Repblica Bolivariana de Venezuela Instituto Universitario de Gerencia y Tecnologa (IUGT) Semestre: 5 Ctedra: Auditora de Sistemas Profesor: Jhampiert Barrios

INVESTIGACIN DE AUDITORA DE SISTEMAS

Integrantes: Angarita Ral, CI 13.308.768 Duque Roy, CI 11.679.128 Jimnez Sal, CI 18.913.086 Rivas Jaime, CI 17.530.816

Caracas, 02 de Junio de 2.013

INDICE GENERAL
Pg. Introduccin .............................................................................................................. 3 Conceptos Bsicos de Auditora de Sistemas ........................................................ 4 Tipos y Clases de Auditorias de Sistemas .............................................................. 5 Mtodos Tcnicas para Realizar Auditorias Informticas de Sistemas ... 17 Redaccin del Informe de Auditora de Sistemas ............................................... 19 Conclusin ................................................................................................................ 23 Referencias Bibliogrficas ....................................................................................... 24

Introduccin
A travs de los aos nos hemos dado cuenta que la auditoria es parte fundamental para el correcto funcionamiento de las organizaciones, debido a que mediante esta es posible detectar fallas que podran afectar su desempeo. En el caso de la auditora de sistemas, est permite revisar y evaluar toda evidencia la cual se recopila a travs de cuestionarios, y otros mtodos, as como verificar que se cumplan con todos los estndares de seguridad para de esta manera lograr que la organizacin sea ms gil, dinmica, controlada, y segura. El objetivo de la presente investigacin, es dar a conocer la que es una Auditora de Sistemas, sus Tipos, Metodologas, as como la forma correcta de elaborar un informe de la misma.

1) CONCEPTOS BSICOS DE AUDITORA DE SISTEMAS

Sistemas de Informacin (SI): 1. Son un conjunto de elementos relacionados entre s que procesan de forma manual automtica datos los cuales aportan a la organizacin informacin necesaria para el cumplimiento de sus fines objetivos. Estos realizan cuatro funciones bsicas: entrada, almacenamiento, procesamiento y salida de informacin. 2. Conjunto de informaciones estructuradas de acuerdo a las posibilidades de la entidad, el cual se apoya en un sistema evolucionado de tratamiento de datos, para suministrar las informaciones necesarias para la gestin y direccin de la organizacin. Auditora de Sistemas: 1. Es aquella mediante la cual se revisan y evalan, los controles, sistemas y procedimientos de los equipos informticos, as como su uso, su eficacia y seguridad brindada a la organizacin que participa en el procesamiento de la informacin, con la finalidad de lograr un uso ms eficaz y seguro de la informacin de los equipos, y del personal para de esta manera conseguir de forma integral una organizacin ms gil, dinmica, controlada y segura. 2. Es un proceso mediante el cual se recoge y verifica evidencia a fin de constatar que un sistema de informacin sea capaz de salvaguardar datos activos, mantener la integridad de los mismos, alcanzar las metas de la organizacin y si consume recursos de manera eficiente. La Auditora en Sistemas o Informtica se Compone de: Evaluacin de los equipos informticos Evaluacin de las aplicaciones Evaluacin de los procedimientos especficos Evaluacin de los sistemas de informacin, entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin

Auditor: El auditor es una persona capacitada y experimentada, encargada de la revisin y certificacin de los sistemas informticos dentro de las

organizaciones, el mismo deber contar con conocimientos amplios en Anlisis y Diseo Detallado de sistemas, es decir en informtica en general lo que le pueda permitir desempear su trabajo con calidad y efectividad.

2) TIPOS Y CLASES DE AUDITORIAS INFORMTICAS

Dentro de las reas generales, es posible establecer las siguientes divisiones: A. Auditoria Informtica de Explotacin. B. Auditoria Informtica de Sistemas. C. Auditoria Informtica de Comunicaciones. D. Auditoria Informtica de Desarrollo de Proyectos. E. Auditoria Informtica de Seguridad Debe evaluarse la diferencia entre la generalidad y la especificacin que posee la seguridad. Segn ella, realizarse una Auditoria Informtica de la Seguridad del entorno global de la informtica, mientras en otros casos puede auditarse una aplicacin concreta, en donde ser necesario analizar la seguridad de la misma. Cada rea especfica puede ser auditada con los criterios que detallamos: o Desde su propia funcionalidad interna. o Con el apoyo que recibe de la Direccin, y en forma ascendente, del grado de cumplimiento de las directrices de que sta imparte. o Desde la visin de los usuarios, destinatarios verdaderos de la informtica. o Desde el punto de vista de la seguridad, que ofrece la Informtica en general o la rama auditada. Las combinaciones descritas pueden ser ampliadas o reducidas, segn las caractersticas de la empresa auditada. Las Auditorias ms usuales son las referidas a las actividades especficas e internas de la propia actividad informtica.
5

A) AUDITORIA INFORMATICA DE EXPLOTACION La Explotacin Informtica se ocupa de producir resultados informticas de todo tipo: listados impresos, archivos magnticos para otros informticos, rdenes automatizadas para lanzar o modificar procesos industriales, etc. Para realizar la Explotacin informtica se dispone de materia prima los Datos, que sea necesario transformar, y que se sometan previamente a controles de integridad y calidad. La transformacin se realiza por medio del Proceso Informtico, el cual est dirigido por programas. Obtenido el producto final, los resultados son sometidos a controles de calidad, y finalmente son distribuidos al cliente, al usuario. En ocasiones, el propio cliente realiza funciones de reelaboracin del producto terminado. Para mantener el criterio finalista y utilitario, el concepto de centro productivo ayuda a la elaboracin de la Auditoria de la Explotacin. Auditar Explotacin consiste en auditar las secciones que la componen y sus interrelaciones. Las Bsicas son la planificacin de la produccin y la produccin misma de resultados informticos. El auditor debe tener en cuenta que la organizacin informtica est supeditada a la obtencin de resultados en plazo y calidad, siendo subsidiario a corto plazo cualquier otro objetivo. Se quiere insistir nuevamente en que la Operatividad es prioritaria, al igual que el plan crtico diario de produccin que debe ser protegido a toda costa. Control de entrada de datos: Se analiza la captura de informacin, plazos y agenda de tratamiento y entrega de datos, correccin en la transmisin de datos entre plataformas, verificacin de controles de integridad y calidad de datos se realizan de acuerdo a Norma. Planificacin y Recepcin de Aplicaciones: Se auditarn las normas de entrega de Aplicaciones, verificando cumplimiento y calidad de interlocutor nico. Debern realizarse muestras selectas de la documentacin de las Aplicaciones explotadas. Se analizarn las Libreras que los contienen en
6

cuanto a su organizacin y en lo relacionado con la existencia de Planificadores automticos o semiautomticos. Centro de Control y Seguimiento de Trabajos: Se analizar cmo se prepara, se lanza y se sigue la produccin diaria de los procesos Batch, o en tiempo real (Teleproceso). Las Aplicaciones de Teleproceso estn activas y la funcin de Explotacin se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe buena parte delos efectivos de Explotacin. Este grupo determina el xito de la explotacin, ya que es el factor ms importante en el mantenimiento de la produccin. Operadores de Centros de Cmputos: Es la nica profesin informtica con trabajo de noche. Destaca el factor de responsabilidad ante incidencias y desperfectos. Se analiza las relaciones personales, coherencia de cargos y salarios, la equidad de turnos de trabajos. Se verificar la existencia de un responsable del Centro de Cmputos el grado de automatizacin de comandos, existencia y grado de uso de Manuales de Operacin, existencia de planes de formacin, cumplimiento de los mismos y el tiempo transcurrido para cada operador desde el ltimo Curso recibido. Se analizar cantidad de montajes diarios y por horas de cintas o cartuchos, as como los tiempos transcurridos entre la peticin de montaje por parte del Sistema hasta el montaje real. Centro de Control de Red y Centro de Diagnosis: El Centro de Control de Red suele ubicarse en el rea de Explotacin. Sus funciones se refieren al mbito de Comunicaciones, estando relacionado con la organizacin de Comunicaciones Software de Tcnica de Sistemas. Debe analizarse la fluidez de esa relacin y el grado de coordinacin entre ambos, se verificar la existencia de un punto focal nico, desde el cual sean perceptibles todas las lneas asociadas a los Sistemas. El Centro de Diagnosis (Help-desk) es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufrido averas o incidencias, tanto

de software como de hardware. En funcin del cometido descrito, y en cuanto a software, est relacionado con el Centro de Control de Red. El Centro de Diagnosis indicado para empresas grandes y usuarios dispersos en un amplio territorio, es un elemento que contribuye a configurar la imagen de la Informtica de la Empresa. Debe ser auditado desde esta perspectiva, desde la sensibilidad del usuario sobre el servicio que se le dispensa. B) AUDITORIA INFORMATICA DE SISTEMAS Se ocupa de analizar la actividad propia de lo que se conoce como "Tcnica de Sistemas en todas sus facetas. En la actualidad, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado, aunque formen parte del entorno general de "Sistemas". Vamos a detallar los grupos a revisar: a) Sistemas Operativos: Proporcionados por el fabricante junto al equipo. Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Los Sistemas deben estar actualizados con las ltimas versiones del fabricante, indagando las causas de las omisiones si stas se han producido. El anlisis de las versiones de los S.O. permite descubrir posibles incompatibilidades entre algunos productos de Software adquiridos por la instalacin y determinadas versiones. Deben revisarse los parmetros de las Libreras importantes de los Sistemas, especialmente si difieren de los valores aconsejados por el constructor. b) Software Bsico: Conjunto de productos que, sin pertenecer al Sistema Operativo, configuran completamente los Sistemas Informticos, haciendo posible la reutilizacin defunciones bsicas no incluidas en aqul. Cmo distinguir ambos conceptos? La respuesta tiene un carcter econmico.

El Software bsico, o parte de l es abonado por el cliente a la firma constructora, mientras el Sistema Operativo y algunos programas muy bsicos, se incorporan a la mquina sin cargo al cliente. Es difcil decidir si una funcin debe ser incluida en el SO o puede ser omitida. Con independencia del inters terico que pueda tener la discusin de si una funcin es o no integrante del SO, para el auditor es fundamental conocer los productos de software bsico que han sido facturados aparte. Los conceptos de Sistema Operativo y Software Bsico tienen fronteras comunes, la poltica comercial de cada Compaa y sus relaciones con los clientes determinan el precio y los productos gratuitos y facturables. Otra parte importante del Software Bsico es el desarrollado e implementado en los Sistemas Informticos por el personal informtico de la empresa que permiten mejorar la instalacin. El auditor debe verificar que el software no agrede, no condiciona al Sistema, debe considerar el esfuerzo realizado en trminos de costos, por si hubiera alternativas ms econmicas. c) Software de Teleproceso: Se ha agregado del apartado anterior de Software Bsico por su especialidad e importancia. Son vlidas las consideraciones anteriores, Ntese la especial dependencia que el Software del Tiempo Real tiene respecto a la arquitectura de los Sistemas. d) Tunning: Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del comportamiento de los subsistemas y del Sistema en su conjunto. Las acciones de Tunning deben diferenciarse de los controles y medidas habituales que realiza el personal de Tcnica de Sistemas. El Tunning posee una naturaleza ms revisora, establecindose

previamente planes y programas de actuacin segn los sntomas observados. Los Tunning pueden realizarse: Cuando existe la sospecha de deterioro del comportamiento parcial o general del Sistema.

De modo sistemtico y peridico, por ejemplo cada seis meses. En este ltimo caso, las acciones de Tunning son repetitivas y estn planificadas y organizadas de antemano.

El auditor informtico deber conocer el nmero de Tunning realizados el ltimo ao, sus resultados, analizara los modelos de carga utilizados y los niveles e ndices de confianza de las observaciones. e) Optimizacin de los Sistemas y Subsistemas: Tcnica de Sistemas deber realizar acciones permanentes de optimizacin como consecuencia de la informacin diaria obtenida a travs de Log, Accounting, etc. Acta igualmente como consecuencia de la realizacin de Tunnings pre-programados o especficos. El auditor verificar que las acciones de optimizacin fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el "plan crtico de produccin diaria" de Explotacin. f) Administracin de Base de Datos: Es un rea que ha adquirido una gran importancia a causa de la proliferacin de usuarios y de las descentralizaciones habidas en las informticas de las empresas, el diseo de las bases de datos, ya sean relacionales o jerrquicas, se ha convertido en una actividad muy compleja y sofisticada, por lo general desarrollada en el mbito de Tcnica de Sistemas, y de acuerdo con las reas de Desarrollo y los usuarios de la empresa. El conocimiento de diseo y arquitectura de dichas Bases de Datos por parte de los Sistemas, ha cristalizado en la administracin de las mismas les sea igualmente encomendada. Aunque esta descripcin es la ms frecuente en la actualidad, los auditores informticos han observado algunas disfunciones derivadas de la relativamente escasa experiencia que Tcnica de Sistemas tiene sobre la problemtica general de los usuarios de las Bases de Datos. Comienzan a percibirse hechos tendentes a separar el diseo y la construccin de las Bases de Datos, de la administracin de las mismas, administracin sta que sera realizada por Explotacin. Sin embargo, esta tendencia es an poco significativa.
10

El auditor informtico de Bases de Datos deber asegurarse que Explotacin conoce suficientemente las que son accedidas por los

Procedimientos que ella ejecuta. Analizar los sistemas de salvaguarda existentes, que competen igualmente a Explotacin. Revisar finalmente la integridad y consistencia delos datos, as como la ausencia de redundancias entre ellos. g) Investigacin y Desarrollo: El campo informtico sigue evolucionando rpidamente. Multitud de Compaas, de Software mayoritariamente, aparecen en el mercado. Como consecuencia, algunas empresas no dedicadas en principio a la venta de productos informticos, estn potenciando la investigacin de sus equipos de Tcnica de Sistemas y Desarrollo, de forma que sus productos puedan convertirse en fuentes de ingresos adicionales. La Auditoria informtica deber cuidar de que la actividad de Investigacin ms la de desarrollo de las empresas no vendedoras, no interfiera ni dificulte las tareas fundamentales internas. En todo caso, el auditor advertir en su Informe de los riesgos que haya observado. No obstante, resultara muy provechoso comercializar alguna aplicacin interna, una vez que est terminada y funcionando a satisfaccin. La propia existencia de aplicativos para la obtencin de estadsticas desarrollados por los tcnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor experto una visin bastante exacta de la eficiencia y estado de desarrollo de los Sistemas. La correcta elaboracin de esta informacin conlleva el buen conocimiento de la carga de la instalacin, as como la casi certeza de que existen Planes de Capacidad, etc. C) AUDITORIA INFORMATICA DE COMUNICACIONES Y REDES La creciente importancia de las Comunicaciones ha determinado que se estudien separadamente del mbito de Tcnica de Sistemas. Naturalmente, siguen siendo trminos difciles en los conceptos generales de Sistemas y de Arquitecturas de los Sistemas Informticos.
11

Se ha producido un cambio conceptual muy profundo en el tratamiento de las comunicaciones informticas y en la construccin de los modernos Sistemas de Informacin, basados en Redes de Comunicaciones muy sofisticadas. Para el Auditor Informtico, el entramado conceptual que constituyen las Redes Nodales, Lneas, Concentradores, Multiplexores, Redes Locales, etc., no son sino el soporte fsico-lgico del Tiempo Real. El lector debe reflexionar sobre este avanzado concepto, que repetimos: Las Comunicaciones son el Soporte Fsico-Lgico de la Informtica en Tiempo Real. El auditor informtico tropieza con la dificultad tcnica del entorno, pues ha de analizar situaciones y hechos alejados entre s, y est condicionado a la participacin del monopolio telefnico que presta el soporte en algunos lugares. Ciertamente, la tarea del auditor es ardua en este contexto. Como en otros casos, la Auditoria de este sector requiere un equipo de especialistas, expertos simultneamente en Comunicaciones y en Redes Locales. No debe olvidarse que en entornos geogrficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseadas y cableadas con recursos propios. El entorno del Online tiene una especial relevancia en la Auditoria Informtica debido al alto presupuesto anual que los alquileres de lneas significan. El auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin delas lneas contratadas, con informacin abundante sobre tiempos de desuso. Deber proveerse de la topologa de la Red de Comunicaciones, actualizada. La des actualizacin de esta documentacin significara una grave debilidad. La inexistencia de datos sobre cuntas lneas existen, cmo son y dnde estn instaladas, supondra que se bordea la Inoperatividad Informtica. Sin embargo, y como casi siempre, las debilidades ms frecuentes e importantes en la informtica de Comunicaciones se encuentran en las disfunciones organizativas. La contratacin e instalacin de lneas va asociada
12

a la instalacin de los Puestos de Trabajo correspondientes (Monitores, Servidores de Redes Locales, Ordenadores Personales con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organizacin. D) AUDITORIA INFORMATICA DE DESARROLLO DE PROYECTOS El rea de Desarrollo de Proyectos o de Aplicaciones es objeto frecuente de la Auditoria informtica. Indicando inmediatamente que la funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin de Sistemas y Aplicaciones, trmino presente en los ltimos aos. La funcin Desarrollo engloba a su vez muchas reas, tantas como sectores informatizables tiene la empresa. Muy escuetamente, una Aplicacin recorre las siguientes fases: A. Prerrequisitos del Usuario (nico o plural), y del entorno. B. Anlisis funcional. C. Anlisis orgnico. (Pre programacin y Programacin). D. Pruebas. E. Entrega a Explotacin y alta para el Proceso. Se deduce fcilmente la importancia de la metodologa utilizada en el desarrollo de los Proyectos informticos. Esta metodologa debe ser semejante al menos en los Proyectos correspondientes a cada rea de negocio de la empresa, aunque preferiblemente debera extenderse a la empresa en su conjunto. En caso contrario, adems del aumento significativo de los costos, podr producirse fcilmente la insatisfaccin del usuario, si ste no ha participado o no ha sido consultado peridicamente en las diversas fases del mismo, y no solamente en la fase de prerrequisitos. Finalmente, la Auditoria informtica deber comprobar la seguridad de los programas, en el sentido de garantizar que los ejecutados por la mquina son totalmente los previstos y no otros.

13

Una razonable Auditoria informtica de Aplicaciones pasa indefectiblemente por la observacin y el anlisis de estas consideraciones. a) Revisin de las metodologas utilizadas: Se analizarn stas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas. b) Control Interno de las Aplicaciones: La Auditoria informtica de Desarrollo de Aplicaciones deber revisar las mismas fases que presuntamente ha debido seguir el rea correspondiente de Desarrollo. Las principales son: 1. Estudio de Viabilidad de la Aplicacin 2. Definicin Lgica de la Aplicacin 3. Desarrollo Tcnico de la Aplicacin 4. Diseo de Programas 5. Mtodos de Pruebas 6. Documentacin 7. Equipo de Programacin c) Satisfaccin de Usuarios: Una Aplicacin eficiente y bien desarrollada tericamente, deber considerarse un fracaso si no sirve a los intereses del usuario que la solicit. Surgen nuevamente las premisas fundamentales de la informtica eficaz: fines y utilidad. No puede desarrollarse de espaldas al usuario, sino contando con sus puntos de vista durante todas las etapas del Proyecto. La presencia del usuario proporcionar adems grandes ventajas posteriores, evitar reprogramaciones y disminuir el mantenimiento de la Aplicacin. d) Control de Procesos y Ejecuciones de Programas Crticos: el auditor no debe descartar la posibilidad de que se est ejecutando un mdulo lo que no se corresponde con el programa fuente que desarroll, codific y prob el rea de Desarrollo de Aplicaciones. Se est diciendo que el auditor habr de comprobar fehaciente y personalmente la correspondencia biunvoca y exclusiva entre el programa codificado y el producto obtenido como resultado de su compilacin y su conversin en ejecutables mediante la linkeditacin (Linkage Editor).
14

Obsrvense las consecuencias de todo tipo que podran derivarse del hecho de que los programas fuente y los programas mdulos no coincidieran provocando graves retrasos y altos costos de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje industrial-informtico, etc. Esta problemtica ha llevado a establecer una normativa muy rgida en todo lo referente al acceso a las Libreras de programas. Una Informtica medianamente desarrollada y eficiente dispone de un solo juego de Libreras de Programas de la Instalacin. En efecto, Explotacin debe recepcionar programas fuente, y solamente fuente. Cules? Aquellos que Desarrollo haya dado como buenos. La asumir la responsabilidad de: 1. Copiar el programa fuente que Desarrollo de Aplicaciones ha dado por bueno en la Librera de Fuentes de Explotacin, a la que nadie ms tiene acceso. 2. Compilar y link editar ese programa, depositndolo en la Librera de Mdulos de Explotacin, a la que nadie ms tiene acceso. 3. Copiar los programas fuente que les sean solicitados para modificarlos, arreglarlos, etc., en el lugar que se le indique. Cualquier cambio exigir pasar nuevamente al punto 1. Ciertamente, hay que considerar las cotas de honestidad exigible a Explotacin. Adems de su presuncin, la informtica se ha dotado de herramientas de seguridad sofisticadas que permiten identificar la personalidad del que accede a las Libreras. No obstante, adems, el equipo auditor intervendr los programas crticos, compilando y link editando nuevamente los mismos para verificar su biunivocidad. E) AUDITORIA DE LA SEGURIDAD INFORMATICA La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La Seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como los edificios e instalaciones que los albergan. Contempla las
15

situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. Igualmente, a este mbito pertenece la poltica de Seguros. La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin. Se ha tratado con anterioridad la doble condicin de la Seguridad Informtica: Como rea General y como rea Especfica (seguridad de Explotacin, seguridad de las Aplicaciones, etc.). As, podrn efectuarse Auditorias de la seguridad global de una Instalacin Informtica- Seguridad General-, y Auditorias de la Seguridad de un rea informtica de terminada- Seguridad Especfica-. Las agresiones a instalaciones informticas ocurridas en Europa y Amrica durante los ltimos aos, han originado acciones para mejorar la Seguridad Informtica a nivel fsico. Los accesos y conexiones indebidos a travs de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lgica y la utilizacin de sofisticados medios criptogrficos. La decisin de abordar una Auditoria Informtica de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales al os que est sometida. Tal estudio comporta con frecuencia la elaboracin de "Matrices de Riesgo" en donde se consideran los factores de las "Amenazas" a las que est sometida una instalacin y de los "Impactos" que aquellas pueden causar cuando se presentan. Las matrices de riesgo se presentan en cuadros de doble entrada Amenazas\Impacto", en donde se evalan las probabilidades de ocurrencia delos elementos de la matriz.

16

3) MTODOS TCNICAS PARA REALIZAR AUDITORIAS INFORMTICAS DE SISTEMAS

Evaluacin Consiste en analizar mediante pruebas la calidad y cumplimiento de funciones, actividades y procedimientos que se realizan en una organizacin o rea. Las evaluaciones se utilizan para valorar registros, planes, presupuestos, programas, controles y otros aspectos que afectan la administracin y control de una organizacin o las reas que la integran. La evaluacin se aplica para investigar algn hecho, comprobar alguna cosa, verificar la forma de realizar un proceso, evaluar la aplicacin de tcnicas, mtodos o procedimientos de trabajo, verificar el resultado de una transaccin, comprobar la operacin correcta de un sistema software entre otros muchos aspectos. Inspeccin La inspeccin permite evaluar la eficiencia y eficacia del sistema, en cuanto a operacin y procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo. La inspeccin se realiza a cualquiera de las actividades, operaciones y componentes que rodean los sistemas. Confirmacin El aspecto ms importante en la auditoria es la confirmacin de los hechos y la certificacin de los datos que se obtienen en la revisin, ya que el resultado final de la auditoria es la emisin de un dictamen donde el auditor expone sus opiniones, este informe es aceptado siempre y cuando los datos sean veraces y confiables. No se puede dar un dictamen en base a suposiciones o emitir juicios que no sean comprobables. Comparacin Otra de las tcnicas utilizadas en la auditoria es la comparacin de los datos obtenidos en un rea o en toda la organizacin y cotejando esa informacin con los datos similares o iguales de otra organizacin con caractersticas semejantes. En auditoria a los sistemas software se realiza la comparacin de los resultados obtenidos con el sistema y los resultados con el procesamiento
17

manual, el objetivo de dicha comparacin es comprobar si los resultados son iguales, o determinar las posibles desviaciones, y errores entre ellos. Revisin Documental Otra de las herramientas utilizadas en la auditoria es la revisin de documentos que soportan los registros de operaciones y actividades de una organizacin. Aqu se analiza el registro de actividades y operaciones plasmadas en documentos y archivos formales, con el fin de que el auditor sepa cmo fueron registrados las operaciones, resultados y otros aspectos inherentes al desarrollo de las funciones y actividades normales de la organizacin. En esta evaluacin se revisan manuales, instructivos,

procedimientos, funciones y actividades. El registro de resultados, estadsticas, la interpretacin de acuerdos, memorandos, normas, polticas y todos los aspectos formales que se asientan por escrito para el cumplimiento de las funciones y actividades en la administracin de las organizaciones. Matriz de Evaluacin Es uno de los documentos de mayor utilidad para recopilar informacin relacionada con la actividad, operacin o funcin que se realiza en el rea informtica, as como tambin se puede observar anticipadamente su cumplimiento. La escala de valoracin puede ir desde la mnima con puntaje 1 (baja, deficiente) hasta la valoracin mxima de 5(superior, muy bueno, excelente). Cada una de estas valoraciones deber tener asociado la descripcin del criterio por el cual se da ese valor. Esta matriz permite realizar la valoracin del cumplimiento de una funcin especfica de la administracin del centro de cmputo, en la verificacin de actividades de cualquier funcin del rea de informtica, del sistema software, del desarrollo de proyectos software, del servicio a los usuarios del sistema o cualquier otra actividad del rea de informtica en la organizacin. Matriz DOFA Este es un mtodo de anlisis y diagnstico usado para la evaluacin de un centro de cmputo, que permite la evaluacin del desempeo de los sistemas software, aqu se evalan los factores internos y externos, para que el auditor
18

pueda evaluar el cumplimiento de la misin y objetivo general del rea de informtica de la organizacin.

4) REDACCIN DEL INFORME DE AUDITORA DE SISTEMAS

Documentacin del Informe de Auditora de Sistemas: Antes de analizar los componentes principales que deben estar presentes en la redaccin de un informe de auditora de sistemas nos parece pertinente hacer referencia a los documentos que se deben procesar y/o generar durante el desarrollo de la misma; a este conjunto de documentos se les conoce generalmente como papeles de trabajo. La importancia de los papeles de trabajo queda resumida en los siguientes puntos: Constituyen la muestra tangible del trabajo realizado y simultneamente sustentan la opinin final emitida por el auditor de sistemas. Su correcto ordenamiento contribuye a agilizar el desarrollo del trabajo. Facilitan la revisin del trabajo de auditora por parte de terceras personas. Brindan soporte del trabajo ejecutado para poder usarlo en futuras auditoras.

Los trabajos empleados, en el curso de una actividad, de otros auditores externos y/o expertos independientes, as como de los auditores internos, se referencien o no en el informe de auditora, deben formar parte de la documentacin. Asimismo, se aadirn: El contrato cliente/auditor informtico y/o la carta propuesta del auditor informtico. Las declaraciones de la junta directiva. Los contratos, que afecten al sistema de informacin.
19

Mencin aparte merece el hecho de que los papeles de trabajo pueden llegar a tener valor demostrativo en un tribunal de justicia. Redaccin del Informe de Auditora de Sistemas en S: En lo que respecta a su redaccin, el informe debe ser suficientemente claro y entendible; vale decir evitando el uso del lenguaje informtico que pueda dificultar su comprensin por parte de los destinatarios del informe. De acuerdo al resultado de nuestra investigacin existen unos requisitos bsicos para la estructura y contenido del informe de auditora de sistemas y generalmente se basan en las normas dictadas por la organizacin denominada ISACA, siglas en ingls de Information Systems Audit and Control Association (Asociacin de Auditora y Control de Sistemas de Informacin); los ms observados son los siguientes: Identificacin del Informe: El ttulo del Informe deber identificarse de modo tal que pueda diferenciarse de otros informes. Identificacin del Cliente: persona(s) que solicita(n) la auditora. Identificacin de la entidad u organizacin sometida a auditora. Manifestacin de los objetivos de la auditora para identificar la finalidad de la misma. En caso de existir objetivos incumplidos hay que sealarlos y al mismo tiempo justificar los motivos de tal situacin en cada caso. Alcance de la auditora: aqu se deben sealar la naturaleza y extensin del trabajo realizado: reas organizativas abarcadas, tiempo invertido en el desarrollo de la auditora, sistemas de informacin sometidos a auditora, etc. dejando muy en claro, en caso de existir, las limitaciones que hayan podido imponerse por parte del auditado. Tipificacin de las normas legales y profesionales empleadas, as como las excepciones que eviten su aplicacin y la posible influencia de stas en los resultados de la auditora. Conclusiones: a modo de informe breve de opinin, lgicamente basado en la experiencia del trabajo realizado. Aqu se exponen las opiniones favorables y/o desfavorables acerca del sistema sometido a auditora. Si durante el desarrollo de la auditora se detectaran vulnerabilidades en

20

el sistema auditado, estas debern sealarse en el informe, as como sus causas, consecuencias y las recomendaciones necesarias para minimizar o eliminar dichas debilidades. Resultados: Informe extenso y otros informes, en este caso la pauta la imponen los papeles de trabajo o documentacin de la auditora

informtica. Fecha del informe: es fundamental para conocer la magnitud del trabajo y el estado del sistema en un perodo especfico, razn por la cual se deben precisar las fechas de inicio y conclusin del trabajo de auditora. En casos conflictivos (investigaciones judiciales, tribunales) pueden ser vitales aspectos tales como los acontecimientos durante el lapso de desarrollo de la auditora sucesos acontecidos antes y despus de efectuarse la misma. Identificacin y firma del auditor: tanto si es individual como si forma parte de una empresa de auditora. Destino del Informe: es importante establecer quin o quines podrn hacer uso del informe, asimismo las aplicaciones especficas que tendr. Existen elementos que no se deben soslayar: el secreto de la empresa y el secreto profesional. La tica del Auditor de Sistemas de Informacin: La Asociacin de Auditora y Control de Sistemas de Informacin (ISACA), redact este Cdigo de tica Profesional para guiar el comportamiento profesional y moral de los miembros adscritos a la Asociacin, citamos textualmente: Los Auditores de Sistemas debern: Apoyar el establecimiento y cumplimiento apropiado de procedimientos estndares y controles en los sistemas de informacin. Cumplir con los Estndares de Auditora de Sistemas de Informacin adoptados por la Asociacin de Auditora y Control de Sistemas de Informacin.

21

Dar servicio a sus empleadores, accionistas, clientes y pblico en general en forma diligente, leal y honesta y no formar parte de actividades impropias o ilegales.

Mantener la confidencialidad de la informacin obtenida en el curso de sus tareas. Dicha informacin no debe ser usada en beneficio propio ni ser entregada a terceros.

Realizar sus tareas en forma objetiva e independiente, y rechazar la realizacin de actividades que amenacen o parezcan amenazar su independencia.

Mantener competencia en los campos relacionados a la auditora de sistemas de informacin a travs de la participacin en actividades de desarrollo profesional.

Obtener suficiente material y documentacin de sus observaciones que le permita respaldar sus recomendaciones y conclusiones. Informar oportunamente a las partes que correspondieren los resultados del trabajo de auditora realizado. Dar apoyo a la educacin y el conocimiento de clientes, gerentes y pblico en general sobre la auditora de sistemas de informacin.

22

CONCLUSIN
A travs de la presente investigacin, pudimos conocer los conceptos

bsicos de Auditora en sistemas, la importancia de la misma para garantizar el correcto desempeo de las organizaciones, as como los tipos de auditoria y sus usos, las distintas metodologas empleadas y la importancia del informe de la auditora, que es de gran importancia porque en el mismo se plasman todas las vulnerabilidades y las conclusiones, es decir, es el punto culminante del trabajo de auditora. Adems pudimos constatar que sin el proceso de auditora sera casi imposible lograr que el desempeo de una organizacin se el mas optimo por cuanto no se podra llevar un control ms exacto de las irregularidades que puedan suscitarse en la misma.

23

Referencias Bibliogrficas

Galn Quiroz Leonor (1996) Informtica y Auditoria para las Ciencias Empresariales. Editorial UNAB Rivas Gonzalo Alonso. (1989). Auditora Informtica. Editorial Daz de Santos, S.A. Razo Muoz Carlos. (2002).Auditoria en Sistemas Computacionales. Pearson Educacin. Marcia fuentes Muoz. (1994). Diseo de un Sistema Computacional. Universidad de Concepcin Guevara Plaza Antonio y Pea Ramos Eloy. (1996). Auditoria Informtica: Normas y Documentacin. Editorial Mxico: Universidad de Mlaga Espaa.

Fuentes Electrnicas
E. Villa. Escuela Superior Politcnica de Chimborazo. Tipos y Clases de Auditoras Informticas (1998). [Pgina Web en Lnea]. Disponible:

http://es.scribd.com/doc/18646089/ . [Consulta 2013, Junio 01]. ISACA (Por sus Siglas en Ingls). Asociacin de Auditoras y Control de Sistemas de Informacin. Redaccin del Informe de Auditora de Sistemas (1998). [Pgina Web en Lnea]. Disponible:

http://www.adacsi.org.ar/es/content.php?id=79&&fl=&fl=&fl=&fl=&fl=&fl=&fl=&fl= 47. [Consulta 2013, Junio 03].

24