
>amos a dividir a la Seccin de Control de Accesos en cuatro Su/secciones:
C. Autorizaciones
D. #ontroles Automticos
E. Figilancia
N. ,egistros
!n las siguientes #hec;lists, las respuestas se calificarn de C a M, siendoC la ms deficiente y
M la m&ima puntuacin.
#ontrol de Accesos+ Autori!aciones
%reguntas ,espuestas %untos
=!&iste un (nico responsale de implementar la
pol$tica de autorizaciones de entrada en el #entro
de #lculo?
Si, el Oefe de !&plotacin, pero el 0irector
puede acceder a la Sala con acompa)antes sin
previo aviso.
N
=!&iste alguna autorizacin permanente de
estancia de personal a-eno a la empresa?
1na sola. !l t'cnico permanente de la firma
suministradora.
M
=:ui'nes saen cuales son las personas
autorizadas?
!l personal de vigilancia y el Oefe de !&plo7
tacin.
M
Adems de la tar-eta magn'tica de identifica7cin,
=hay que pasar otra especial?
/o, solamente la primera. N
=Se pregunta a las visitas si piensan visitar el
#entro de #lculo?
/o, vale la primera autorizacin. E
=Se preveen las visitas al #entro de #lculo con
DN horas al menos?
/o, asta que vayan acompa)ados por el Oefe
de !&plotacin o 0irector
E
(*(A> A?(*+I@A%I*'E&
8:/96
A6B

#ontrol de Accesos+ %ontroles Automticos
%reguntas ,espuestas %untos
=#ree 1d. que los #ontroles Automticos son
adecuados?
Si, aunque ha de reconocerse que a pie
puede llegarse por la noche hasta el edificio
principal.
E
=:uedan registradas todas las entradas y salidas del
#entro de #lculo?
/o, solamente las del personal a-eno a
8peracin.
E
Al final de cada turno, =Se controla el n(mero de
entradas y salidas del personal de 8peracin?
S$, y los vigilantes los reverifican. M
=%uede salirse del #entro de #lculo sin tar-eta
magn'tica?
Si, porque e&iste otra puerta de emergen7cia
que puede arirse desde adentro
E
(*(A> %*'(+*>E& A?(*0A(I%*&
7:/86
C6B

#ontrol de Accesos+ Digilancia
%reguntas ,espuestas %untos
=3ay vigilantes las DN horas? S$. M
=!&isten circuitos cerrados de *F e&teriores? S$. M
Identificadas las visitas, =Se les acompa)a hasta la
persona que desean ver?
/o. D
=#onocen los vigilantes los terminales que deen
quedar encendidos por la noche?
/o, ser$a muy complicado. D
(*(A> DI)I>A'%IA
7:/86
C6B
#ontrol de Accesos+ +egistros
%reguntas ,espuestas %untos
=!&iste una adecuada pol$tica de registros? /o, reconocemos que casi nunca, pero
hasta ahora no ha haido necesidad.
C
=Se ha registrado alguna vez a una persona? /unca. C
=Se aren todos los paquetes dirigidos a personas
concretas y no a Informtica?
#asi nunca. C
=3ay un cuarto para arir los paquetes? Si, pero no se usa siempre. E
(*(A> +E)I&(+*&
E/86
96B

%lculos # +esultados del %iclo de &eguridad
1A&E :. Clculos * resultados del ciclo de seguridad
C. #lculo y ponderacin de Secciones y Segmentos. Las Susecciones no se ponderan,
solo se calculan.
D. Identificacin de materias me-orales.
E. %riorizacin de me-oras.
!n el punto anterior se han realizado las entrevistas y se han puntuado las respuestas de toda
la auditor$a de Seguridad.
!l traa-o de levantamiento de informacin est concluido y contrastado con las prueas. A
partir de ese momento, el equipo auditor tiene en su poder todos los datos necesarios para
elaorar el informe final. Solo faltar$a calcular el porcenta-e de ondad de cada rea9 'ste se
otiene calculando el sumatorio de las respuestas otenidas, recordando que deen afectarse
a sus pesos correspondientes.
1na vez realizado los clculos, se ordenaran y clasificaran los resultados otenidos por
materias me-orales, estaleciendo prioridades de actuacin para lograrlas.
Clculo del e,emplo de las Su/secciones de la Seccin de Control de Accesos:
Autorizaciones VRY
#ontroles Automticos URY
Figilancia URY
,egistros ERY
-romedio de %ontrol de Accesos E8$;B
#ae recordar, que dentro del Segmento de Seguridad <$sica, la Seccin de #ontrol de
Accesos tiene un peso final de N.
%rosiguiendo con el e-emplo, se procedi a la evaluacin de las otras cuatro Secciones,
oteni'ndose los siguientes resultados+




#iclo de Seguridad+ &egmento A$ &eguridad 1sica.
Secciones %eso %untos
Seccin C. 0atos H MU,MY
Seccin D. #ontrol de Accesos N HD,MY
Seccin E. !quipos 4#entro de #lculo5 M URY
Seccin N. 0ocumentos E MD,MY
Seccin M. Suministros D NU,DY
#onocidas los promedios y los pesos de las cinco Secciones, se procede a calcular y ponderar
el Segmento V de Seguridad <$sica+
Seg. V Q %romedioSeccinC > peso P %romedioSeccD > peso P %romSeccE > peso P
%romSeccN > peso P %romSeccM > peso G 4pesoC P pesoD P pesoE P pesoN P pesoM5

Seg. V Q 4MU,M > H5 P 4HD,M > N5 P 4UR > M5 P 4MD,M > E5 P 4NU,D > D5 G DR
Seg. V Q MW,VMY
A continuacin, la evaluacin final de los dems Segmentos del ciclo de Seguridad+
#iclo de Seguridad. !valuacin y pesos de Segmentos
Segmentos %esos !valuacin
SegC. /ormas y !stndares CR HCY
SegD. Sistema 8perativo CR WRY
SegE. Soft6are .sico CD UDY
SegN. #omunicaciones CD MMY
SegM. .ases de 0atos CD UU,MY
SegH. %rocesos CN MC,DY
SegU. Aplicaciones CH MR,MY
SegV. Seguridad <$sica CN MW,VY
-romedio (otal Area de &eguridad 766 E9$9B
Sistemtica seguida para el clculo * evaluacin del Ciclo de Seguridad:
a. Faloracin de las respuestas a las preguntas espec$ficas realizadas en las entrevistas y
a los cuestionarios formulados por escrito.
. #lculo matemtico de todas las susecciones de cada seccin, como media aritm'tica
4promedio final5 de las preguntas espec$ficas. ,ecu'rdese que las susecciones no se
ponderan.
c. #lculo matemtico de la Seccin, como media aritm'tica 4promedio final5 de sus
Susecciones. La Seccin calculada tiene su peso correspondiente.
d. #lculo matemtico del Segmento. #ada una de las Secciones que lo componen se
afecta por su peso correspondiente. !l resultado es el valor del Segmento, el cual, a su
vez, tiene asignado su peso.
e. #lculo matemtico de la auditor$a. Se multiplica cada valor de los Segmentos por sus
pesos correspondientes, la suma total otenida se divide por el valor fi-o asignado a
priori a la suma de los pesos de los segmentos.
<inalmente, se procede a mostrar las reas auditadas con grficos de arras, e&poni'ndose
primero los Segmentos, luego las Secciones y por (ltimo las Susecciones. !n todos los casos
s' referenciarn respecto a tres zonas+ ro-a, amarilla y verde.
La zona ro-a corresponde a una situacin de deilidad que requiere acciones a corto plazo.
Sern las ms prioritarias, tanto en la e&posicin del Informe como en la toma de medidas para
la correccin.
La zona amarilla corresponde a una situacin discreta que requiere acciones a medio plazo,
figurando a continuacin de las contenidas en la zona ro-a.
La zona verde requiere solamente alguna accin de mantenimiento a largo plazo.
%ore Insuficiente Sufic. Adecuado uena !&cel.

%onfeccin del Informe del %iclo de &eguridad
<aseM. Confeccin del informe del ciclo de seguridad
C. %reparacin de orrador de informe y ,ecomendaciones.
D. 0iscusin del orrador con el cliente.
E. !ntrega del Informe y #arta de Introduccin.
3a de resaltarse la importancia de la discusin de los orradores parciales con el cliente. La
referencia al cliente dee entenderse como a los responsales directos de los segmentos. !s
de destacar que si huiese acuerdo, es posile que el auditado redacte un contrainforme del
punto cuestionado. !ste acta se incorporar al Informe <inal.
Las ,ecomendaciones del Informe son de tres tipos+
C. ,ecomendaciones correspondientes a la zona ro-a. Sern muy detalladas e irn en
primer lugar, con la m&ima prioridad. La redaccin de las recomendaciones se har de
modo que sea simple verificar el cumplimiento de la misma por parte del cliente.
D. ,ecomendaciones correspondientes a la zona amarilla. Son las que deen oservarse
a medio plazo, e igualmente irn priorizadas.
E. ,ecomendaciones correspondientes a la zona verde. Suelen referirse a medidas de
mantenimiento. %ueden ser omitidas. %uede detallarse alguna de este tipo cuando una
accin sencilla y econmica pueda originar eneficios importantes.
Empresas ue reali!an auditoras externas:
Arthur Andersen+
*iene NDR oficinas en todo el mundo, casi NR.RRR profesionales, y factura alrededor de D,V
illones de dlares anuales. Invierte DMR millones de dlares por a)o en educacin y
capacitacin a medida. 2enos del uno por ciento del presupuesto para entrenamiento se gasta
fuera de la organizacin, aunque la cuota de educacin que cada profesional recie es
prcticamente equivalente a un "master" norteamericano. Se dictan los cursos de la compa)$a
en el multimillonario #entro para la #apacitacin %rofesional que Arthur Andersen posee cerca
de #hicago, con capacidad para C.URR estudiantes con cama y comida. !n la Argentina, como
en muchos otros mercados comple-os, Arthur Andersen comina el tradicional papel de auditor
con un rol ms creativo como conse-ero, en el cual la firma ayuda a sus clientes a me-orar sus
operaciones a trav's de la generacin de ideas nuevas y me-oras en sistemas y prcticas
comerciales. !ste punto de vista en materia auditora permite que las dos unidades de la firma
puedan, en muchos casos, traa-ar -untas en la elaoracin de proyectos especiales para
empresasGclientes.
%rice Zaterhouse+
0e llegar a fusionarse con la empresa consultora #oopers [ Lyrand, tendr$an una fuerza de
traa-o de CEM.RRR personas, V.MRR socios y una facturacin anual superior a los CE.RRR
millones de dlares. Adems, el gigante Andersen pasar$a a ocupar el segundo lugar en el
rn;ing de los Seis Brandes Internacionales.
!rnst [ \oung, etc.







%onclusin:
%rincipalmente, con la realizacin de este traa-o prctico, la principal conclusin a la que
hemos podido llegar, es que toda empresa, p(lica o privada, que posean Sistemas de
Informacin medianamente comple-os, deen de someterse a un control estricto de evaluacin
de eficacia y eficiencia. 3oy en d$a, el WR por ciento de las empresas tienen toda su informacin
estructurada en Sistemas Informticos, de aqu$, la vital importancia que los sistemas de
informacin funcionen correctamente. La empresa hoy, deeGprecisa informatizarse. !l '&ito de
una empresa depende de la eficiencia de sus sistemas de informacin. 1na empresa puede
tener un staff de gente de primera, pero tiene un sistema informtico propenso a errores, lento,
vulnerale e inestale9 si no hay un alance entre estas dos cosas, la empresa nunca saldr a
adelante. !n cuanto al traa-o de la auditor$a en s$, podemos remarcar que se precisa de gran
conocimiento de Informtica, seriedad, capacidad, minuciosidad y responsailidad9 la auditor$a
de Sistemas dee hacerse por gente altamente capacitada, una auditor$a mal hecha puede
acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas.

*raa-o enviado por+
canaves]infovia.com.ar