Documentos de Académico
Documentos de Profesional
Documentos de Cultura
3d Utf 8 B Qxvkaxrvcsotysbpbmzvcm3doxrpy2euzg9j 3d
3d Utf 8 B Qxvkaxrvcsotysbpbmzvcm3doxrpy2euzg9j 3d
Eficiencia
Eficacia
Rentabilidad
Seguridad
Gobierno corporativo
Administracin del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Proteccin y Seguridad
Planes de continuidad y Recuperacin de desastres
Operatividad
Los Controles Tcnicos Generales son los que se realizan para verificar la
compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software
de base con todos los subsistemas existentes, as como la compatibilidad del
Hardware y del Software instalados. Estos controles son importantes en las
instalaciones que cuentan con varios competidores, debido a que la profusin de
entornos de trabajo muy diferenciados obliga a la contratacin de diversos
productos de Software bsico, con el consiguiente riesgo de abonar ms de una vez
el mismo productoo desaprovechar parte del Software abonado. Puede ocurrir
tambin con los productos de Software bsico desarrollados por el personal de
Sistemas Interno, sobre todo cuando los diversos equipos estn ubicados en Centros
de Proceso de Datos geogrficamente alejados. Lo negativo de esta situacin es que
puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal
vez sea operativo trabajando independientemente, pero no ser posible la
interconexin e intercomunicacin de todos los Centros de Proceso de Datos si no
existen productos comunes y compatibles.
Los Controles Tcnicos Especficos, de modo menos acusado, son igualmente
necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se
puede encontrar mal son parmetros de asignacin automtica de espacio en disco*
que dificulten o impidan su utilizacin posterior por una Seccin distinta de la que
lo gener. Tambin, los periodos de retencin de ficheros comunes a varias
Aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de
modo que la prdida de informacin es un hecho que podr producirse con
facilidad, quedando inoperativa la explotacin de alguna de las Aplicaciones
mencionadas.
Pruebas clsicas: Consiste en probar las aplicaciones / sistemas con datos datos
de prueba, observando la entrada, la salida esperada, y la salida obtenida.
Existen paquetes que permiten la realizacin de estas pruebas.
Pruebas sustantivas: Aportan al auditor informtico las suficientes evidencias y
que se pueda formar un juicio. Se suelen obtener mediante observacin,
clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y
conciliaciones. Verifican asimismo la exactitud, integridad y validez de la
informacin.
Pruebas de cumplimiento: Determinan si un sistema de control interno funciona
adecuadamente (segn la documentacin, segn declaran los auditados y segn
las polticas y procedimientos de la organizacin).
Observacin
Realizacin de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadstico
Flujogramas
Listas de checkeo
Mapas conceptuales
Cuestionarios:
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su
forma.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis
determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento
de ambos tipos de informacin es una de las bases fundamentales de la auditora.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido
por otro medios la informacin que aquellos preimpresos hubieran proporcionado.
Entrevistas:
El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace
de tres formas:
Checklist:
El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios
en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus
cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo
cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas
que no conducen a nada. Muy por el contrario, el auditor conversar y har preguntas
"normales", que en realidad servirn para la cumplimentacin sistemtica de sus
Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle
una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor
informtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo.
El profesionalismo pasa por un procesamiento interno de informacin a fin de obtener
respuestas coherentes que permitan una correcta descripcin de puntos dbiles y fuertes.
El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse
flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las
Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin
a cualquier otra forma.
Segn la claridad de las preguntas y el talante del auditor, el auditado responder desde
posiciones muy distintas y con disposicin muy variable. El auditado, habitualmente
informtico de profesin, percibe con cierta facilidad el perfil tcnico y los
conocimientos del auditor, precisamente a travs de las preguntas que ste le formula.
Esta percepcin configura el principio de autoridad y prestigio que el auditor debe
poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas,
coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su
formulacin. Las empresas externas de Auditora Informtica guardan sus Checklists,
pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe
olvidarse que la funcin auditora se ejerce sobre bases de autoridad, prestigio y tica.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas
equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas
diferentes. De este modo, se podrn descubrir con mayor facilidad los puntos
contradictorios; el auditor deber analizar los matices de las respuestas y reelaborar
preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la
homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las
preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del
auditado, y nunca escribir cruces ni marcar cuestionarios en su presencia.
Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los
Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para
ello se apoya en productos Software muy potentes y modulares que, entre otras
funciones, rastrean los caminos que siguen los datos a travs del programa.
Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean
productos que comprueban los valoresasignados por Tcnica de Sistemas a cada uno de
los parmetros variables de las Libreras ms importantes del mismo. Estos parmetros
variables deben estar dentro de un intervalo marcado por el fabricante. A modo de
ejemplo, algunas instalaciones descompensan el nmero de iniciadores de trabajos de
determinados entornos o toman criterios especialmente restrictivos o permisivos en la
asignacin de unidades de servicio segn cuales tipos carga. Estas actuaciones, en
principio tiles, pueden resultar contraproducentes si se traspasan los lmites.
*Log:
El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando
(informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se
llaman las transacciones. Las transacciones son unidades atmicas de cambios dentro de
una base de datos; toda esa serie de cambios se encuadra dentro de una transaccin, y
todo lo que va haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa
transaccin, queda grabado en el log. La transaccin tiene un principio y un fin, cuando
la transaccin llega a su fin, se vuelca todo a la base de datos. Si en el medio de la
transaccin se cort por x razn, lo que se hace es volver para atrs. El log te permite
analizar cronolgicamente que es lo que sucedi con la informacin que est en el
Sistema o que existe dentro de la base de datos.
Software de Interrogacin:
Hasta hace ya algunos aos se han utilizado productos software llamados genricamente
<paquetes de auditora>, capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informtico.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e
informacin parcial generada por la organizacin informtica de la Compaa.
La auditora informtica siempre llegar a una conclusin cuando los medios asignados
sean suficientes y las acciones sean posibles. La auditora informtica jams debe
empaar su finalidad ni limitarse a lo que es ms sencillo de examinar,so pena de que el
juicio que emita carezca de valor al caer fuera de la cuestin verdadera. Debe ser
completa en su finalidad, ya que basta una laguna para que deje de estar garantizada la
solidez de todo el control.
Regla: los medios y las acciones elegidas por el auditor deben adaptarse
exclusivamente a la finalidad de la auditora, siendo coherentes entre s y, desde
luego,fiables y seguros.
En determinados casos la tarea del auditor puede ser muy compleja, para ello deber
dividirla en funciones obteniendo conclusiones parciales de stas y establecer un plan de
aquellas que resulten ser ms significativas.
Pese a la apariencia de complejidad de la auditora informtica apreciamos cmo el
buen uso del ordenador proporciona una mayor garanta y fiabilidad que cuando ste no
es utilizado.
A) MEDIOS TECNICOS:
B) MEDIOS HUMANOS.
C) MEDIOS FINANCIEROS.
1.- Los equipos fsicos y locales han de adaptarse a la finalidad, es decir, a las
aplicaciones, tanto cualitativas como cuantitativas.
2.- Dada la evolutividad de los objetivos el equipo fsico debe ser tambin evolutivo sin
dejar de resultar adecuado y modular.
3.- Cada componente del equipo fsico de formar parte de un todo homogneo.
4.- Otros criterios de eleccin son la fiabilidad del material y la rapidez de las
restauraciones.
a) La auditora del equipo fsico debe comprobar si se aplican las reglas anteriores:
adaptabilidad, homogeneidad, seguridad, fiabilidad,... Para ello, el auditor debe estar
provisto de unos conocimientos tcnicos slidos.
Constituye una parte creciente del coste de un sistema. Tiene una importancia
primordial en la seguridad de las operaciones pero a medida que va creciendo ms
compleja es su evaluacin.
1.-El software bsico se adapta a las finalidades siempre y cuando permita una correcta
utilizacin del hardware con el lenguaje y en el modo de explotacin elegidos para
ejecutar las aplicaciones.
El software posee muchas posibilidades pero lo ms interesante a nivel prctico es la
posibilidad de poder incorporarse en gran parte al equipo fsico.
2.-La evolutividad del software exige una transparencia de su dependencia con respecto
a las aplicaciones del equipo fsico.
Los lmites de las posibilidades del software deben encontrarse bastante alejados, as
como los obstculos no deben ser tan rgidos.
Tanto las opciones del software como sus modificaciones futuras deben anotarse dentro
de un estudio como ya ocurre con el hardware.
3.-Los componentes del software bsico deben estar adaptados entre s y con la
configuracin del equipo fsico siempre en funcin de la finalidad.
Por otro lado, tambin ha de adaptarse a los medios humanos, tanto para aquellos que
desarrollan las aplicaciones como tambin para los que las usan.
4.-La fiabilidad del software bsico se consigue mediante el registro de las anomalas
para su posterior anlisis y rectificacin por el constructor aunque el software debe
emplear ayudas para diagnstico de fallos.
Resulta esencial que el software permita implantar los puntos de enlace eficazmente
utilizables mediante la reinicializacin en la eventualidad de un mal funcionamiento,
como una adecuada recuperacin de los ficheros.
En definitiva, la fiabilidad de una base de datos est sealada en su sistema de gestin.
5.-Para la seguridad del software bsico se requiere una proteccin contra los accesos
prohibidos, especialmente en el modo interactivo y en un sistema de base de datos.
Se aconseja la proteccin de los programas y datos temporales alojados en la memoria
central, as como recomendable la rpida destuccin de ficheros con informacin
confidencial.
Las distintas protecciones del software deben registrar el intento de acceso ilegal.
Aunque resulta difcil obtener una proteccin eficaz contra el acceso no autorizado en
pequeos sistemas debiendo colocar los ficheros en soportes que slo se manejen a la
hora de su empleo.
a) La auditora del software bsico, en primer lugar, puede tener por fin la evaluacin
de su adaptacin y de su evolutividad as como de su homogeneidad con los otros
componentes.
Igualmente, la auditora del software bsico puede versar sobre la fiabilidad y/o la
seguridad.
B) Medios humanos.
1.- Las personas tienen su propia finalidad la cul tratan de satisfacer, an as en una
empresa se ha de respetar la realizacin de los objetivos definidos, sin quedar
bloqueado por la reticencia de rutina y por la ostilidad particular.
2.- Es necesario un reparto de las responsabilidades de forma arborescente, cada equipo
ha de contar con un escaso nmero de miembros, incluso resulta aconsejable una
rotacin de las responsabilidades.
3.- Se requiere buenas relaciones entre los miembros del personal, lo que cada uno hace
debe ser conocido globalmente por todos, y estar accesible de forma detallada. A su
vez, debe ser un trabajo organizado y revisado racionalmente.
Tambin es importante una formacin y una informacin suficiente para que el personal
tenga una visin bastante amplia de los problemas y de las interrelaciones.
5.- La seguridad comienza por la seleccin del personal y contina por el control mutuo
en la realizacin de las tareas ms importantes.
An as, es preciso precaverse contra un posible sabotaje directo o indirecto.
6.- Sin informacin no hay motivacin, por tanto los fines y mtodos adoptados han de
ser comprendidos y aceptados, a la vez que la formacin del personal es en s mismo
una finalidad.
Herramientas de auditora especfica:
c) Los medios humanos del sistema de informaciones son tambin piezas externas al
servicio informtico.
d) Se requiere que las acciones den fiabilidad de las realizaciones al igual que las hojas
de consola nos indican la fiabilidad de las operaciones de explotacin.
La separacin de funciones, un examen de todas las protecciones materiales y lgicas y
un conocimiento de los modos operativos proporcionan en su conjunto la seguridad
humana.
La realizacin de cursos como la utilizacin de libros y revistas conllevan una mejor
documentacin y una mayor formacin.
C) Medios financieros.
2.- Los mtodos clsicos de la contabilidad analtica permiten establecer los estndares
de homogeneidad de los medios financieros.
Tambin es muy til verificar peridicamente si los costes imputados son todava
competitivos con relacin a un servicio exterior.
3.- Para elaborar un sistema equitativo sera preciso que dos servicios semejantes diera
lugar a una misma valoracin.
Los costos deben ser registrados de forma fiable, completa y pertinente, y los clculos y
agrupaciones efectuados deben ser legtimos. El trabajo del personal debe ser registrado
o repartido segn conceptos para que las cifras conserven algn sentido.
5.- Tanto los contratos de adquisicin y seguro como los documentos contables
comprenden la documentacin sobre los medios financieros.