Introducción

Los Sistemas Informáticos se han constituido en las herramientas más

poderosas para materializar uno de los conceptos más vitales y necesarios
para cualquier organización empresarial, los Sistemas de Información de la
empresa.

La Informática hoy, está subsumida en la gestión integral de la empresa, y

por eso las normas y estándares propiamente informáticos deben estar, por lo
tanto, sometidos a los generales de la misma. En consecuencia, las
organizaciones informáticas forman parte de lo que se ha denominado la
gestión de la empresa. Cabe aclarar que la Informática no gestiona
propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí
misma. Por ende, debido a su importancia en el funcionamiento de una
empresa, existe la auditoria Informática.

La auditoría en informática es la revisión y la evaluación de los controles,

sistemas, procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la organización que participan en el
procesamiento de la información, a fin de que por medio del señalamiento de
cursos alternativos se logre una utilización más eficiente y segura de la
información que servirá para una adecuada toma de decisiones.

La auditoría en informática deberá comprender no sólo la evaluación de los

equipos de cómputo, de un sistema o procedimiento específico, sino que
además habrá de evaluar los sistemas de información en general desde sus
entradas, procedimientos, controles, archivos, seguridad y obtención de
información.

La auditoría en informática es de vital importancia para el buen desempeño

de los sistemas de información, ya que proporciona los controles necesarios
para que los sistemas sean confiables y con un buen nivel de seguridad.
Además debe evaluar todo (informática, organización de centros de
información, hardware y software).
Auditoría de Sistemas

 La verificación de controles en el procesamiento de la información,

desarrollo de sistemas e instalación con el objetivo de evaluar su
efectividad y presentar recomendaciones a la Gerencia.
 La actividad dirigida a verificar y juzgar información.
 El examen y evaluación de los procesos del Área de Procesamiento
automático de Datos (PAD) y de la utilización de los recursos que en
ellos intervienen, para llegar a establecer el grado de eficiencia,
efectividad y economía de los sistemas computarizados en una
empresa y presentar conclusiones y recomendaciones encaminadas
a corregir las deficiencias existentes y mejorarlas.
 El proceso de recolección y evaluación de evidencia para determinar
si un sistema automatizado:

En resumen, es el examen o revisión de carácter objetivo (independiente),

crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas,
normas, prácticas, funciones, procesos, procedimientos e informes
relacionados con los sistemas de información computarizados, con el fin de
emitir una opinión profesional (imparcial) con respecto a:

 Eficiencia en el uso de los recursos informáticos

 Validez de la información.
 Efectividad de los controles establecidos.

Objetivos Generales de una Auditoría de Sistemas

 Buscar una mejor relación

costo-beneficio de los sistemas automáticos o computarizados diseñados e
implantados por el PAD.
 Incrementar la satisfacción
de los usuarios de los sistemas computarizados
 Asegurar una mayor
integridad, confidencialidad y confiabilidad de la información mediante la
recomendación de seguridades y controles.
 Conocer la situación actual
del área informática y las actividades y esfuerzos necesarios para lograr los
objetivos propuestos.
 Seguridad de personal,
datos, hardware, software e instalaciones.
 Apoyo de función
informática a las metas y objetivos de la organización
 Seguridad, utilidad,
confianza, privacidad y disponibilidad en el ambiente informático
 Minimizar existencias de
riesgos en el uso de Tecnología de información
 Decisiones de inversión y
gastos innecesarios
 Capacitación y educación
sobre controles en los Sistemas de Información

Es el objetivo final de una auditoría de sistemas bien implementada,

desarrollar software capaz de estar ejerciendo un control continuo de las
operaciones del área de procesamiento de datos.

Justificativos para Efectuar una Auditoría de Sistemas

 Aumento considerable e injustificado del presupuesto del PAD

(Departamento de Procesamiento de Datos)
 Desconocimiento en el nivel directivo de la situación informática de la
empresa
 Falta total o parcial de seguridades lógicas y físicas que garanticen la
integridad del personal, equipos e información.
 Descubrimiento de fraudes efectuados con el computador
 Falta de una planificación informática
 Organización que no funciona correctamente, falta de políticas,
objetivos, normas, metodología, asignación de tareas y adecuada
administración del Recurso Humano
 Descontento general de los usuarios por incumplimiento de plazos y
mala calidad de los resultados
 Falta de documentación o documentación incompleta de sistemas que
revela la dificultad de efectuar el mantenimiento de los sistemas en
producción.

Importancia

La auditoria de sistemas, es importante porque permite mostrar las

debilidades y las fortalezas de esta empresa, con respecto a los controles que
se estén empleando, a los sistemas y procedimientos de la informática, los
equipos de cómputo que se emplean, su utilización, eficiencia y seguridad.

Para ello se realiza una inspección pormenorizada de los sistemas de

información, desde sus entradas, procedimientos, comunicación, controles,
archivos, seguridad, personal y obtención de la información, cabe recalcar que,
la auditoria inicia su actividad cuando los sistemas están operativos y el
principal objetivo es el de mantener tal como está la situación para comenzar el
levantamiento de información.

Posteriormente la auditoria generara un informe, para que las debilidades

que son detectadas, sean corregidas y se establecen nuevos métodos de
prevención con el fin de mejorar los procesos, aumentar la confiabilidad en los
sistemas y reducir los riesgos.

Alcance de la Auditoria Informática

 El alcance ha de definir con precisión el entorno y los límites en que va a
desarrollarse la auditoria informática, se complementa con los objetivos de
ésta. El alcance ha de figurar expresamente en el informe final, de modo que
quede perfectamente determinado no solamente hasta que puntos se ha
llegado, sino cuales materias fronterizas han sido omitidas.

Razones para la Existencia de la Función de Auditoria de Sistema

1. La información es un recurso clave en la empresa para:

 Planear el futuro, controlar el presente y evaluar el pasado.

2. Las operaciones de la empresa dependen cada vez más de la

sistematización.

3. Los riesgos tienden a aumentar, debido a:

 Pérdida de información

 Pérdida de activos.

 Pérdida de servicios/ventas.

4. La sistematización representa un costo significativo para

 la empresa en cuanto a: hardware, software y personal.

5. Los problemas se identifican sólo al final.

6. El permanente avance tecnológico.

Riesgos Asociados con la Auditoria de Sistema

Hardware
  Descuido o falta de protección: Condiciones inapropiadas, mal
manejo, no observancia de las normas.
 Destrucción.

Software:

 Uso o acceso
 Copia
 Modificación
 Destrucción
 Hurto
 Errores u omisiones.

Archivos:

 Usos o acceso
 Copia, modificación, destrucción, hurto.

Organización:

 Inadecuada: no funcional, sin división de funciones.

 Falta de seguridad,
 Falta de políticas y planes.

Personal:

 Deshonesto, incompetente y descontento.

Usuarios:

 Enmascaramiento, falta de autorización, falta de conocimiento de su

función.
Normas Generales Para los Sistemas de Auditoría de la Información

Título de auditoría

Responsabilidad, autoridad y rendimiento de cuentas, la responsabilidad, la

autoridad y el rendimiento de cuentas abarcados por la función de auditoría de
los sistemas de información se documentarán de la manera apropiada en un
título de auditoría o carta de contratación.

Independencia

Independencia Profesional

En todas las cuestiones relacionadas con la auditoría, el auditor de sistemas

de información deberá ser independiente de la organización auditada tanto en
actitud como en apariencia.

Relación Organizativa

La función de auditoría de los sistemas de información deberá ser lo

suficientemente independiente del área que se está auditando para permitir
completar de manera objetiva la auditoría.

Ética y Normas Profesionales

Código de Ética Profesional

El auditor de sistemas de información deberá acatar el Código de Ética

Profesional de la Asociación de Auditoría y Control de Sistemas de
Información.

Atención Profesional Correspondiente

 En todos los aspectos del trabajo del auditor de sistemas de información, se
deberá ejercer la atención profesional correspondiente y el cumplimiento de las
normas aplicables de auditoría profesional.

Idoneidad

Habilidades y Conocimientos

El auditor de sistemas de información debe ser técnicamente idóneo, y tener

las habilidades y los conocimientos necesarios para realizar el trabajo como
auditor.

Educación Profesional Continúa

El auditor de sistemas de información deberá mantener la idoneidad técnica

por medio de la educación profesional continua correspondiente.

Planificación

Planificación de la auditoría

El auditor de sistemas de información deberá planificar el trabajo de

auditoría de los sistemas de información para satisfacer los objetivos de la
auditoría y para cumplir con las normas aplicables de auditoría profesional.

Ejecución del trabajo de auditoría

Supervisión
El personal de auditoría de los sistemas de información debe recibir la
supervisión apropiada para proporcionar la garantía de que se cumpla con los
objetivos de la auditoría y que se satisfagan las normas aplicables de auditoría
profesional.

Evidencia
Durante el transcurso de una auditoría, el auditor de sistemas de información
deberá obtener evidencia suficiente, confiable, relevante y útil para lograr de
manera eficaz los objetivos de la auditoría. Los hallazgos y conclusiones de la
auditoría se deberán apoyar por medio de un análisis e interpretación
apropiados de dicha evidencia.

Informes

Contenido y Formato de los Informes

En el momento de completar el trabajo de auditoría, el auditor de sistemas

de información deberá proporcionar un informe, de formato apropiado, a los
destinatarios en cuestión. El informe de auditoría deberá enunciar el alcance,
los objetivos, el período de cobertura y la naturaleza y amplitud del trabajo de
auditoría realizado.

El informe deberá identificar la organización, los destinatarios en cuestión y

cualquier restricción con respecto a su circulación. El informe deberá enunciar
los hallazgos, las conclusiones y las recomendaciones, y cualquier reserva o
consideración que tuviera el auditor con respecto a la auditoría.

Actividades de Seguimiento

Seguimiento
El auditor de sistemas de información deberá solicitar y evaluar la
información apropiada con respecto a hallazgos, conclusiones y
recomendaciones relevantes anteriores para determinar si se han
implementado las acciones apropiadas de manera oportuna.

Áreas de Aplicación

La función de Desarrollo es una evolución del llamado Análisis y

Programación de Sistemas y Aplicaciones. A su vez, engloba muchas áreas,
tantas como sectores informatizables tiene la empresa.

Muy concisamente, una Aplicación recorre las siguientes fases:

 prerrequisitos del Usuario (único o plural) y del entorno

 Análisis funcional
 Diseño
 Análisis orgánico (Reprogramación y Programación)
 Pruebas
 Entrega a Explotación y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso

contrario, además del disparo de los costes, podrá producirse la insatisfacción
del usuario. Finalmente, la auditoria deberá comprobar la seguridad de los
programas en el sentido de garantizar que los ejecutados por la maquina sean
exactamente los previstos y no otros.

Planes de Auditoria de Sistema

Deben entenderse como una proyección del trabajo de auditoría definiendo

su norte e indicando las pautas a seguir para lograr su desarrollo por lo tanto
debe responder a las siguientes preguntas:

 Que se debe hacer?

 Que aspecto se van a auditar?
 Cuando se debe hacer?
 Como se van a realizar?
 De que recursos se disponen?

Cuestionarios que de ser respondidas adecuadamente y oportunamente,

conducen a la optimización de recursos, evitando la improvisación y desfases
en la estimación.

Objetivo

Suministrar Informaciones
Optimizar
Respaldo consistente, actualizadas
Empresarial
Recursos permanentes

Evitar duplicidad
Optimizar de esfuerzo
Recursos
Objetivo de la
Planeación
Auditoria de
Sistema
 Identificación de
Minimizar Costo requerimiento

Evitar
Controlar Activo
improvisación

Instrumento de Recopilación de datos Aplicables en la Auditoria de

Sistema

 Entrevistas
 Cuestionario
 Observación
 Inventario
 Muestreo
 Experimentación

Entrevista: Las entrevistas se utilizan para recabar información en forma

verbal, a través de preguntas que propone el analista. Quienes responden
pueden ser gerentes o empleados, los cuales son usuarios actuales del
sistemaexistente, usuarios potenciales del sistema propuesto o aquellos que
proporcionarán datos o serán afectados por la aplicación propuesta. El analista
puede entrevistar al personal en forma individual o en grupos algunos analistas
prefieren este métodoa las otras técnicas que se estudiarán más adelante. Sin
embargo, las entrevistas no siempre son la mejor fuente de datos de aplicación.

Cuestionario: es el instrumento más utilizado para recolectar información de

manera clara y precisa. Consiste en un conjunto de preguntas formuladas en
base a una o más variables a medir, donde se utiliza un formulario impreso
estandarizado de preguntas, en el cual él con testante llena por sí mismo. El
contenido de las preguntas de un cuestionario puede ser tan variado como los
aspectos que mida.

Observación: es un elemento fundamental de todo proceso investigativo; en

ella se apoya el investigador para obtener el mayor número de datos.

Inventario: son bienes que se tienen el curso del negocio. Para así conocer
qué cantidad y qué tipo de bienes usa la empresa, además verificar los que
están relacionados con la auditoria.

Muestreo: Es la actividad por la cual se toman ciertas muestras de una

población de elementos de los cuales vamos a tomar ciertos criterios de
decisión, el muestreo es importante porque a través de él podemos hacer
análisis de situaciones de empresa o de algún campo de la sociedad.

Técnicas de evaluación

 Examen
 Inspección
 Confirmación
 Comparación
 Revisión

Técnicas Especiales para Auditoria de Sistema

 Guías de evaluación
 Ponderación, simulación
 Diagrama del circulo de sistema
 Diagrama de sistema
 Matriz de evaluación
  Programa de verificación
 Seguimiento de programa

Marco Esquemático o Evaluación de la Auditoria de Sistema

Hardware

 Plataforma
 Tarjeta madre
 Procesadores
 Dispositivos periféricos
 Arquitectura del sistema
 Instalación eléctrica de datos y de telecomunicación

Software

 Plataforma del software

 Sistema operativo
 Lenguaje y programas de desarrollo
 Programas, paquetes de aplicación y base de datos

Gestión Informático

 Actitud administrativo del área de sistema

 Operación del sistema de computo
 Planes y control de actividades
 Gestión de activos de información
 Capacitación y desarrollo del personal informativo
 Administración de estándares de operación programas y desarrollo

Informa

 Administración , seguridad y control de la información

 Salvaguardar, protección y custodia de la información
 Cumplimiento de los característica de la información

Diseño de Sistema
  Metodología de desarrollo de sistema
 Estándares de programación y desarrollo
 Documentos de sistema

Base de Datos

 Administración débase de datos

 Diseño de base de datos

Controles

Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y

actitudes de las empresas y para ello permite verificar si todo se realiza
conforme a los programas adoptados, órdenes impartidas y principios
admitidos.

Controles de los Generales

Sistema de información Operativos
Técnico

Control General

Son aquellos controles ejercidos sobre las actividades y recursos

comprendidos en el desarrollo de los sistemas informativos implico proceso de
planificación, definición clara y precisa de metas y objetivos institucionales,
definición de valores de lo organización, apertura a la comunicación, desarrollo
de equipos de mejoramiento continuo, programas de capacitación y
entrenamiento.

Control Operativo

Son diseñados, desarrollados e implementados para sistemas específicos

buscando garantizar con ellos que todas las operaciones sean autorizadas y
procesadas de una manera completa, exacta y oportuna y tiene que ver con
control y organización de proyectos, control de flujo de información revisión del
diseño del sistema administrativo de datos, controles de cambios o programas,
bitácoras de cambios, mantenimientos y documentación, control de programas,
reportes varios diseños y control de formatos, comunicación.

Control Técnico

Tiene que ver con la tecnología de la información como son los controles de
operación de hardware, seguridad sobre los sistemas de información reporte de
detalles, control de usuario, restricción de accesos de datos , archivos y
programas, utilización de hardware, controles lógicos del sistema, sistemas
operativos, sistema de mantenimientos, planes de contingencia.

Clasificación general de los controles

 Controles Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo,
permitiendo cierto margen de violaciones.

Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones

Sistemas de claves de acceso

 Controles detectivos

Son aquellos que no evitan que ocurran las causas del riesgo sino que los
detecta luego de ocurridos. Son los más importantes para el auditor. En cierta
forma sirven para evaluar la eficiencia de los controles preventivos.

Ejemplo: Archivos y procesos que sirvan como pistas de auditoría

Procedimientos de validación

 Controles Correctivos

Ayudan a la investigación y corrección de las causas del riesgo. La corrección

adecuada puede resultar dificil e ineficiente, siendo necesaria la implantación
de controles detectivos sobre los controles correctivos, debido a que la
corrección de errores es en si una actividad altamente propensa a errores.

Metodología de Trabajo de Auditoria Informática

El método de trabajo del auditor pasa por las siguientes etapas:

1. Alcance y objetivos de la auditoria Informática.

2. Estudio inicial del entorno auditable.
3. Determinación de los recursos necesarios para realizar la auditoria.
4. Elaboración del plan y de los programas de trabajo.
5. Actividades propiamente dichas de la auditoria.
6. Confección y redacción del Informe Final.
7. Carta de introducción o presentación del informe final.

1. Alcance y Objetivos de la Auditoria Informática

El alcance de la auditoria expresa los límites de la misma. Debe existir un

acuerdo muy preciso entre auditores y clientes sobre las funciones, las
materias y las organizaciones a auditar.

A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes
expresar las excepciones de alcance de la auditoria, es decir cuales materias,
funciones u organizaciones no van a ser auditadas.

Tanto los alcances como las excepciones deben figurar al comienzo del
Informe Final. Las personas que realizan la auditoria han de conocer con la
mayor exactitud posible los objetivos a los que su tarea debe llegar, además
deben comprender los deseos y pretensiones del cliente, de forma que las
metas fijadas puedan ser cumplidas.

Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a

los objetivos generales y comunes de a toda auditoria Informática: La
operatividad de los Sistemas y los Controles Generales de Gestión Informática.
 2. Estudio Inicial del entorno auditable

Para realizar dicho estudio ha de examinarse las funciones y actividades

generales de la informática, para su realización el auditor debe conocer lo
siguiente:

Organización

Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién

ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en:

1) Organigrama:

El organigrama expresa la estructura oficial de la organización a auditar. Si

se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá
de manifiesto tal circunstancia.

2) Departamentos:

Se entiende como departamento a los órganos que siguen inmediatamente

a la Dirección. El equipo auditor describirá brevemente las funciones de cada
uno de ellos.

3) Relaciones Jerárquicas y funcionales entre órganos de la Organización:

El equipo auditor verificará si se cumplen las relaciones funcionales y

Jerárquicas previstas por el organigrama, o por el contrario detectará, por
ejemplo, si algún empleado tiene dos jefes.

Las de Jerarquía implican la correspondiente subordinación. Las funcionales

por el contrario, indican relaciones no estrictamente subordinables.

4) Flujos de Información:

Además de las corrientes verticales intra=departamentales, la estructura

organizativa cualquiera que sea, produce corrientes de información
horizontales y oblicuas extra=departamentales.
 Los flujos de información entre los grupos de una organización son
necesarios para su eficiente gestión, siempre y cuando tales corrientes no
distorsionen el propio organigrama.

En ocasiones, las organizaciones crean espontáneamente canales

alternativos de información, sin los cuales las funciones no podrían ejercerse
con eficacia; estos canales alternativos se producen porque hay pequeños o
grandes fallos en la estructura y en el organigrama que los representa.

Otras veces, la aparición de flujos de información no previstos obedece a

afinidades personales o simple comodidad. Estos flujos de información son
indeseables y producen graves perturbaciones en la organización.

5. Número de Puestos de trabajo

El equipo auditor comprobará que los nombres de los Puesto de trabajo de

la organización corresponden a las funciones reales distintas. Es frecuente que
bajo nombres diferentes se realicen funciones idénticas, lo cual indica la
existencia de funciones operativas redundantes.

Esta situación pone de manifiesto deficiencias estructurales; los auditores

darán a conocer tal circunstancia y expresarán el número de puestos de trabajo
verdaderamente diferentes.

6. Número de personas por Puesto de Trabajo

Es un parámetro que los auditores informáticos deben considerar. La

inadecuación del personal determina que el número de personas que realizan
las mismas funciones rara vez coincida con la estructura oficial de la
organización.

Entorno Operacional

El equipo de auditoría informática debe poseer una adecuada referencia del

entorno en el que va a desenvolverse. Este conocimiento previo se logra
determinando, fundamentalmente, los siguientes extremos:

a. Situación geográfica de los Sistemas:

 Se determinará la ubicación geográfica de los distintos centros de proceso de
datos en la empresa. A continuación, se verificará la existencia de
responsables en cada unos de ellos, así como el uso de los mismos estándares
de trabajo.

b- Arquitectura y configuración de Hardware y Software:

Cuando existen varios equipos, es fundamental la configuración elegida para

cada uno de ellos, ya que los mismos deben constituir un sistema compatible e
intercomunicado. La configuración de los sistemas está muy ligada a las
políticas de seguridad lógica de las compañías.

Los auditores, en su estudio inicial, deben tener en su poder la distribución e

interconexión de los equipos.

c. Inventario de Hardware y Software:

El auditor recabará información escrita, en donde figuren todos los elementos

físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs,
unidades de control local y remoto, periféricos de todo tipo, etc.

El inventario de software debe contener todos los productos lógicos del

Sistema, desde el software básico hasta los programas de utilidad adquiridos o
desarrollados internamente. Suele ser habitual clasificarlos en facturables y no
facturables.

d. Comunicación y Redes de Comunicación:

En el estudio inicial los auditores dispondrán del número, situación y

características principales de las líneas, así como de los accesos a la red
pública de comunicaciones. Igualmente, poseerán información de las Redes
Locales de la Empresa.

Aplicaciones bases de datos y ficheros

El estudio inicial que han de realizar los auditores se cierra y culmina con una
idea general de los procesos informáticos realizados en la empresa auditada.
Para ello deberán conocer lo siguiente:

A. Volumen, antigüedad y complejidad de las Aplicaciones

B. Metodología del Diseño

Se clasificará globalmente la existencia total o parcial de metodología en el

desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo
se pondrá de manifiesto.

C. Documentación

La existencia de una adecuada documentación de las aplicaciones

proporciona beneficios tangibles e inmediatos muy importantes. La
documentación de programas disminuye gravemente el mantenimiento de los
mismos.

D. Cantidad y complejidad de Bases de Datos y Ficheros.

El auditor recabará información de tamaño y características de las Bases de

Datos, clasificándolas en relación y jerarquías. Hallará un promedio de número
de accesos a ellas por hora o días. Esta operación se repetirá con los ficheros,
así como la frecuencia de actualizaciones de los mismos.

3. Determinación de los Recursos Necesarios para Realizar la Auditoria

Mediante los resultados del estudio inicial realizado se procede a determinar

los recursos humanos y materiales que han de emplearse en la auditoria.

Recursos materiales

Es muy importante su determinación, por cuanto la mayoría de ellos son

proporcionados por el cliente. Las herramientas software propias del equipo
van a utilizarse igualmente en el sistema auditado, por lo que han de
convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.

Los recursos materiales del auditor son de dos tipos:

Recursos Materiales Software

 Programas propios de la auditoria: Son muy potentes y flexibles,
Habitualmente se añaden a las ejecuciones de los procesos del cliente para
verificarlos.

Monitores: Se utilizan en función del grado de desarrollo observado en la

actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los
datos ya existentes.

Recursos Materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el

cliente, los procesos de control deben efectuarse necesariamente en las
Computadoras del auditado.

Para lo cual habrá de convenir, tiempo de máquina, espacio de disco,

impresoras ocupadas, entre otros.

Recursos Humanos

La cantidad de recursos depende del volumen auditable, así mismo las

características y perfiles del personal seleccionado depende de la materia
auditable.

Es igualmente reseñable que la auditoría en general suele ser ejercida por

profesionales universitarios y por otras personas de probada experiencia
multidisciplinaria.

Perfiles Profesionales de los Auditores Informáticos

Profesión Actividades y conocimientos deseables

Informático Generalista Con experiencia amplia en ramas distintas.

Deseable que su labor se haya desarrollado
en Explotación y en Desarrollo de Proyectos.
Conocedor de Sistemas.

Experto en Desarrollo de Amplia experiencia como responsable de

Proyectos proyectos. Experto analista. Conocedor de
las metodologías de Desarrollo más
importantes.
 Técnico de Sistemas Experto en Sistemas Operativos y Software
Básico. Conocedor de los productos
equivalentes en el mercado. Amplios
conocimientos de Explotación.

Experto en Bases de Datos y Con experiencia en el mantenimiento de

Administración de las mismas. Bases de Datos. Conocimiento de productos
compatibles y equivalentes. Buenos
conocimientos de explotación

Experto en Software de Alta especialización dentro de la técnica de

Comunicación sistemas. Conocimientos profundos de
redes. Muy experto en Subsistemas de
teleproceso.

Experto en Explotación y Responsable de algún Centro de Cálculo.

Gestión de CPD´S Amplia experiencia en Automatización de
trabajos. Experto en relaciones humanas.
Buenos conocimientos de los sistemas.

Técnico de Organización Experto organizador y coordinador.

Especialista en el análisis de flujos de
información.

Técnico de evaluación de Economista con conocimiento de Informática.

Costes Gestión de costes.

4. Elaboración del Plan y de los Programas de Trabajo

Una vez asignados los recursos, el responsable de la auditoría y sus

colaboradores establecen un plan de trabajo, decidido éste, se procede a la
programación del mismo. El plan se elabora teniendo en cuenta, entre otros
criterios, los siguientes:

a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el

primer caso, la elaboración es más compleja y costosa.

b) Si la auditoria es global, de toda la Informática, o parcial. El volumen

determina no solamente el número de auditores necesarios, sino las
especialidades necesarias del personal.
 En el plan no se consideran calendarios, porque se manejan recursos
genéricos y no específicos.
 En el Plan se establecen los recursos y esfuerzos globales que van a ser
necesarios.
 En el Plan se establecen las prioridades de materias auditables, de
acuerdo siempre con las prioridades del cliente.
 El Plan establece disponibilidad futura de los recursos durante la
revisión.
 El Plan estructura las tareas a realizar por cada integrante del grupo.
 En el Plan se expresan todas las ayudas que el auditor ha de recibir del
auditado.

Una vez elaborado el Plan, se procede a la Programación de actividades.

Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo
del proyecto.

5. Actividades propiamente dichas de la Auditoria

Auditoria por temas generales o por áreas específicas:

La auditoria Informática general se realiza por áreas generales o por áreas

específicas. Si se examina por grandes temas, resulta evidente la mayor
calidad y el empleo de más tiempo total y mayores recursos. Cuando la
auditoria se realiza por áreas específicas, se abarcan de una vez todas las
peculiaridades que afectan a la misma, de forma que el resultado se obtiene
más rápidamente y con menor calidad.

Técnicas de Trabajo:

 Análisis de la información recabada del auditado.

 Análisis de la información propia.
 Cruzamiento de las informaciones anteriores.
 Entrevistas.
  Simulación.
 Muestreos.

Herramientas:
 Cuestionario general inicial.
 Cuestionario Checklist.
 Estándares.
 Monitores.
 Simuladores (Generadores de datos).
 Paquetes de auditoría (Generadores de Programas).
 Matrices de riesgo.

6. Confección y Redacción del Informe Final

La función de la auditoria se materializa exclusivamente por escrito, por lo

tanto la elaboración final es el exponente de su calidad.

Resulta evidente la necesidad de redactar borradores e informes parciales

previos al informe final, los que son elementos de contraste entre opinión entre
auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.

Estructura del Informe Final

1. El informe comienza con la fecha de comienzo de la auditoria y la fecha

de redacción del mismo. Se incluyen los nombres del equipo auditor y
los nombres de todas las personas entrevistadas, con indicación de la
jefatura, responsabilidad y puesto de trabajo que ostente.
2. Definición de objetivos y alcance de la auditoria.
3. Enumeración de temas considerados:
 Antes de tratarlos con profundidad, se enumerarán lo más
exhaustivamente posible todos los temas objeto de la auditoria.
4. Cuerpo expositivo:

Para cada tema, se seguirá el siguiente orden a saber:

a. Situación actual. Cuando se trate de una revisión periódica, en la que

se analiza no solamente una situación sino además su evolución en el
tiempo, se expondrá la situación prevista y la situación real.

b. Tendencias. Se tratarán de hallar parámetros que permitan

establecer tendencias futuras.

c. Puntos débiles y amenazas.

d. Recomendaciones y planes de acción. Constituyen junto con la

exposición de puntos débiles, el verdadero objetivo de la auditoría
informática.

e. Redacción posterior de la Carta de Introducción o Presentación.

Modelo Conceptual de la Exposición del Informe Final

El informe debe incluir solamente hechos importantes, es decir, la inclusión

de hechos poco relevantes o accesorios desvía la atención del lector,
igualmente debe consolidar los hechos que se describen en el mismo.

El término de "hechos consolidados" adquiere un especial significado de

verificación objetiva y de estar documentalmente probados y soportados. La
consolidación de los hechos debe satisfacer, al menos los siguientes criterios:

 El hecho debe poder ser sometido a cambios.

 Las ventajas del cambio deben superar los inconvenientes derivados de
mantener la situación.
 No deben existir alternativas viables que superen al cambio propuesto.
 La recomendación del auditor sobre el hecho debe mantener o mejorar
las normas y estándares existentes en la instalación.

La aparición de un hecho en un informe de auditoría implica necesariamente

la existencia de una debilidad que ha de ser corregida.

Flujo del hecho o debilidad:

1 Hecho encontrado.

 Ha de ser relevante para el auditor y pera el cliente.

 Ha de ser exacto, y además convincente.
 No deben existir hechos repetidos.

2 Consecuencias del hecho

 Las consecuencias deben redactarse de modo que sean

directamente deducibles del hecho.

3 Repercusión del hecho

 Se redactará las influencias directas que el hecho pueda tener

sobre otros aspectos informáticos u otros ámbitos de la empresa.

4 Conclusión del hecho

 No deben redactarse conclusiones más que en los casos en que

la exposición haya sido muy extensa o compleja.

5 Recomendación del auditor informático

 Deberá entenderse por sí sola, por simple lectura.

 Deberá estar suficientemente soportada en el propio texto.
 Deberá ser concreta y exacta en el tiempo, para que pueda ser
verificada su implementación.
 La recomendación se redactará de forma que vaya dirigida
expresamente a la persona o personas que puedan
implementarla.

7. Carta de Introducción o Presentación del Informe Final

 La carta de introducción tiene especial importancia porque en ella ha de
resumirse la auditoría realizada. Se destina exclusivamente al responsable
máximo de la empresa, o a la persona concreta que encargo o contrato la
auditoria.

Así como pueden existir tantas copias del informe Final como solicite el
cliente, la auditoría no hará copias de la citada carta de Introducción.

La carta de introducción poseerá los siguientes atributos:

 Tendrá como máximo 4 folios.

 Incluirá fecha, naturaleza, objetivos y alcance.
 Cuantificará la importancia de las áreas analizadas.
 Proporcionará una conclusión general, concretando las áreas de gran
debilidad.
 Presentará las debilidades en orden de importancia y gravedad.
 En la carta de Introducción no se escribirán nunca recomendaciones.

Definición de la Metodología CRMR

CRMR son las siglas de Computer resource management review, su

traducción más adecuada, Evaluación de la gestión de recursos informáticos.
En cualquier caso, esta terminología quiere destacar la posibilidad de realizar
una evaluación de eficiencia de utilización de los recursos por medio del
management.

Una revisión de esta naturaleza no tiene en sí misma el grado de

profundidad de una auditoria informática global, pero proporciona soluciones
más rápidas a problemas concretos y notorios.

Supuestos de aplicación:
 En función de la definición dada, la metodología abreviada CRMR es
aplicable más a deficiencias organizativas y gerenciales que a problemas de
tipo técnico, pero no cubre cualquier área de un Centro de Procesos de Datos.

El método CRMR puede aplicarse cuando se producen algunas de las

situaciones que se citan:

 Se detecta una mala respuesta a las peticiones y necesidades de los

usuarios.
 Los resultados del Centro de Procesos de Datos no están a disposición
de los usuarios en el momento oportuno.
 Se genera con alguna frecuencia información errónea por fallos de datos
o proceso.
 Existen sobrecargas frecuentes de capacidad de proceso.
 Existen costes excesivos de proceso en el Centro de Proceso de Datos.

Efectivamente, son éstas y no otras las situaciones que el auditor

informático encuentra con mayor frecuencia. Aunque pueden existir factores
técnicos que causen las debilidades descritas, hay que convenir en la mayor
incidencia de fallos de gestión.

Áreas de aplicación:

Las áreas en que el método CRMR puede ser aplicado se corresponden con
las sujetas a las condiciones de aplicación señaladas en puntos anteriores:

 Gestión de Datos.
 Control de Operaciones.
 Control y utilización de recursos materiales y humanos.
 Interfaces y relaciones con usuarios.
 Planificación.
 Organización y administración.

Ciertamente, el CRMR no es adecuado para evaluar la procedencia de

adquisición de nuevos equipos (Capacity Planning) o para revisar muy a fondo
los caminos críticos o las holguras de un Proyecto complejo.

Objetivos:
 CRMR tiene como objetivo fundamental evaluar el grado de bondad o
ineficiencia de los procedimientos y métodos de gestión que se observan en un
Centro de Proceso de Datos. Las Recomendaciones que se emitan como
resultado de la aplicación del CRMR, tendrán como finalidad algunas de las
que se relacionan:

 Identificar y fijas responsabilidades.

 Mejorar la flexibilidad de realización de actividades.
 Aumentar la productividad.
 Disminuir costes
 Mejorar los métodos y procedimientos de Dirección.

Alcance

Se fijarán los límites que abarcará el CRMR, antes de comenzar el trabajo.

Se establecen tres clases:

1. Reducido. El resultado consiste en señalar las áreas de actuación con

potencialidad inmediata de obtención de beneficios.
2. Medio. En este caso, el CRMR ya establece conclusiones y
Recomendaciones, tal y como se hace en la auditoria informática
ordinaria.
3. Amplio. El CRMR incluye Planes de Acción, aportando técnicas de
implementación de las Recomendaciones, a la par que desarrolla las
conclusiones.

El Papel del Contador Público en la Auditoria de Sistema

Para poder desempeñar adecuadamente la función de Auditoria de Sistema,

el auditor deberá ser un profesional integro, poseedor de excelentes capacidad
académica, ética y morales, tener conocimiento suficiente y experiencia en
aspecto informáticos a nivel de hardware y software, comunicaciones, en
análisis, diseño y mantenimiento de sistemas de información.
 Esta forma es necesaria y así, el auditor debe tener conocimiento suficiente
para poder ejercer el papel de auditor y de esta manera poder lograr los
objetivos planteados

Conclusión

La auditoria informática está sometida al control correspondiente. El auditor

informático ha de velar por la correcta utilización de los amplios recursos que la
empresa pone en juego para disponer de una eficiente y eficaz herramienta de
colaboración en el sistema de información.

Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda

a la toma de decisiones, desde el momento en que es una herramienta
adecuada de colaboración. En este sentido y debido a su importancia en el
funcionamiento de una empresa, existe la Auditoria Informática.

Hacemos énfasis en la importancia de la auditoria como herramienta

gerencial para la toma de decisiones y para poder verificar los puntos débiles
de las organizaciones con el fin de tomar medidas y precauciones a tiempo.
Principalmente, la conclusión a la que hemos podido llegar, es que toda
empresa, pública o privada, que posean sistemas de información
medianamente complejos, deben de someterse a un control estricto de
evaluación de eficacia y eficiencia.
 Hoy en día, un alto porcentaje de las empresas tienen toda su información
estructurada en sistemas informáticos, de aquí, la vital importancia que los
sistemas de información funcionen correctamente. La empresa hoy, debe y
precisa informatizarse. El éxito de una empresa depende de la eficiencia de sus
sistemas de información. Una empresa puede tener un staff de gente de
primera, pero tiene un sistema informático propenso a errores, lento, vulnerable
e inestable; si no hay un balance entre estas dos cosas, la empresa nunca
saldrá a adelante.

En cuanto al trabajo de la auditoria en sí, podemos remarcar que se precisa

de gran conocimiento de Informática, seriedad, capacidad, minuciosidad y
responsabilidad; la auditoria de Sistemas debe hacerse por gente altamente
capacitada, una auditoria mal hecha puede acarrear consecuencias drásticas
para la empresa auditada, principalmente económicas.

Bibliografía

ALONSO TAMAYO ALZATE, Sistema de Información. Universidad Nacional de

Colombia, 2001, Colombia.

ALONSO RIVAS, GONZALO, Auditoria Informática. Díaz de Santos. Madrid

1998.

http://www.geocities.com/lsialer/NotasInteresantes.htm

JUAN RIVAS, ANTONIO DE y PÉREZ PASCUAL, AURORA

La Auditoria en el desarrollo de Proyectos Informáticos.
Díaz de Santos. Madrid 1998. 178 págs.

PIATTINI VELTHUIS, MARIO y DEL PESO NAVARRO EMILIO (Editores)

Auditoria Informática: Un enfoque práctico. Alfaomega. México 1998.

 
Auditoria de hardware y software en
estaciones de trabajo.
Índic

Alcance......................................................................................................................3

Objetivo......................................................................................................................3

Recursos....................................................................................................................3

Etapas de trabajo.......................................................................................................3

1. Recopilacion de informacion básica...............................................................3

2. Identificación de riesgos potenciales..............................................................4

3. Objetivos de control........................................................................................4

4. Determinacion de los procedimientos de control............................................4

5. Pruebas a realizar...........................................................................................5

6. Obtencion de los resultados...........................................................................5

7. Conclusiones y Comentarios:.........................................................................6

8. Redaccion del borrador del informe...............................................................6

9 . Presentación del borrador del informe, al responsable de

microinformática.....................................................................................................6

10. Redacción del Informe Resumen y Conclusiones.........................................6

11. Entrega del informe a los directivos de la empresa.......................................7

Alcance

La auditoria se realizará sobre los sistemas informaticos en computadoras

personales que estén conectados a la red interna de la empresa.

Objetivo

Tener un panorama actualizado de los sistemas de información en cuanto a la

seguridad fisica, las politicas de utilizacion, transferencia de datos y seguridad
de los activos.

Recursos

El numero de personas que integraran el equipo de auditoria sera de tres, con

un tiempo maximo de ejecucion de 3 a 4 semanas.

Etapas de trabajo

1. Recopilacion de informacion básica

Una semana antes del comienzo de la auditoria se envia un cuestionario a los

gerentes o responsables de las distintas areas de la empresa. El objetivo de
este cuestionario es saber los equipos que usan y los procesos que realizan en
ellos.

Los gerentes se encargaran de distribuir este cuestionario a los distintos

empleados con acceso a los computadores, para que tambien lo completen. De
esta manera, se obtendra una vision mas global del sistema.

Es importante tambien reconocer y entrevistarse con los responsables del area

de sistemas de la empresa para conocer con mayor profundidad el hardware y
el software utilizado.

En las entrevistas incluiran:

 Director / Gerente de Informatica

 Subgerentes de informatica

 Asistentes de informatica

 Tecnicos de soporte externo

2. Identificación de riesgos potenciales

Se evaluara la forma de adquisicion de nuevos equipos o aplicativos de
software. Los procedimientos para adquirirlos deben estar regulados y
aprobados en base a los estandares de la empresa y los requerimientos
minimos para ejecutar los programas base.

Dentro de los riesgos posibles, tambien se contemplaran huecos de

seguridad del propio software y la correcta configuracion y/o actualizacion
de los equipos criticos como el cortafuegos.

Los riesgos potenciales se pueden presentar de la mas diversa variedad de

formas.

3. Objetivos de control

Se evaluaran la existencia y la aplicación correcta de las politicas de

seguridad, emergencia y disaster recovery de la empresa.

Se hara una revicion de los manuales de politica de la empresa, que los

procedimientos de los mismos se encuentren actualizados y que sean
claros y que el personal los comprenda.

Debe existir en la Empresa un programa de seguridad, para la evaluación

de los riesgos que puedan existir, respecto a la seguridad del
mantenimiento de los equipos, programas y datos.

4. Determinacion de los procedimientos de control

Se determinaran los procedimientos adecuados para aplicar a cada uno

de los objetivos definidos en el paso anterior.

Objetivo N 1: Existencia de normativa de hardware.

 El hardware debe estar correctamente identificado y

documentado.

 Se debe contar con todas las órdenes de compra y facturas

con el fin de contar con el respaldo de las garantías
ofrecidas por los fabricantes.

 El acceso a los componentes del hardware esté restringido

a la directo a las personas que lo utilizan.

 Se debe contar con un plan de mantenimiento y registro de

fechas, problemas, soluciones y próximo mantenimiento
propuesto.

Objetivo N 2: Política de acceso a equipos.

  Cada usuario deberá contar con su nombre de usuario y
contraseña para acceder a los equipos.

 Las claves deberán ser seguras (mínimo 8 caracteres,

alfanuméricos y alternando mayúsculas y minúsculas).

 Los usuarios se desloguearan después de 5 minutos sin

actividad.

 Los nuevos usuarios deberán ser autorizados mediante

contratos de confidencialidad y deben mantenerse luego de
finalizada la relación laboral.

 Uso restringido de medios removibles (USB, CD-ROM,

discos externos etc).

5. Pruebas a realizar.

Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento

de los objetivos establecidos. Entre ellas podemos mencionar las siguientes
técnicas:

 Tomar 10 maquinas al azar y evaluar la dificultad de

acceso a las mismas.

 Intentar sacar datos con un dispositivo externo.

 Facilidad para desarmar una pc.

 Facilidad de accesos a información de confidencialidad

(usuarios y claves).

 Verificación de contratos.

 Comprobar que luego de 5 minutos de inactividad los

usuarios se deslogueen.

6. Obtencion de los resultados.

En esta etapa se obtendrán los resultados que surjan de la aplicación de los

procedimientos de control y las pruebas realizadas a fin de poder determinar si
se cumple o no con los objetivos de control antes definidos. Los datos
obtenidos se registrarán en planillas realizadas a medida para cada
procedimiento a fin de tener catalogado perfectamente los resultados con el
objetivo de facilitar la interpretacion de los mismos y evitar interpretaciones
erroneas.

7. Conclusiones y Comentarios:
En este paso se detallara el resumen de toda la información obtenida, asi como
lo que se deriva de esa información, sean fallas de seguridad, organización o
estructura empresarial. Se expondrán las fallas encontradas, en la seguridad
física sean en temas de resguardo de información (Casos de incendio, robo),
manejo y obtención de copias de seguridad, en las normativas de seguridad
como por ejemplo normativas de uso de passwords, formularios de adquisición
de equipos, y estudios previos a las adquisiciones para comprobar el beneficio
que los mismos aportarían. Finalmente se verán los temas de organización
empresarial, como son partes responsables de seguridad, mantenimiento y
supervisión de las otras áreas.

8. Redaccion del borrador del informe

Se detalla de manera concisa y clara un informe de todos los problemas

encontrados, anotando los datos técnicos de cada una de las maquinas
auditadas:

 Marca

 Modelo

 Numero de Serie

 Problema encontrado

 Solución recomendada

9 . Presentación del borrador del informe, al responsable de

microinformática

Se le presentara el informe borrador a un responsable del área informática,

como se aclaro en el punto anterior, con el máximo de detalle posible de todos
los problemas y soluciones posibles recomendadas, este informe se pasara por
escrito en original y copia firmando un documento de conformidad del mismo
para adquirir un compromiso fuerte en la solución de los mismos, de esta forma
evitaremos posibles confusiones futuras.

10. Redacción del Informe Resumen y Conclusiones.

Es en este paso es donde se muestran los verdarderos resultados a los

responsables de la empresa, el informe presentado dará a conocer todos los
puntos evaluados durante la auditoria, resultados, conclusiones, puntaje y
posibles soluciones.

La conclusión tendrá como temas los resultados, errores, puntos críticos y

observaciones de los auditores. Mientras que en el resumen se verán las
posibles soluciones de esos puntos críticos y fallas, así como recomendaciones
para el buen uso y también recomendaciones sobre la forma incorrecta de
realizar algunos procedimientos.

11. Entrega del informe a los directivos de la empresa.

Esta es la ultima parte de la auditoria y en una reunion se formaliza la entrega

del informe final con los resultados obtenidos en la auditoria.

Tambien se fijan los parametros si asi se requieren para realizar el

seguimientos de los puntos en los que el resultado no haya sido satifactorio o
simplemente se quiera verificar que los que los objetivos de control se sigan
cumpliendo a lo largo del tiempo.

Bibliografía.

Ejercicio práctico de la Universidad Pontificia de Salamanca.

Se examinó el trabajo realizado en dicha entidad y siguiendo las pautas

aplicadas en el informe, se fue elaborando el trabajo.