AUDITORIA DE LA DIRECCIÓN

Este tipo de auditoria es la encargada de verificar el correcto cumplimiento de la gestión de

los sistemas informáticos debiendo cumplir las principales funciones como lo es: Planificar,
organizar, coordinar y controlar. El plan estratégico de los sistemas de información
consiste en prever los equipos y herramientas tecnológicas que serán útiles para el beneficio
de la entidad por lo tanto el auditor deberá evaluar si las metodologías se están utilizando
y/o pueden ser de utilidad para su empresa, si el plazo del plan estratégico es adecuado para
la empresa considerando los cambios que realizan otras empresas para no perder
competitividad. También el auditor tiene la facultad de verificar que las tareas y actividades
presentes en el Plan tienen la correspondiente y adecuada asignación de recursos para poder
llevarlas a cabo. Asimismo, si tienen plazos de consecución realistas en función de la
situación actual de la empresa, de la organización informática, del estado de la tecnología,
etc.

Luego de tener un plan estratégico de sistemas de información deben existir otros planes
como: Plan operativo anual, plan de dirección tecnológica, plan de arquitectura de la
información y plan de recuperación ante desastres. El plan operativo anual es el que
conforma la planificación de cada ejercicio, así como la consideración de sistema de
información a desarrollar, los cambios tecnológicos, los recursos asignados, el plazo etc.
Por lo tanto, el auditor deber evaluar la calidad del plan y sus relaciones con el plan
estratégico. así mismo la dirección del área de informática deber prever un plan de
contingencia antes de posibles desastres como, por ejemplo: Robo, incendios, fallos
técnicos, etc., por tal motivo debe existir un servicio tecnológico adecuado

El proceso de organizar sirve para estructurar los recursos, los flujos de información y los
controles que permitan alcanzar los objetivos marcados durante la Planificación. El comité
de informática es la encargada de velar que exista coordinación y la fijación de tareas y
funciones para el personal. A l tratarse del máximo órgano decisorio sobre el papel de las
tecnologías de información en la empresa, el auditor deberá asegurar que el Comité de
Informática existe y cumple su papel adecuadamente. Por ultimo la empresa debe contar
con un presupuesto anual para la ejecución de los proyectos y la correcta asignación para
cada actividad.

AUDITORIA DEL DESARROLLO

Una auditoria informática surge de la necesidad de verificar la existencia y la
aplicación de controles internos implantados en el área de informática. Teniendo en cuenta
que cada organización puede descomponerse funcionalmente en distintos departamentos,
áreas, unidades, etc., es necesario que los mecanismos de control interno existan y se
respeten en cada una de las divisiones funcionales para que estas cumplan adecuadamente
su cometido y hagan posible que la organización en su conjunto funcione de manera
correcta. Aplicando la segregación de áreas en el departamento de informática, una de la
que regularmente aparecen es el área del desarrollo, esta función abarca desde que surge la
necesidad de un sistema informático hasta su construcción exceptuando algunas áreas como
la explotación, el mantenimiento y la retirada de la aplicación cuando sea necesario.

El objetivo de la auditoria del desarrollo es verificar que los principios de Ingeniería

del software aplicados cumplan con los procedimientos de control adecuados que permitan
garantizar que el desarrollo de la aplicación se ha realizado bajo estos principios, caso
contrario identificar las deficiencias del caso.
El avance del uso de la tecnología hace importante la realización de auditorias del
desarrollo ya que a través del mismo se garantiza la calidad del software, por otro lado, el
presupuesto destinado para el software es mayor al destinado al hardware. También por el
llamado “Crisis del software” que son problemas y debilidades asociados al desarrollo de
aplicaciones que disparo el índice de fracasos por los motivos siguientes: se usó tal como se
entregó, se usó después de algunos cambios, se usó luego se abandonó o se rehízo, se
entregó, pero nunca se utilizó, se pagó, pero nunca se entregó, las últimas dos son las más
frecuentes. Por tal motivo el correcto uso de controles y procedimientos disminuye los
riesgos de fracasos, aumentan la confianza del consumidor y disminuye los costos de
manteamiento.

La implantación de una auditoria del desarrollo en primer lugar es necesario acotar

o distinguir las funciones o tareas del área del desarrollo, considerando que pueden variar
de una organización a otra. Por lo regular son las siguientes: Planificación del área y
participación, Desarrollo de nuevos sistemas, análisis, diseño, construcción, implantación,
estudios de nuevos lenguajes, técnicas, metodologías, herramientas, establecimiento de un
plan de información para el personal y establecimiento de normas y controles. Una vez
identificadas las funciones del área, se realizará la auditoria desglosándola de esta manera:
Auditoría de la organización y gestión del área de desarrollo.
Auditoría de proyectos de desarrollo de sistemas de información.
Cabe recordar que la segunda es el responsable del nacimiento de la auditoria del
desarrollo por ende es la que se le pondrá más énfasis, sin embargo, no hay que dejar atrás
la organización y gestión ya que es un pilar importante en la aceptación de los proyectos de
sistemas de información. La metodología se basará en los riesgos asociados, partiendo de
los riesgos potenciales en los que esta expuesto el desarrollo de proyectos.

La auditoría de la organización y gestión del desarrollo consiste en verificar si

cuenta con manuales de puestos, si están descritas las funciones del personal, manuales de
procedimientos, personal capacitado, etc. Mientras que, en la auditoria de proyectos de
desarrollo de sistemas de información, se verifica la aprobación, planificación y gestión del
proyecto, también se debe considerar que puede haber un reajuste del plan del proyecto
cuando sea necesario. En la gestión del proyecto, se verifica la fase de análisis, diseño,
construcción e implantación para comprobar que se hayan cumplido con los requerimientos
de control asociados para cada etapa.

AUDITORIA DEL MANTENIMIENTO

La auditora del mantenimiento es un área bastante crítica ya que su ejecución
representa un costo bastante elevado y es por ello que en lo largo del tiempo solo se
aplicaban a ciertos problemas con el mínimo esfuerzo surgiendo la llamada efecto
ICEBERG ya que solo se apreciaba ciertos problemas. Es frecuente que las empresas de
software busquen máxima productividad en el desarrollo de sus productos, dejando en
segundo lugar a la etapa de mantenimiento. Esto constituye un lamentable error ya que.
como muchos estudios revelan que, esta etapa es la que más recursos consume, más del
60% de los recursos empleados en todo el proyecto. Por esta razón surge la necesidad de
profundizar las técnicas de auditoria para esta área de tal manera que se pueda reducir
dichos costos.

Los elementos de la mantenibilidad se conforman por tres actividades: Comprensión

del cambio a realizar, Modificación o realización del cambio y Prueba de colección del
cambio realizado, también son llamados índices de mantenibilidad que se utilizan para
realizar el modelo de costo de mantenimiento. El objeto de la auditoria del mantenimiento
es verificar que se utilicen las técnicas de modelos de mantenibilidad para asegurar los altos
niveles de mantenimiento

AUDITORIA DE BASE DE DATOS

El incremento del sistema de gestión de base de datos y la consagración de datos,
cada día cobran mayor interés para las empresas ya que los mismo se convierte en los
principales recursos. Las metodologías para las auditorias de base de datos se dividen en
dos: Metodología tradicional, la cual consiste en realizar un check list para evaluar el
entorno para verificar la existencia de controles. Por otro lado, está la metodología de
evaluación de riesgos es la que propone la ISACA. y empieza fijando los objetivos de
control que minimizan los riesgos potenciales a los que está sometido el entorno. Un
objetivo de control puede llevar asociadas varias técnicas para cubrirlo en su totalidad,
pueden ser preventivas o correctivas esta ultimas; una copia de respaldo conocido como
Backup. Cuando existen controles se diseñan pruebas de cumplimiento y pruebas
sustantivas, la primera para evaluar el nivel de cumplimiento de dichos controles y la
segunda para comprobar si la información ha sido corrompida comparándola con otra
fuente revisando, los documentos de entrada de datos y las transacciones que se ha
ejecutado.

Los objetivos de control en el ciclo de vida de la base de datos abarcan desde el

estudio previo hasta su explotación, el estudio previo se base en el análisis de viabilidad es
decir la relación entre costo y beneficio. El auditor debe comprobar que la dirección revisa
los informes de los estudios de viabilidad y que es la que decide seguir adelante o no con el
proyecto. Si se decide realizar el proyecto, en la fase del diseño de la base de datos el
auditor debe, por tanto, en primer lugar, analizar la metodología de diseño con el fin de
determinar si es o no aceptable. En fase de Diseño se lleva a cabo los diseños lógico y
físico de la base de datos, por lo que el auditor tendrá que examinar si estos diseños se han
realizado correctamente, también tendrá que tomar una muestra de ciertos elementos
(tabla*, vistas. índices) y comprobar que, u definición es completa, que ha sido aprobada
por el usuario y que el administrador de la base de datos participó en su establecimiento. En
la fase de explotación y mantenimiento se debe comprobar que se establecen los
procedimientos que aseguren que los datos se traten de forma congruente. En otras
palabras, la Auditor debe verificar que todos estos componentes trabajan conjunta y
coordinadamente para asegurar que los sistemas de bases de datos continúan cumpliendo
los objetivos de la empresa y que se encuentran controlado de manera efectiva y que existe
sistemas de seguridad para los datos ya que actualmente los datos son el activo más
importante de una empresa.

AUDITORIA DE LA SEGURIDAD
Una de los motivos de la existencia de la auditoria en informática es la seguridad ya
anteriormente se realizaban auditorias específicamente en dicha área, pero con el paso del
tiempo se ha ido expandiendo en otras áreas debido al avance de la tecnología y de la
necesidad de implantar equipos tecnológicos en las empresas para acelerar y facilitar los
procesos. Ante esta situación se volvió imprescindible la implantación de auditorías para el
área de seguridad por el impacto de los fallos por los accesos no autorizados o la revelación
de información y otras incidencias que tiene mayor impacto.

Si no existen suficientes y adecuadas medidas de protección se puede perder

información vital, o al menos no estar disponible en el momento requerido, debe evaluarse
en la auditoría si los modelos de seguridad están en consonancia con las nuevas
arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones. porque no
se puede auditar con conceptos, técnicas o recomendaciones de hace algunos años. El
auditor deber evaluar la existencia de controles directivos, preventivos, de detección,
correctivos y de recuperación. En el informe del auditor recomendará la implantación o
refuerzo de controles, y en ocasiones incluso se considere la supresión de algún control, si
resulta redundante o ya no es necesario.
El alcance de la auditoria de la seguridad abarca los controles directivos que son las
políticas y controles internos, la conformación de comité. El cumplimiento de las políticas,
el marco jurídico aplicable, las amenazas físicas externas como por ejemplos: incendios e
inundaciones, el control de accesos adecuados y la protección de datos. El auditor evaluara
la existencia de los ya mencionados.