TABLA

Auditoria informatica

4 DE NOVIEMBRE DE 2015
LEYVER FRANCO
SENA

Introduccin
Se define a las tcnicas de auditoria como los mtodos prcticos de investigacin
y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente
sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, segn las
circunstancias.
Al aplicar su conocimiento y experiencia el auditor, podr conocer los datos de la
empresa u organizacin a ser auditada, que pudieran necesitar una mayor
atencin.
Las tcnicas procedimientos estn estrechamente relacionados, si las tcnicas no
son elegidas adecuadamente, la auditoria no alcanzar las normas aceptadas de
ejecucin, por lo cual las tcnicas as como los procedimientos de auditoria tienen
una gran importancia para el auditor.
Segn el IMCP en su libro Normas y procedimientos de auditoria las tcnicas se
clasifican generalmente con base en la accin que se va a efectuar, estas
acciones pueden ser oculares, verbales, por escrito, por revisin del contenido de
documentos y por examen fsico.
Siguiendo esta clasificacin las tcnicas de auditoria se agrupan especficamente
de la siguiente manera:
Estudio General
Anlisis
Inspeccin
Confirmacin
Investigacin
Declaracin
Certificacin
Observacin
Clculo

Caractersticas de la Auditoria Informtica:

La informacin de la empresa y para la empresa, siempre importante, se ha
convertido en un Activo Real de la misma, como sus Stocks o materias primas si

las hay. Por ende, han de realizarse inversiones informticas, materia de la que se
ocupa la Auditoria de Inversin Informtica.
Del mismo modo, los Sistemas Informticos han de protegerse de modo global y
particular: a ello se debe la existencia de la Auditoria de Seguridad Informtica en
general, o a la auditoria de Seguridad de alguna de sus reas, como pudieran ser
Desarrollo o Tcnica de Sistemas.
Cuando se producen cambios estructurales en la Informtica, se reorganiza de
alguna forma su funcin: se est en el campo de la Auditoria de Organizacin
Informtica.
Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan
en una auditoria parcial. De otra manera: cuando se realiza una auditoria del rea
de Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese
Desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de
inversiones, o de seguridad, o alguna mezcla de ellas.
Procedimientos.
Al conjunto de tcnicas de investigacin aplicables a un grupo de hechos o
circunstancias que nos sirven para fundamentar la opinin del auditor dentro de
una auditoria, se les dan el nombre de procedimientos de auditoria en informtica.
La combinacin de dos o ms procedimientos, derivan en programas de auditoria,
y al conjunto de programas de auditoria se le denomina plan de auditoria, el cual
servir al auditor para llevar una estrategia y organizacin de la propia auditoria.
El auditor no puede obtener el conocimiento que necesita para sustentar su
opinin en una sola prueba, es necesario examinar los hechos, mediante varias
tcnicas de aplicacin simultnea.
En General los procedimientos de auditoria permiten:
Obtener conocimientos del control interno.
Analizar las caractersticas del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditoria.
Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o
procedimiento de auditoria sern los ms indicados para obtener su opinin.
Anlisis de datos.

Dentro de este trabajo, desarrollaremos diversos tipos de tcnicas y

procedimientos de auditoria, de los cuales destacan el anlisis de datos, ya que
para las organizaciones el conjunto de datos o informacin son de tal importancia
que es necesario verificarlos y comprobarlos, as tambin tiene la misma
importancia para el auditar ya que debe de utilizar diversas tcnicas para el
anlisis de datos, las cuales se describen a continuacin.
Comparacin de programas: esta tcnica se emplea para efectuar una
comparacin de cdigo (fuente, objeto o comandos de proceso) entre la versin de
un programa en ejecucin y la versin de un programa piloto que ha sido
modificado en forma indebida, para encontrar diferencias.
Mapeo y rastreo de programas: esta tcnica emplea un software especializado
que permite analizar los programas en ejecucin, indicando el nmero de veces
que cada lnea de cdigo es procesada y las de las variables de memoria que
estuvieron presentes.
Anlisis de cdigo de programas: Se emplea para analizar los programas de una
aplicacin. El anlisis puede efectuarse en forma manual (en cuyo caso slo se
podra analizar el cdigo ejecutable).
Datos de prueba: Se emplea para verificar que los procedimientos de control
incluidos los programas de una aplicacin funcionen correctamente. Los datos de
prueba consisten en la preparacin de una serie de transacciones que contienen
tanto datos correctos como datos errneos predeterminados.
Datos de prueba integrados: Tcnica muy similar a la anterior, con la diferencia de
que en sta se debe crear una entidad, falsa dentro de los sistemas de
informacin.
Anlisis de bitcoras: Existen varios tipos de bitcoras que pueden ser analizadas
por el auditor, ya sea en forma manual o por medio de programas especializados,
tales como bitcoras de fallas del equipo, bitcoras de accesos no autorizados,
bitcoras de uso de recursos, bitcoras de procesos ejecutados.
Simulacin paralela: Tcnica muy utilizada que consiste en desarrollar programas
o mdulos que simulen a los programas de un sistema en produccin. El objetivo
es procesar los dos programas o mdulos de forma paralela e identificar
diferencias entre los resultados de ambos.
Monitoreo.
Dentro de las organizaciones todos los procesos necesitan ser evaluados a travs
del tiempo para verificar su calidad en cuanto a las necesidades de control,
integridad y confidencialidad, este es precisamente el mbito de esta tcnica, a
continuacin se muestran los procesos de monitoreo:

 Monitoreo del proceso.

Evaluar lo adecuado del control Interno.
Obtencin de aseguramiento independiente.
Proveer auditora independiente.

Monitoreo del proceso

Asegura el logro de los objetivos para los procesos de TI, lo cual se logra
definiendo por parte de la gerencia reportes e indicadores de desempeo y la
implementacin de sistemas de soporte as como la atencin regular a los reportes
emitidos.
Para ello la gerencia podr definir indicadores claves de desempeo y factores
crticos de xito y compararlos con los niveles propuestos para evaluar el
desempeo de los procesos de la organizacin.
Evaluar lo adecuado del control Interno
Asegura el logro de los objetivos de control interno establecidos para los procesos
de TI, para ello se debe monitorear la efectividad de los controles internos a travs
de actividades administrativas, de supervisin, comparaciones, acciones
rutinarias, evaluar su efectividad y emitir reportes en forma regular.
Obtencin de aseguramiento independiente
Incrementa los niveles de confianza entre la organizacin, clientes y proveedores,
este proceso se lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deber obtener una certificacin o acreditacin independiente
de seguridad y control interno antes de implementar nuevos servicios de
tecnologa de informacin que resulten crticos, as como para trabajar con nuevos
proveedores de servicios de tecnologa de informacin, luego la gerencia deber
adoptar como trabajo rutinario tanto hacer evaluaciones peridicas sobre la
efectividad de los servicios de tecnologa de informacin, de los proveedores de
estos servicios as como tambin asegurarse el cumplimiento de los compromisos
contractuales de los servicios de tecnologa de informacin y de los proveedores
de dichos servicios.
Proveer auditora independiente.
Incrementa los niveles de confianza de recomendaciones basadas en mejores
prcticas de su implementacin, lo que se logra con el uso de auditoras
independientes desarrolladas a intervalos regulares de tiempo.

Para ello la gerencia deber establecer los estatutos para la funcin de auditoria,
destacando en este documento la responsabilidad, autoridad y obligaciones de la
auditoria.
El auditor deber ser independiente del auditado, esto significa que los auditores
no debern estar relacionados con la seccin o departamento que est siendo
auditado y en lo posible deber ser independiente de la propia empresa, esta
auditoria deber respetar la tica y los estndares profesionales, seleccionando
para ello auditores que sean tcnicamente competentes, es decir que cuenten con
habilidades y conocimientos que aseguren tareas efectivas y eficientes de
auditoria informtica.
La funcin de la auditoria informtica deber proporcionar un reporte que muestre
los objetivos, perodo de cobertura, naturaleza y trabajo de auditoria realizado, as
como tambin la organizacin, conclusin y recomendaciones relacionadas con el
trabajo de auditoria informtica llevado a cabo.
Anlisis de bitcoras.
Hoy en da los sistemas de cmputo se encuentran expuestos a distintas
amenazas, las vulnerabilidades de los sistemas aumentan, al mismo tiempo que
se hacen ms complejos, el nmero de ataques tambin aumenta, por lo anterior
las organizaciones deben reconocer la importancia y utilidad de la informacin
contenida en las bitcoras de los sistemas de computo as como mostrar algunas
herramientas que ayuden a automatizar el proceso de anlisis de las mismas.
El crecimiento de Internet enfatiza esta problemtica, los sistemas de cmputo
generan una gran cantidad de informacin, conocidas como bitcoras o archivos
logs, que pueden ser de gran ayuda ante un incidente de seguridad, as como
para el auditor.
Una bitcora puede registrar mucha informacin acerca de eventos relacionados
con el sistema que la genera los cuales pueden ser:
Fecha y hora.
Direcciones IP origen y destino.
Direccin IP que genera la bitcora.
Usuarios.
Errores.

La importancia de las bitcoras es la de recuperar informacin ante incidentes de

seguridad, deteccin de comportamiento inusual, informacin para resolver
problemas, evidencia legal, es de gran ayuda en las tareas de cmputo forense.
Las Herramientas de anlisis de bitcoras mas conocidas son las siguientes:
Para UNIX, Logcheck, SWATCH.
Para Windows, LogAgent
Las bitcoras contienen informacin crtica es por ello que deben ser analizadas,
ya que estn teniendo mucha relevancia, como evidencia en aspectos legales.
El uso de herramientas automatizadas es de mucha utilidad para el anlisis de
bitcoras, es importante registrar todas las bitcoras necesarias de todos los
sistemas de cmputo para mantener un control de las mismas.

Conclusiones
En un ambiente de evolucin permanente, determinado por las actuales
tendencias mundiales, las cuales se centran en el plano econmico soportadas
por la evolucin tecnolgica, surge la necesidad de que la funcin de auditoria
pretenda el mejoramiento de su gestin.
La prctica de nuevas tcnicas para evaluar el control interno a travs de las
cuales, la funcin de auditoria informtica pretende mejorar la efectividad de su
funcin y con ello ofrecer servicios ms eficientes y con un valor agregado.
La evolucin de la teora del control interno se defini en base a los principios de
los controles como mecanismos o prcticas para prevenir, identificar actividades
no autorizadas, ms tarde se incluy el concepto de lograr que las cosas se
hagan; la corriente actual define al control como cualquier esfuerzo que se realice
para aumentar las posibilidades de que se logren los objetivos de la organizacin.
En este proceso evolutivo se considera actualmente, y en muchas organizaciones
que el director de finanzas, contralor o al director de auditora como los
responsables principales del correcto diseo y adecuado funcionamiento de los
controles internos.
Bibliografa
http://myslide.es/documents/actividad-3-auditoria-informatica.html
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml

http://www.gestiopolis.com/recursos/experto/catsexp/pagans/fin/46/clasnormaaudit
.htm
http://www.gestiopolis.com/recursos/documentos/fulldocs/fin/nagas.htm
http://www.deguate.com/infocentros/gerencia/mercadeo/mk17.htm