Para empezar a realizar los procesos y tcnicas aplicables para alcanzar los objetivos ya mencionados anteriormente, tenemos que

entender que es una auditoria, a continuacin se mencionan las principales auditorias que se realizan en una organizacin. 1.1.1. Auditoria interna: la lleva acabo un departamento dentro de la organizacin y existe una relacin laboral.

1.1.2. Auditoria externa: no existe relacin laboral y la hacen personas externas al negocio para que los resultados que nos arroje sean imparciales como pueden ser las firmas de contadores o

administradores independientes. 1.1.3. Auditora: La auditora es el examen crtico y sistemtico que realiza una persona o grupo de personas independientes del sistema auditado. Aunque hay muchos tipos de auditora, la expresin se utiliza generalmente para designar a la auditora externa de estados financieros que es una auditora realizada por un profesional experto en contabilidad de los libros y registros contables de una entidad para opinar sobre la razonabilidad de la informacin contenida en ellos y sobre el cumplimiento de las normas contables. El origen etimolgico de la palabra es el verbo latino Audire, que significa or. Esta denominacin proviene de su origen histrico, ya que los primeros auditores ejercan su funcin juzgando la verdad o falsedad de lo que les era sometido a su verificacin principalmente oyendo 1.1.4. Auditoria informtica: La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos.

Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias,

estableciendo los cambios que se deberan realizar para la consecucin de los mismos. 1.1.5. Los objetivos de la auditora Informtica son: * El control de la funcin informtica * El anlisis de la eficiencia de los Sistemas Informticos * La verificacin del cumplimiento de la Normativa en este mbito * La revisin de la eficaz gestin de los recursos informticos. La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como: - Eficiencia - Eficacia - Rentabilidad - Seguridad Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas: - Gobierno corporativo - Administracin del Ciclo de vida de los sistemas - Servicios de Entrega y Soporte - Proteccin y Seguridad - Planes de continuidad y Recuperacin de desastres

La necesidad de contar con lineamientos y herramientas estandar para el ejercicio de la auditora informtica ha promovido la creacin y desarrollo de mejores prcticas como COBIT, ISO, COSO e ITIL. 1.1.6. reas de aplicacin de la auditoria informtica Algunos campos de aplicacin de la informtica son las siguientes: Investigacin cientfica y humanstica: Se usan la las computadoras para la resolucin de de clculos matemticos, recuentos numricos, etc. Algunas de estas operaciones: Resolucin de ecuaciones. Anlisis de datos de medidas experimentales, encuestas etc. Anlisis automticos de textos Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y de productos comerciales, trazado de planos, etc. Algunas de estas operaciones: Anlisis y diseo de circuitos de computadora. Clculo de estructuras en obras de ingeniera. Minera. Cartografa.

Documentacin e informacin: Es uno de los campos ms importantes para la utilizacin de computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperacin controlada de los mismos en bases de datos. Ejemplos de este campo de aplicacin son: Documentacin cientfica y tcnica.

Archivos automatizados de bibliotecas. Bases de datos jurdicas. 1.1.7. Gestin administrativa: Automatiza las funciones de gestin tpicas de una empresa. Existen programas que realizan las siguientes actividades: Contabilidad. Facturacin. Control de existencias. Nminas. 1.1.8. Control interno El Control Interno Informtico puede definirse como el sistema integrado al proceso administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de los procesos operativos automatizados. (Auditora Informtica - Aplicaciones en Produccin - Jos Dagoberto Pinilla) El Informe COSO define el Control Interno como Las normas, los procedimientos, las prcticas y las estructuras organizativas diseadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarn y que los eventos no deseados se prevern, se detectarn y se corregirn. Tambin se puede definir el Control Interno como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. (Auditora Informtica - Un Enfoque Prctico - Mario G. Plattini) Tipos

En

el

ambiente

informtico,

el

control

interno

se

materializa

fundamentalmente en controles de dos tipos: Controles manuales; aquellos que son ejecutados por el personal del rea usuaria o de informtica sin la utilizacin de herramientas computacionales. Controles Automticos; son generalmente los incorporados en el software, llmense estos de operacin, de comunicacin, de gestin de base de datos, programas de aplicacin, etc. Los controles segn su finalidad se clasifican en: Controles Preventivos, para tratar de evitar la produccin de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado. Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos. Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos. Objetivos principales: Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas Colaborar y apoyar el trabajo de Auditora Informtica interna/externa Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento de los servicios informticos. Realizar en los diferentes sistemas y entornos informticos el control de las diferentes actividades que se realizan.

Control interno informtico (funcin) El Control Interno Informtico es una funcin del departamento de Informtica de una organizacin, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de informacin automatizados se realicen cumpliendo las normas, estndares, procedimientos y disposiciones legales establecidas interna y externamente. Entre sus funciones especficas estn: Difundir y controlar el cumplimiento de las normas, estndares y procedimientos al personal de programadores, tcnicos y operadores. Disear la estructura del Sistema de Control Interno de la Direccin de Informtica en los siguientes aspectos: Desarrollo y mantenimiento del software de aplicacin. Explotacin de servidores principales Software de Base Redes de Computacin Seguridad Informtica Licencias de software Relaciones contractuales con terceros Cultura de riesgo informtico en la organizacin Control interno informtico (reas de aplicacin) controles generales organizativos Son la base para la planificacin, control y evaluacin por la Direccin General de las actividades del Departamento de Informtica, y debe contener la siguiente planificacin:

 Plan Estratgico de Informacin realizado por el Comit de Informtica. Plan Informtico, realizado por el Departamento de Informtica. Plan General de Seguridad (fsica y lgica). Plan de Contingencia ante desastres. Controles de desarrollo y mantenimiento de sistemas de informacin Permiten alcanzar la eficacia del sistema, economa, eficiencia, integridad de datos, proteccin de recursos y cumplimiento con las leyes y regulaciones a travs de metodologas como la del Ciclo de Vida de Desarrollo de aplicaciones. Controles de explotacin de sistemas de informacin Tienen que ver con la gestin de los recursos tanto a nivel de planificacin, adquisicin y uso del hardware as como los procedimientos de, instalacin y ejecucin del software. Controles en aplicaciones Toda aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin, salida, validez y mantenimiento completos y exactos de los datos. Controles en sistemas de gestin de base de datos Tienen que ver con la administracin de los datos para asegurar su integridad, disponibilidad y seguridad. Controles informticos sobre redes Tienen que ver sobre el diseo, instalacin, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organizacin sean estas centrales y/o distribuidos. Controles sobre computadores y redes de rea local

Se relacionan a las polticas de adquisicin, instalacin y soporte tcnico, tanto del hardware como del software de usuario, as como la seguridad de los datos que en ellos se procesan. 1.1.9. Fases de la Auditoria Informtica Fase I: Conocimientos del Sistema Fase II: Anlisis de transacciones y recursos Fase III: Anlisis de riesgos y amenazas Fase IV: Anlisis de controles Fase V: Evaluacin de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones Fase I: Conocimientos del Sistema 1.1. Aspectos Legales y Polticas Internas. Sobre estos elementos est construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluacin. 1.2.Caractersticas del Sistema Operativo. Organigrama del rea que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditora realizadas anteriormente 1.3.Caractersticas de la aplicacin de computadora Manual tcnico de la aplicacin del sistema Funcionarios (usuarios) autorizados para administrar la aplicacin

 Equipos utilizados en la aplicacin de computadora Seguridad de la aplicacin (claves de acceso) Procedimientos para generacin y almacenamiento de los archivos de la aplicacin. Fase II: Anlisis de transacciones y recursos 2.1.Definicin de las transacciones. Dependiendo del tamao del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deber ser asignada con los administradores. 2.2.Anlisis de las transacciones Establecer el flujo de los documentos En esta etapa se hace uso de los flujogramas ya que facilita la visualizacin del funcionamiento y recorrido de los procesos. 2.3.Anlisis de los recursos Identificar y codificar los recursos que participan en el sistema 2.4.Relacin entre transacciones y recursos Fase III: Anlisis de riesgos y amenazas 3.1.Identificacin de riesgos Daos fsicos o destruccin de los recursos Prdida por fraude o desfalco Extravo de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupcin de las operaciones del negocio

 Prdida de integridad de los datos Ineficiencia de operaciones Errores 3.2.Identificacin de las amenazas Amenazas sobre los equipos Amenazas sobre documentos fuente Amenazas sobre programas de aplicaciones 3.3.Relacin entre recursos/amenazas/riesgos La relacin entre estos elementos deber establecerse a partir de la observacin de los recursos en su ambiente real de funcionamiento. Fase IV: Anlisis de controles 4.1.Codificacin de controles Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificacin de los controles deben contener una codificacin la cual identifique el grupo al cual pertenece el recurso protegido. 4.2.Relacin entre recursos/amenazas/riesgos La relacin con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o ms controles. 4.3.Anlisis de cobertura de los controles requeridos Este anlisis tiene como propsito determinar si los controles que el auditor identific como necesarios proveen una proteccin adecuada de los recursos.

Fase V: Evaluacin de Controles 5.1.Objetivos de la evaluacin Verificar la existencia de los controles requeridos Determinar la operatividad y suficiencia de los controles existentes 5.2.Plan de pruebas de los controles Incluye la seleccin del tipo de prueba a realizar. Debe solicitarse al rea respectiva, todos los elementos necesarios de prueba. 5.3.Pruebas de controles 5.4.Anlisis de resultados de las pruebas Fase VI: Informe de Auditoria 6.1. Informe detallado de recomendaciones 6.2. Evaluacin de las respuestas 6.3. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la reas. Introduccin: objetivo y contenido del informe de auditoria Objetivos de la auditora Alcance: cobertura de la evaluacin realizada Opinin: con relacin a la suficiencia del control interno del sistema evaluado

 Hallazgos Recomendaciones Fase VII: Seguimiento de Recomendaciones 7.1. Informes del seguimiento 7.2. Evaluacin de los controles implantados 1.1.10. Planeacin de la auditora en informtica

Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos: Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. 1.1.11. Revisin Preliminar

En esta fase el auditor debe de armarse de un conocimiento amplio del rea que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y personal que lo opera sin trabajar porque esto le genera perdidas sustanciosas), herramientas y

conocimientos previos, as como de crear su equipo de auditores expertos

en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria.

Es de tomarse en cuenta que el propietario de dicha empresa, ordena una auditoria cuando siente que un rea tiene una falla o simplemente no trabaja productivamente como se sugiere, por esta razn habr puntos claves que se nos instruya sean revisados, hay que recordar que las auditorias parten desde un mbito administrativo y no solo desde la parte tecnolgica, porque al fin de cuentas hablamos de tiempo y costo de produccin, ejercicio de ventas, etc. Es decir, todo aquello que representa un gasto para la empresa.