UNIVERSIDAD REGIONAL AUTONOMA DE LOS ANDES

UNIANDES
SANTO DOMINGO ECUADOR
1

DATOS INFORMATIVOS
FACULTAD :
ESCUELA

Sistemas Mercantiles
:

Asignatura :

Nivel :

Tutor :

Sistemas
AUDITORIA INFORMATICA
Ing. Robert Lalama F. MsG

INTRODUCCION

Uno de los recursos de una empresa importante tanto cmo el humano, econmico o
fsico es hoy en da la informacin por esta razn es conveniente controlar que su
procesamiento se realice de acuerdo a la normativa que lo rige, para ello hay que
conocer las diferentes formas de hacerlo para aplicar la metodologa ms conveniente

OBJETIVOS
General

Conocer las diferentes tcnicas y metodologas para evaluar los procesos informticos
y verificar que se realicen de acuerdo a la normativa que rija el procesamiento
electrnico de datos

Especificos
Organizar y sintetizar las diferentes reas que pueden ser evaluadas dentro de
un sistema informtico.
Disear planes de trabajo segn las diferentes metodologas para Aplicarlas en
una auditora real.
Verificar los elementos que intervienen en el diseo de cada documento utilizado
en la aplicacin de un auditoria

 Aplicar todos lo aprendido en la elaboracin de una auditora fsica, lgica y al

personal informtico de una empresa
4

CONTENIDOS
AUDITORIA GENERAL

Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una
seccin, un organismo, una entidad, etc.
La palabra auditoria proviene del latn auditorius, y de esta proviene la palabra auditor,
que se refiere a todo aquel que tiene la virtud de or.

Auditar es evaluar y controlar los procesos de una empresa de acuerdo a normas

establecidas para verificarlas y poder dar recomendaciones para su mejoramiento

Es evaluar, controlar de acuerdo a normas establecidas posterior a la ejecucin de las

operaciones para verificar

el cumplimiento de las normas (aportar con un

asesoramiento que permita mejorar a la empresa en sus operaciones).

AUDITORA INFORMATICA
Conjunto de procedimientos y tcnicas para evaluar y controlar total o parcialmente un
sistema informtico, para verificar si sus actividades se desarrollan eficientemente y de
acuerdo con la normativa informtica y general existente en cada empresa, para
conseguir eficiencia.
El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que
la empresa pone en juego para disponer de un eficiente y eficaz Sistema de
Informacin. Claro est, que para la realizacin de una auditora informtica eficaz, se
debe entender a la empresa en su ms amplio sentido, ya que una Universidad, un
Ministerio o un Hospital son tan empresas como una Sociedad Annima o empresa
Pblica. Todos utilizan la informtica para gestionar sus "negocios" de forma rpida y
eficiente con el fin de obtener beneficios econmicos y de costes.
Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al
control correspondiente, o al menos debera estarlo. La importancia de llevar un control
de esta herramienta se puede deducir de varios aspectos. He aqu algunos:

Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos

apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este
caso interviene la Auditora Informtica de Seguridad.
Las computadoras creadas para procesar y difundir resultados o informacin
elaborada pueden producir resultados o informacin errnea si dichos datos son, a su
vez, errneos. Este concepto obvio es a veces olvidado por las mismas empresas que
terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus
Sistemas Informticos, con la posibilidad de que se provoque un efecto cascada y
afecte a Aplicaciones independientes. En este caso interviene la Auditora Informtica
de Datos.
Un Sistema Informtico mal diseado puede convertirse en una herramienta harto
peligrosa para la empresa: como las maquinas obedecen ciegamente a las rdenes
recibidas y la modelizacin de la empresa est determinada por las computadoras que
materializan los Sistemas de Informacin, la gestin y la organizacin de la empresa no
puede depender de un Software y Hardware mal diseados.
FUNCIONES
Evaluacin posterior a la ejecucin
Asesora para el mejoramiento

OBJETIVOS
Examen objetivo y posterior

Revisar Operaciones , procesos

Verificar el cumplimiento

NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS (NAGA)

Estas normas son una gua para el trabajo de la auditoria y se dividen en tres grupos
Personales

Entrenamiento tcnico y capacidad profesional

Independencia
Cuidado y diligencia profesional

Relacionada al trabajo de campo

Planificacin y supervisin adecuadas

Evaluacin y supervisin de la estructura de control

interno (DOCUMENTOS)
Obtencin de evidencia suficiente y competente

Relacionadas al informe

Metodologas de auditora empleadas

Forma de aplicacin de las metodologas, y a que

reas
Emitir una opinin
Responsabilidad con el cliente
Normas Personales
Entrenamiento tcnico y capacidad profesional.- Ttulo y experiencia de la
persona que va a desarrollar las funciones de auditor.
Independencia.- Actitud mental independiente con relacin al tema auditado.
Cuidado y diligencia profesional.- Tomar en cuenta todo lo que haya que
tomar en cuenta, ser eficiente y oportuno, dar hasta un poco ms de lo que se
espera.
Normas Relacionada al trabajo de campo
Planificacin y supervisin adecuadas.- Tener un plan de trabajo que facilite
la supervisin.
Evaluacin y supervisin de la estructura de control interno.- Evaluar la
estructura de control interno (normas, organizacin), para hacer un trabajo en
menor tiempo y con mejores resultados.
Obtencin de evidencia suficiente y competente.- Obtener evidencia
suficiente en cantidad y competente en relacin para tener una base sobre la
cual sustentarse para emitir una opinin.
Normas Relativas al Informe
Metodologas de auditora empleadas .- Explicacin de todos los mtodos
utilizados en la realizacin de la auditora

Forma de aplicacin de las metodologas, y a que reas.- Explicacin de

cmo se aplic cada metodologa , que se hizo para recolectar la evidencia . Se
debe ser consistente en las tcnicas utilizadas.

 Emitir una opinin.- El auditor debe expresar textualmente si la empresa es

auditable o no. (adecuada o no). Tambin se puede abstener de emitir una
opinin dejando escrito la razn por la que se abstiene.
Responsabilidad con el cliente.- Se debe firmar lo que se afirma para todos
los fines legales pertinentes.

TIPOS DE AUDITORIAS
La auditora interna es la realizada con recursos materiales y personas que pertenecen
a la empresa auditada. Los empleados que realizan esta tarea son remunerados
econmicamente. La auditora interna existe por expresa decisin de la Empresa, o
sea, que puede optar por su disolucin en cualquier momento.
Por otro lado, la auditora externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor objetividad que en la
Auditora Interna, debido al mayor distanciamiento entre auditores y auditados.
La auditora informtica interna cuenta con algunas ventajas adicionales muy
importantes respecto de la auditora externa, las cuales no son tan perceptibles como
en las auditoras convencionales. La auditora interna tiene la ventaja de que puede
actuar peridicamente realizando Revisiones globales, como parte de su Plan Anual y
de su actividad normal. Los auditados conocen estos planes y se habitan a las
Auditoras, especialmente cuando las consecuencias de las Recomendaciones habidas
benefician su trabajo.
En una empresa, los responsables de Informtica escuchan, orientan e informan sobre
las posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto,
Informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La
empresa necesita controlar su Informtica y sta necesita que su propia gestin est
sometida a los mismos Procedimientos y estndares que el resto de aquella. La
conjuncin de ambas necesidades cristaliza en la figura del auditor interno informtico.
En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una
Auditora propia y permanente, mientras que el resto acuden a las auditoras externas.
Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajo
a la Auditora Interna de la empresa cuando sta existe. Finalmente, la propia
Informtica requiere de su propio grupo de Control Interno, con implantacin fsica en
su estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera
independiente. Hoy, ya existen varias organizaciones Informticas dentro de la misma
empresa, y con diverso grado de autonoma, que son coordinadas por rganos
corporativos de Sistemas de Informacin de las Empresas.
Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones
contratar servicios de auditora externa. Las razones para hacerlo suelen ser:

Necesidad de auditar una materia de gran especializacin, para la cual los

servicios propios no estn suficientemente capacitados.

Contrastar algn Informe interno con el que resulte del externo, en aquellos
supuestos de emisin interna de graves recomendaciones que chocan con la opinin
generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditoras informticas externas
decretadas por la misma empresa.
Aunque la auditora interna sea independiente del Departamento de Sistemas,
sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras
externas como para tener una visin desde afuera de la empresa.
La auditora informtica, tanto externa como interna, debe ser una actividad exenta de
cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la
empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o
a instancias de parte, esto es, por encargo de la direccin o cliente.
Diferencias
Interna

Externa

* Relacin de dependencia

* Sin relacin de dependencia

* Personal propio

* Personal contratado

* Costo menor ?

* Costo mayor ?

* Permanente

* Peridica

* Exclusivamente de uso interno

* El informe es de uso interno y externo

* Se enmarca en situaciones ms puntuales

* Opina generalmente sobre aspectos

generales
Semejanzas
Utilizan la misma normatividad
Persiguen el mismo objetivo
Los dos tienen la obligacin de emitir un informe
AUDITORIA INFORMATICA
Caractersticas de la Auditora Informtica:
La informacin de la empresa y para la empresa, siempre importante, se ha convertido
en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por
ende, han de realizarse inversiones informticas, materia de la que se ocupa la
Auditora de Inversin Informtica.
Del mismo modo, los Sistemas Informticos han de protegerse de modo global y
particular: a ello se debe la existencia de la Auditora de Seguridad Informtica en
general, o a la auditora de Seguridad de alguna de sus reas, como pudieran ser
Desarrollo o Tcnica de Sistemas.

Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna

forma su funcin: se est en el campo de la Auditora de Organizacin Informtica.
Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan en
una auditora parcial. De otra manera: cuando se realiza una auditoria del rea de
Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese Desarrollo
existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de
seguridad, o alguna mezcla de ellas.

EL POR QUE DE LA AUDITORIA INFORMATICA

Demandas econmicas de los PED aumenta constantemente, no as su efectividad y

desempeo
La alta gerencia desconoce la situacin informtica actual de la organizacin
La falta total o parcial de seguridades y controles
La ausencia o invalidez de un plan informtico
La organizacin no funciona correctamente no cumple con los objetivos

La empresa requiere que los sistemas de informacin sean precisos, mantengan un

nivel de calidad (bsico ), que sean eficientes y eficaces, es decir, que se demuestre su
economa y/o ganancia al implantarlos.

QUE LOGRAMOS CON LA AUDITORIA INFORMATICA

Equilibrar o mejorar la relacin costo / rendimiento del PED
Brindar un mejor servicio a los usuarios directos del sistema informtico y por ende a
los clientes de la organizacin
Asegurar la integridad y confidencialidad de la informacin

Determinar la situacin actual del PED, lo que va a permitir definir o redefinir

estrategias para cumplir los objetivos propuestos.

Potenciar la competitividad de la organizacin
Mejorar el nivel profesional del personal responsable del PED
. Prevenir prdida de informacin

y componentes

seguridades, acciones mal intencionadas)

(por mala utilizacin, falta de

 Mayor precisin y eficiencia en el procesamiento de informacin

Establecer la reglamentacin necesaria para el mejor funcionamiento del
departamento informtico ( reglas de : utilizacin de HW y SW , distribucin de
funciones y responsabilidades, seguridad)

CUANDO DEBE REALIZARSE UNA AUDITORIA INFORMATICA

Peridicamente, en otras palabras, el auditor debe participar en todas las
operaciones que involucran al tratamiento computarizado de Informacin
Finalizada la implementacin de un sistema
Ante proyectos de ampliacin de equipos o desarrollo de nuevos sistemas (son
viables, son tiles)
Ante quejas por parte de usuarios
Por sospecha de cualquier falencia (en HW, SW, personal)
Cuando no se estn logrando los objetivos para los cuales fue creado el sistema
informtico.
Presencia de errores en los resultados de sistemas
Cambios ( de equipos, programas, personal)
Elevados costos en el mantenimiento del sistema informtico
Sntomas de Necesidad de una Auditora Informtica:
Las empresas acuden a las auditoras externas cuando existen sntomas bien
perceptibles de debilidad. Estos sntomas pueden agruparse en clases:
Sntomas de descoordinacin y desorganizacin:
- No coinciden los objetivos de la Informtica de la Compaa y de la propia
Compaa.
- Los estndares de productividad se desvan sensiblemente de los promedios
conseguidos habitualmente.
[Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin
fallida de alguna rea o en la modificacin de alguna Norma importante]
Sntomas de mala imagen e insatisfaccin de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios

de Software en los terminales de usuario, resfrecamiento de paneles, variacin
de los ficheros que deben ponerse diariamente a su disposicin, etc.
- No se reparan las averas de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que est abandonado y desatendido
permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados
peridicos. Pequeas desviaciones pueden causar importantes desajustes en la
actividad del usuario, en especial en los resultados de Aplicaciones crticas y
sensibles.
Sntomas de debilidades econmico-financieras:
- Incremento desmesurado de costes.
- Necesidad de justificacin de Inversiones Informticas (la empresa no est
absolutamente convencida de tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultneamente a
Desarrollo de Proyectos y al rgano que realiz la peticin).
Sntomas de Inseguridad: Evaluacin de nivel de riesgos
- Seguridad Lgica
- Seguridad Fsica
- Confidencialidad
[Los datos son propiedad inicialmente de la organizacin que los genera. Los
datos de personal son especialmente confidenciales]
- Continuidad del Servicio. Es un concepto an ms importante que la
Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes
de Contingencia* Totales y Locales.
- Centro de Proceso de Datos fuera de control. Si tal situacin llegara a
percibirse, sera prcticamente intil la auditora. Esa es la razn por la cual, en
este caso, el sntoma debe ser sustituido por el mnimo indicio.

QUIEN DEBE REALIZAR LA AUDITORIA INFORMATICA

Para que un anlisis sea eficaz y til, el investigador

deber

tener

los

conocimientos tcnicos necesarios para comprender el tema que vaya a examinar.

Los

auditores

debern conocer perfectamente las posibilidades de los equipos v

sistemas que se utilice en la empresa que se est auditando y estar familiarizado con
los estndares en vigor . Este conocimiento permitir un buen nivel de comunicacin
con el staff del departamento de informtica y consiga el respeto y la cooperacin del
personal de proceso de datos.

Resumiendo las caractersticas que debe poseer un auditor, anotamos las

siguientes

Experiencia en el anlisis de la situacin informtica de una empresa

Capacidad para evaluar el rendimiento del sistema, de tal forma que le permita
obtener la relacin costo/beneficio

Capacidad para realizar un anlisis objetivo de los controles existentes

Experiencia en el diseo de un Plan Informtico

.Conocimiento sobre arquitectura y mantenimiento de computadoras

Anlisis y diseo de sistemas

Conocimiento sobre redes ( funcionamiento, diseo,

implementacin y

administracin)

Estndares de conexin de equipos, elctricas y redes

Experiencia en recuperacin de errores

Lenguajes de programacin
Diseo implementacin y administracin de Bases de datos
Instalacin y administracin de SSOO.
Experiencia en el diseo e implementacin de sistemas
tica profesional
Objetividad
Estadstica
Relaciones humanas
Facilidad de transmitir los resultados.

ROL DEL AUDITOR INFORMATICO

Estudio del sistema y anlisis de los controles de la organizativos y operativos
del departamento de informtica

 Investigacin y anlisis de los sistemas y aplicaciones que se estn

desarrollando
Realizacin de auditoras a datos reales y resultados de los sistemas que se
estn utilizando
Auditoras de eficiencia y eficacia
Revisin de estado y funcionamiento de equipos
Anlisis de infraestructura del lugar donde se encuentran los equipos a ser
evaluados
Verificacin de seguridades fsicas
Verificacin y actualizacin de inventarios
Revisin o elaboracin de planes emergentes
Revisin de conexiones elctricas, de equipos y de redes
Comprobacin de funcionamiento del SW.
Anlisis al desempeo del personal (capacidad, eficiencia, responsabilidad)
Entre otras son algunas de las acciones que debe realizar el auditor informtico para
establecer el estado real del sistema Inf.
Sin embargo existen algunos riesgos que deben ser considerados por los auditores
durante su trabajo
Infidencias o acceso a la informacin
Posibles interrupciones o paralizacin de negocios
Posible fraude por personal interno o externo
Existencia de errores durante el Desarrollo de sistemas
La operacin y produccin del sistema
Errores en la planificacin de sistemas

PUNTOS DE INTERES PARA EL AUDITOR

PRECISION.- Exactitud en los resultados, libre de errores
Muchos errores son corregidos por las quejas de los usuarios y clientes. Ningn
sistema es infalible y est sujeto a tener errores en la validacin de los datos de
entrada
Los controles deben disearse de tal manera que permitan hacer un seguimiento
durante toda la operacin del PED.

Dentro de las causas que alteran la precisin podemos resumir :

Formas de entrada pobremente diseadas
Falta de entrenamiento
Presiones del trabajo
Falta de controles
Falta de seguridades
Aburrimiento
EFICIENCIA.- Realizar una tarea bien en el menor tiempo posible
Existen algunos factores por

los que la eficiencia puede ser limitada, entre ellos

tenemos:
El administrador de un centro de cmputo es ms tcnico que administrativo
La gerencia tiende a administrar mal a los tcnicos en computacin
La burocracia del centro de cmputo
Equipos subutilizados
Redundancia en los procesos informticos
Pobre diseo del sistema
Uso de hardware y software obsoletos
Bajo nivel de capacitacin de los especialistas en computacin

PREVENCIN DE FRAUDES
Una de las tareas ms arduas es decidir que tanto nfasis se debe dar a la deteccin y
prevencin del fraude por computador. Considerando que un programa puede incluir
lneas de cdigo fraudulento, en cualquier parte de una aplicacin, las cuales en
muchos casos son muy difciles de detectar.
Debido al impacto financiero potencial del fraude, su prevencin merece que se
le de tiempo y energa.
Entre los factores que atraen al fraude o lo facilitan tenemos:
Falta de una definicin de funciones
Falta de rotacin del personal
Facilidades de acceso a todas las partes del sistema

 Conocimiento sobre el diseo del sistema

Falta de polticas para contrarrestar el fraude

SEGURIDAD
La seguridad se relaciona con los procedimientos que tiene por objetivo asegurar que
el equipo, los programas y los datos estn seguros y disponibles para uso cuando se
los necesite.
Los mayores peligros que debemos tener cuidado son:
Fuego
Inundaciones
Errores de empleados o personas mal intencionadas
Es decir hay que controlar:
Temperatura
Humedad
Alimentacin elctrica
Acceso de personas

METODOLOGAS
ANLISIS DE RIESGOS
Desarrollada para la identificacin de controles y el establecimiento de

un plan de

contramedidas. (Control a los controles)

Auditora de la seguridad informtica:
La computadora es un instrumento que estructura gran cantidad de informacin, la
cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal
utilizada o divulgada a personas que hagan mal uso de esta. Tambin puede ocurrir
robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad
computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el
momento preciso puede provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado otro
factor que hay que considerar: el llamado virus de las computadoras, el cual, aunque

tiene diferentes intenciones, se encuentra principalmente para paquetes que son

copiados sin autorizacin (piratas) y borra toda la informacin que se tiene en un
disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias piratas
o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de
transmisin del

virus. El uso inadecuado de la computadora comienza desde la

utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de

programas para fines de comercializacin sin reportar los derechos de autor hasta el
acceso por va telefnica a bases de datos a fin de modificar la informacin con
propsitos fraudulentos.
La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad
lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de
datos, as como a la de los edificios e instalaciones que los albergan. Contempla las
situaciones de incendios, sabotajes, robos, catstrofes naturales, etc.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de
los datos, procesos y programas, as como la del ordenado y autorizado acceso de los
usuarios a la informacin.
Un mtodo eficaz para proteger sistemas de computacin es el software de control de
acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el
acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el
acceso a informacin confidencial. Dichos paquetes han sido populares desde hace
muchos aos en el mundo de las computadoras grandes, y los principales proveedores
ponen a disposicin de clientes algunos de estos paquetes.
La seguridad informtica se la puede dividir como Area General y como Area Especifica
(seguridad de Explotacin, seguridad de las Aplicaciones, etc.). As, se podrn efectuar
auditoras de la Seguridad Global de una Instalacin Informtica Seguridad General- y
auditoras de la Seguridad de un rea informtica determinada Seguridad Especifica Con el incremento de agresiones a instalaciones informticas en los ltimos aos, se
han ido originando acciones para mejorar la Seguridad Informtica a nivel fsico. Los
accesos

y conexiones indebidos a travs de las Redes de Comunicaciones, han

acelerado el desarrollo de productos de Seguridad lgica y la utilizacin de sofisticados

medios criptogrficos.

El sistema integral de seguridad debe comprender:

Elementos administrativos

definicin de una poltica de seguridad

Organizacin y divisin de responsabilidades
Seguridad fsica y contra catstrofes(incendio, terremotos, etc.)
Prcticas de seguridad del personal
Elementos tcnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos,
tanto redes como terminales.
Aplicacin de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeacin de programas de desastre y su prueba.

La decisin de abordar una Auditora Informtica de Seguridad Global en una

empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que
est sometida. Se elaboran matrices de riesgo, en donde se consideran los factores
de las Amenazas a las que est sometida una instalacin y los Impactos que
aquellas puedan causar cuando se presentan. Las matrices de riesgo se representan
en cuadros de doble entrada <<Amenaza-Impacto>>, en donde se evalan las
probabilidades de ocurrencia de los elementos de la matriz.

El esquema bsico es:

Cuestionario
Identificacin de riesgos
Calcular impactos
Identificar contramedidas
Simulaciones

Cuestionario.- Consiste en la elaboracin de preguntas orientadas a conocer el nbivel

de seguridades del PED, las preguntas deben ser concretas. Ejm:

Pregunta

si No

Tiene un guardia de seguridad?

Se controla la utilizacin de los equipos?
Tienen protecciones las puertas?
Tienen instalacin a tierra los equipos?
Estn bien distribuidos los equipos?
La zona es lluviosa?
La ubicacin del centro de cmputo est
en planta baja?
Existe una alarma contra incendio?

Identificacin de riesgos.- Una vez respondido el cuestionario se puede identificar los

riesgos que se estn corriendo, es necesario analizar cada pregunta . Ejm.
Robo debido a:
Que no se cuenta con un guardia de seguridad
Porque no tienen protecciones las puertas
Dao en los equipos debido a:
Porque no tienen instalacin a tierra
No estn distribuidos correctamente los equipos
Inundacin debido a:
L a zona es lluviosa
Se encuentra en planta baja
Incendio debido a:
No cuenta con un sistema de alarma contra incendio
Impactos .- Consiste en determinar los efectos que se produciran en la empresa en
caso de ocurrir los riesgos identificados. Generalmente los riesgos son:

Prdida de utilidades
Prdida de clientes
Quiebra de la empresa
Identificar contramedidas y costos.- Se debe indicar que hacer para evitar los
riesgos, que acciones especficas tomar para que no ocurran.
Ejm:
Para evitar el robo : Contratar un guardia de seguridad
Simulaciones.- se tiene que averiguar los costos y evaluar su beneficio para elegir
cuales de todas las medidas sugeridas son las ms factibles de implementar.

Plan de contingencias
Es un plan emergente que incluye todo el proceso para reestablecer una empresa en
el menor tiempo posible despus de un desastre.
Por qu se necesita un Plan de Contingencia?
A medida que las empresas se han vuelto cada vez ms dependientes de las
computadoras y las redes para manejar sus actividades, la disponibilidad de los
sistemas informticos se ha vuelto crucial. Actualmente, la mayora de las empresas
necesitan un nivel alto de disponibilidad y algunas requiren incluso un nivel continuo de
disponibilidad, ya que les resultara extremadamente difcil funcionar sin los recursos
informticos.
Los procedimientos manuales, si es que existen, slo seran prcticos por un corto
periodo. En caso de un desastre, la interrupcin prolongada de los servicios de
computacin puede llevar a prdidas financieras significativas, sobre todo si est
implicada la responsabilidad de la gerencia de informtica. Lo ms grave es que se
puede perder la credibilidad del pblico o los los clientes y, como consecuencia, la
empresa puede terminar en un fracaso total.
Cabe preguntarse "Por qu se necesita un plan de contingencia para desastres
si existe una pliza de seguro para esta eventualidad?" La respuesta es que si
bien el seguro puede cubrir los costos materiales de los activos de una organizacin
en caso de una calamidad, no servir para recuperar el negocio. No ayudar a
conservar a los

clientes y, en la mayora de los casos, no proporcionar fondos por adelantado para

mantener funcionando el negocio hasta que se haya recuperado.
Qu es un desastre?

Se puede considerar como un desastre la interrupcin prolongada de los recursos

informticos y de comunicacin de una organizacin, que no puede remediarse dentro
de un periodo predeterminado aceptable y que necesita el uso de un sitio o equipo
alterno para su recuperacin.
Ejemplos obvios son los grandes incendios, las inundaciones, los terremotos, las
explosiones, los actos de sabotaje, etctera. Estadsticas recientes sobre los tipos
ms comunes de desastres que ocurren muestran que el terrorismo, los incendios y
los huracanes son las causas ms comunes en muchos pases.
La alta gerencia tiene que decidir el periodo predeterminado que lleva una interrupcin
de servicio de la situacin de "problema" a la de "desastre". La mayora de las
organizaciones logran esto llevando a cabo un anlisis de impacto en el negocio para
determinar el mximo tiempo de interrupcin permisible en funciones vitales de sus
actividades.
La reanudacin de las actividades ante una calamidad puede ser una de las
situaciones ms difciles con las que una organizacin deba enfrentarse. Tras un
desastre, es probable que no haya posibilidades de regresar al lugar de trabajo o que
no se disponga de ninguna de los recursos acostumbrados. Incluso, es posible que no
se pueda contar con todo el personal. La p reparacin es la clave del xito para
enfrentar los problemas.

No existe ninguna manera costeable para protegerse completamente contra todo tipo
de riesgos, particularmente amenazas naturales a gran escala que pueden arrasar
zonas extensas. Como consecuencia, siempre se tiene que tolerar algn riesgo
residual. La decisin sobre el alcance del desastre para el que habr de prepararse
debe tomarse en los ms altos niveles de la empresa. Por ejemplo, la mayor parte de
las empresas implementan una estrategia que proteja contra desastres locales, pero

pocas cubren desastres a nivel nacional o incluso internacional. Asimismo, las

organizaciones que cuentan dos o ms sitios, pueden tener una estrategia de
recuperacin que funcione en caso de que un sitio sea destruido o daado, pero no si
varios sitios son destruidos o daados al mismo tiempo.

FASES
1.- ANLISIS Y DISEO.- se estudia la problemtica, las necesidades de recursos, las
alternativas de respaldo, el tiempo que la empresa puede asumir con paralizaciones de
las actividades operativas antes de incurrir en prdidas significativas consta de los
siguientes pasos:
1.- Identificacin de riesgos para lo cual se clasificarn los riesgos obtenidos
en el Anlisis de riesgos para determinar la gravedad de los mismos
2.- Identificacin de medidas , las mismas que sern:
De seguridad, aquellas que se deben tomar para evitar el desastre o riesgo
De precaucin, aquellas acciones que se deben realizar para que en caso
de que ocurra el riesgo se pueda aplicar el plan ms rpidamente y sin contratiempo
ejm:
Tener convenios con otras instituciones
Respaldar la informaciones cada cierto tiempo y guardarla en diferentes lugares
seguros, etc.
2. TIEMPO DE ESPERA , el tiempo mximo que se puede paralizar la empresa antes
de incurrir en prdidas

3.- ELABORACIN DEL PLAN Cosiste en especificar una a una las acciones a
realizar para restablecer la empresa es decir volver a la normalidad

TCNICAS Y PRACTICAS DE AUDITORA

Constituyen lo mtodos prcticos de investigacin y prueba que utiliza el auditor para
obtener la evidencia o informacin adecuada y suficiente para fundamentar sus
opiniones.

TCNICAS DE AUDITORIA
Las tcnicas de auditora son mtodos que utiliza el auditor para recolectar informacin
que le servir como evidencia.
Tcnicas Oculares:
Observacin
La observacin nos permite presenciar las actividades en el momento en que se
llevan a cabo, para as poder comprobar la existencia y autenticidad de los
recursos humanos, materiales, tecnolgicos, econmicos, para poder

tener

conocimiento de la correcta realizacin delas mismas.

Comparacin.
La comparacin le permite al auditor confrontar la informacin del cliente con
la que se espera que sea la correcta.
Revisin selectiva.
Es el examen de ciertas caractersticas importantes que debe cumplir una
actividad, informes o documentos , seleccionndose as parte de las operaciones
que sern evaluadas o verificadas en la evaluacin de la auditora.
Rastreo.

El rastreo podr proporcionar una buena base para determinar la correccin de

los registros contables y si estos contienen todo lo necesario, la eficacia de este
procedimiento se incrementa cuando el cliente utiliza documentos numerados en
serie y en escritura anticipada. El rastreo realmente pertenece a la evidencia
documentada

Tcnicas Fsicas:
Inspeccin.
La tcnica de la Inspeccin es un anlisis de cada uno de los documentos o
recursos fsicos utilizados en la realizacin de el examen especial.

Tcnicas Escritas:
Confirmacin.
Esta es una forma de indagar que permite al auditor tener informacin directa
independientemente fuera de la organizacin del cliente. controla el
Clculo.
Mediante este procedimiento podemos verificar la exactitud de la informacin,
por medio de verificaciones de clculo

y comprobacin

de conciliaciones

efectuadas por el cliente, se podrn efectuar clculos para constar cifras

concernientes a depreciaciones, inters acumulado etc.

Tcnicas Documentales:
Comprobacin.
La comprobacin es la confirmacin de la veracidad, exactitud, existencia,
legalidad y legitimidad de las operaciones realizadas por el ente auditado,
mediante el examen de los documentos que le justifican.
Mtodos estadsticos.
Estos estn dirigidos a la seleccin sistemtica o causal o en la combinacin de
ambos, segn el caso. Estos mtodos aseguran que todas las operaciones
tengan la misma posibilidad de ser seleccionados y que la seleccin represente
significativamente la poblacin o universo.
Anlisis.
Es la separacin de los elementos o partes que conforman una operacin,
actividad, transaccin o proceso, con el propsito de establecer sus propiedades
y conformidad con los criterios de orden normativo y tcnico.

Conciliacin.
La conciliacin es el anlisis de la informacin producida por diferentes unidades
administrativas o instituciones, con respecto a una misma operacin o actividad,
a efectos de hacerla concordante, lo cual da base, adems, para determinar la
validez, veracidad e idoneidad de los registros, informes y resultados objeto de
examen.

Tcnicas Verbales:
Indagacin.
Obtener las respuestas orales o escritas a preguntas concretas relacionadas las
reas de importancias de la auditora.
Evaluacin de determinadas caractersticas de la informacin como mtodo de
investigacin de aquellas partidas que requieren un examen especial.
Entrevistas.
Se utiliza mucho la tcnica de entrevista para hacer preguntas, algunas veces
durante una conversacin normal, una pregunta accidental sobre los deberes de
un empleado sealar el grado hasta el cual han sido implementados los
procedimientos de control interno.

PRUEBAS DE AUDITORIA

Pruebas Selectivas.
Las pruebas selectivas son la simplificacin de las labores de verificacin, evaluacin o
medicin, mediante la seleccin de muestras que a juicio del auditor, sean
representativas de todas las operaciones realizadas por la institucin, unidad
administrativa, programa o actividad examinada.

Pruebas Sustantivas.
Aportan evidencia respecto a la validez y correccin de los saldos que aparecen en los
estados financieros y de las operaciones que respaldan a dichos saldos. Estas pruebas
se pueden dividir en dos grupos:
Pruebas de Cumplimiento.
Las pruebas de cumplimiento dan una seguridad razonable de que los procedimientos
de control contable se estn aplicando como lo indica el proceso de revisin del auditor.
De modo general estos procedimientos caen en dos categoras:

DOCUMENTOS DE AUDITORA

PROGRAMA DE AUDITORA.- Es el registro de lo que se va ha realizar en la auditora

y cmo se lo va a lograr , es una planificacin especfica que se efecta para el hecho
sujeto a anlisis consta de las siguientes partes

Auditora fsica (nombre o tipo de auditora)

Ref.
papel

Objetivos:
Que deseamos alcanzar o satisfacer con nuestro
Anlisis e investigacin
Procedimientos:
Pasos a seguir para lograr cada objetivo,

PAPELES DE TRABAJO.- Es la evidencia de la investigacin realizada debe ser

uniforme para toda la auditora y debe incluir lo siguiente:

Nombre de la entidad a auditar

Perodo o duracin de la auditora
Identificacin del papel
ndice o referencia
Identificacin de :quien realiza la auditora, fecha , quien lo revisa y cuando
Conclusiones, recomendaciones
Un papel de trabajo puede ser como sigue:

Descripcin

de

papel

referencia

Cuerpo del papel

Realizado por :

conclusiones :

Fecha:
Revisado por:

recomendaciones:

Fecha:

ARCHIVO PERMANENTE.- Contiene

informacin de inters para el auditor , se

recoge la primera vez que se hace una auditora y se actualiza en posteriores

auditoras.

INFORME FINAL

La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la

elaboracin final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos al
informe final, los que son elementos de contraste entre opinin entre auditor y auditado
y que pueden descubrir fallos de apreciacin en el auditor.

Estructura del informe final:

El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin
del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las
personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de
trabajo que ostente.

Definicin de objetivos y alcance de la auditora.

Enumeracin de temas considerados:
Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible
todos los temas objeto de la auditora.

Cuerpo expositivo:
Para cada tema, se seguir el siguiente orden a saber:

a) Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no

solamente una situacin sino adems su evolucin en el tiempo, se expondr la
situacin prevista y la situacin real
b) Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias
futuras.
c) Puntos dbiles y amenazas.

d) Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos

dbiles, el verdadero objetivo de la auditora informtica.
e) Redaccin posterior de la Carta de Introduccin o Presentacin.

Modelo conceptual de la exposicin del informe final:

El informe debe incluir solamente hechos importantes.
La inclusin de hechos poco relevantes o accesorios desva la atencin del
lector.
El Informe debe consolidar los hechos que se describen en el mismo.
El trmino de hechos consolidados adquiere un especial significado de
verificacin objetiva y de

estar documentalmente probados y soportados. La

consolidacin de los hechos debe satisfacer, al menos los siguientes criterios:

1. El hecho debe poder ser sometido a cambios.
2. Las ventajas del cambio deben superar los inconvenientes derivados de
mantener la situacin.
3. No deben existir alternativas viables que superen al cambio propuesto.
4. La recomendacin del auditor sobre el hecho debe mantener o mejorar las
normas y estndares existentes en la instalacin.

La aparicin de un hecho en un informe de auditora implica necesariamente la

existencia de una debilidad que ha de ser corregida.

Flujo del hecho o debilidad:

1 Hecho encontrado.
- Ha de ser relevante para el auditor y pera el cliente.
- Ha de ser exacto, y adems convincente.
- No deben existir hechos repetidos.

2 Consecuencias del hecho

- Las consecuencias deben redactarse de modo que sean directamente

deducibles del hecho.

3 Repercusin del hecho

- Se redactar las influencias directas que el hecho pueda tener sobre otros
aspectos informticos u otros mbitos de la empresa.

4 Conclusin del hecho

- No deben redactarse conclusiones ms que en los casos en que la exposicin
haya sido muy extensa o compleja.

5 Recomendacin del auditor informtico

- Deber entenderse por s sola, por simple lectura.
- Deber estar suficientemente soportada en el propio texto.
- Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementacin.
- La recomendacin se redactar de forma que vaya dirigida expresamente a la
persona o personas que puedan implementarla.

Carta de introduccin o presentacin del informe final:

La carta de introduccin tiene especial importancia porque en ella ha de resumirse la
auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o
a la persona concreta que encargo o contrato la auditora.
As como pueden existir tantas copias del informe Final como solicite el cliente, la
auditora no har copias de la citada carta de Introduccin.
La carta de introduccin poseer los siguientes atributos:
-

Tendr como mximo 4 folios.

Incluir fecha, naturaleza, objetivos y alcance.

Cuantificar la importancia de las reas analizadas.

Proporcionar una conclusin general, concretando las reas de gran debilidad.

Presentar las debilidades en orden de importancia y gravedad.

En la carta de Introduccin no se escribirn nunca recomendaciones.

APLICACION
AUDITORIA FSICA
La auditora fsica no se debe limitar a la comprobacin de la existencia de los medios
fsicos, sino tambin su funcionalidad , y seguridad
Seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales
de un Centro de procesamiento de datos
Toda auditora fsica incluye:
Un

anlisis

de

riesgos

para

lo

cual

se

analizarn:

sabotajes,

vandalismo, terrorismo, accidentes de distinto tipo, incendios, inundaciones, averas

importantes, derrumbes, explosiones, etc
Plan de contingencias
actualizado,

, se revisar si

existe uno, si es completo y

si cubre los diferentes procesos si existen planes diferentes segn

entornos, verificar si hay participacin externa en el plan de contingencias; de no existir

un plan se elaborar uno siguiendo todo su proceso.

PROGRAMA DE AUDITORA FISICA

REFERENCIA
A PAPEL DE
TRABAJO

OBJETIVOS:
1. Evaluar el nivel de seguridades para verificar si garantizan la
integridad del sistema informtico
2. Elaborar una plan emergente que permita reestablecer las
actividades del sistema informtico en el menor tiempo posible
3. Verificar inventario

4. Verificar estado y funcionamiento de equipos

P1
C1
C1
TCNICAS Y PROCEDIMIENTOS

P2

1.-

P3

Inspeccin de instalaciones y alrededores

P4

Elaborar cuestionario para anlisis de riesgos

Entrevista a personal relacionado para determinar riesgos
Anlisis de cuestionario e identificacin de riesgos

P2

Anlisis de riesgos y determinacin de contramedidas

P3

Anlisis de riesgos y determinacin de impactos

P4

simulacin

C2

2.-

P5

Anlisis de riesgos

P6

Clasificacin de riesgos y eleccin del ms grave

Anlisis de riesgo ms grave y determinacin de medidas de Anexo 1
prevencin y precaucin
Entrevista con personal relacionado para determinar tiempo de espera

P7
P8

Anlisis de entrevistas y clculo del tiempo de espera

Elaboracin del plan
3.Solicitar inventario
Inspeccin de componentes de equipos
Comparacin de datos de inspeccin con datos de inventario
4.-

P9
C3
P10

Comprobacin de funcionamiento
Entrevista a personal relacionado sobre funcionamiento
Inspeccin de estado

Auditora Informtica de Sistemas:

Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas
sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que
las Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por
separado, aunque formen parte del entorno general de Sistemas.
Sistemas Operativos:
Engloba los Subsistemas de Teleproceso, Entrada/Salda, etc. Debe verificarse en
primer lugar que los Sistemas estn actualizados con las ltimas versiones del
fabricante, indagando las causas de las omisiones si las hubiera. El anlisis de las
versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades
entre otros productos de Software Bsico adquiridos por la instalacin y determinadas
versiones de aquellas. Deben revisarse los parmetros variables de las Libreras ms
importantes de los Sistemas, por si difieren de los valores habituales aconsejados por
el constructor.
Software Bsico:
Es fundamental para el auditor conocer los productos de software bsico que han
sido facturados aparte de la propia computadora. Esto, por razones econmicas y por
razones de comprobacin de que la computadora podra funcionar sin el producto
adquirido por el cliente. En cuanto al Software desarrollado por el personal informtico
de la empresa, el auditor debe verificar que ste no agreda ni condiciona al Sistema.
Igualmente, debe considerar el esfuerzo realizado en trminos de costes, por si hubiera
alternativas ms econmicas.

Software de Teleproceso (Tiempo Real):

No se incluye en Software Bsico por su especialidad e importancia. Las
consideraciones anteriores son vlidas para ste tambin.
Tunning:
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin
del comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de
tunning deben diferenciarse de los controles habituales que realiza el personal de
Tcnica de Sistemas. El tunning posee una naturaleza ms revisora, establecindose
previamente planes y programas de actuacin segn los sntomas observados. Se
pueden realizar:
Cuando existe sospecha

de deterioro del comportamiento parcial o general del

Sistema
De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso sus
acciones son repetitivas y estn planificados y organizados de antemano.

El auditor deber conocer el nmero de Tunning realizados en el ltimo ao, as

como sus resultados. Deber analizar los modelos de carga utilizados y los niveles e
ndices de confianza de las observacio-nes.
Optimizacin de los Sistemas y Subsistemas:
Tcnica de Sistemas debe realizar acciones permanentes de optimizacin como
consecuencia de la realizacin de tunnings preprogramados o especficos. El auditor
verificar que las acciones de optimizacin* fueron efectivas y no comprometieron la
Operatividad de los Sistemas ni el plan crtico de produccin diaria de Explotacin.
*Optimizacin:
Por ejemplo: cuando se instala una Aplicacin, normalmente est vaca, no tiene nada
cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la
Aplicacin se va poniendo cada vez ms lenta; porque todas las referencias a tablas es
cada vez ms grande, la informacin que est moviendo es cada vez mayor, entonces
la Aplicacin se tiende a poner lenta. Lo que se tiene que hacer es un anlisis de
performance, para luego optimizarla, mejorar el rendimiento de dicha Aplicacin.

Administracin de Base de Datos:

El diseo de las Bases de Datos, sean relaciones o jerrquicas, se ha convertido en
una actividad muy compleja y sofisticada, por lo general desarrollada en el mbito de
Tcnica de Sistemas, y de acuerdo con las reas de Desarrollo y usuarios de la
empresa. Al conocer el diseo y arquitectura de stas por parte de Sistemas, se les
encomienda tambin su administracin. Los auditores de Sistemas han observado
algunas disfunciones derivadas de la relativamente escasa experiencia que Tcnica de
Sistemas tiene sobre la problemtica general de los usuarios de Bases de Datos.
La administracin tendra que estar a cargo de Explotacin. El auditor de Base de
Datos debera asegurarse que Explotacin conoce suficientemente las que son
accedidas por los Procedimientos que ella ejecuta. Analizar los Sistemas de
salvaguarda existentes, que competen igualmente a Explotacin. Revisar finalmente
la integridad y consistencia de los datos, as como la ausencia de redundancias entre
ellos.
Investigacin y Desarrollo:
Como empresas que utilizan y necesitan de informticas desarrolladas, saben que
sus propios efectivos estn desarrollando Aplicaciones y utilidades que, concebidas
inicialmente para su uso interno, pueden ser susceptibles de adquisicin por otras
empresas, haciendo competencia a las Compaas del ramo. La auditora informtica
deber cuidar de que la actividad de Investigacin y Desarrollo no interfiera ni dificulte
las tareas fundamentales internas.
<La propia existencia de aplicativos para la obtencin de estadsticas desarrollados por
los tcnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor
experto una visin bastante exacta de la eficiencia y estado de desarrollo de los
Sistemas>

Auditora Informtica de Comunicaciones y Redes:

Para el informtico y para el auditor informtico, el entramado conceptual que
constituyen las Redes Nodales, Lneas, Concentradores, Multiplexores, Redes Locales,
etc. no son sino el soporte fsico-lgico del Tiempo Real. El auditor tropieza con la
dificultad tcnica del entorno, pues ha de analizar situaciones y hechos alejados entre

s, y est condicionado a la participacin del monopolio telefnico que presta el soporte.

Como en otros casos, la auditora de este sector requiere un equipo de especialis-tas,
expertos simultneamente en Comunicaciones y en Redes Locales (no hay que
olvidarse que en entornos geogrficos reducidos, algunas empresas optan por el uso
interno de Redes Locales, diseadas y cableadas con recursos propios).
El auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin de las
lneas contratadas con informacin abundante sobre tiempos de desuso. Deber
proveerse de la topologa de la Red de Comunicaciones, actualizada, ya que la
desactualizacion de esta documentacin significara una grave debilidad. La
inexistencia de datos sobre la cuantas lneas existen,

cmo son y donde estn

instaladas, supondra que se bordea la Inoperatividad Informtica. Sin embargo, las

debilidades ms frecuentes o importantes se encuentran en las disfunciones
organizativas. La contratacin e instalacin de lneas va asociada a la instalacin de los
Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales,
Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas
actividades deben estar muy coordinadas y a ser posible, dependientes de una sola
organizacin.
Checklist:
El auditor profesional y experto es aqul que reelabora muchas veces sus
cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita
saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis, cruzamiento
y sntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas
preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor
conversar y har preguntas normales, que en realidad servirn para la
cumplimentacin sistemtica de sus Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle
una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor
informtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo.
El profesionalismo pasa por un procesamiento interno de informacin a fin de obtener
respuestas coherentes que permitan una correcta descripcin de puntos dbiles y
fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de
formularse flexiblemente.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las

Checklists deben ser contestadas oralmente, ya que superan en riqueza y
generalizacin a cualquier otra forma.
Segn la claridad de las preguntas y el talante del auditor, el auditado responder
desde posiciones muy distintas y con disposicin muy variable. El auditado,
habitualmente informtico de profesin, percibe con cierta facilidad el perfil tcnico y los
conocimientos del auditor, precisamente a travs de las preguntas que ste le formula.
Esta percepcin configura el principio de autoridad y prestigio que el auditor debe
poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo y el
orden de su formulacin. Las empresas externas de Auditora Informtica guardan sus
Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente.
No debe olvidarse que la funcin auditora se ejerce sobre bases de autoridad, prestigio
y tica.
El auditor deber aplicar la Checklist de modo que el auditado responda clara y
escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los
casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas
ocasiones, se har necesario invitar a aqul a que exponga con mayor amplitud un
tema concreto, y en cualquier caso, se deber evitar absolutamente la presin sobre el
mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas
equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas
diferentes. De este modo, se podrn descubrir con mayor facilidad los puntos
contradictorios; el auditor deber analizar los matices de las respuestas y reelaborar
preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la
homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las
preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del
auditado, y nunca escribir cruces ni marcar cuestionarios en su presencia.

Los cuestionarios o Checklists responden fundamentalmente a dos tipos de filosofa

de calificacin o evaluacin:

a) Checklist de rango
Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por
ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo)

Ejemplo de Checklist de rango:

Se supone que se est realizando una auditora sobre la seguridad fsica de una
instalacin y, dentro de ella, se analiza el control de los accesos de personas y cosas al
Centro de Clculo. Podran formularse las preguntas que figuran a continuacin, en
donde las respuestas tiene los siguientes significados:
1 : Muy deficiente.
2 : Deficiente.
3 : Mejorable.
4 : Aceptable.
5 : Correcto.

Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin
que parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve
un pequeo guin. La cumplimentacin de la Checklist no debe realizarse en presencia
del auditado.

-Existe personal especfico de vigilancia externa al edificio?

-No, solamente un guarda por la noche que atiende adems otra instalacin adyacente.
<Puntuacin: 1>
-Para la vigilancia interna del edificio, Hay al menos un vigilante por turno en los
aledaos del Centro de Clculo?
-Si, pero sube a las otras 4 plantas cuando se le necesita.

<Puntuacin: 2>
-Hay salida de emergencia adems de la habilitada para la entrada y salida de
mquinas?
-Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.
<Puntuacin: 2>
-El personal de Comunicaciones, Puede entrar directamente en la Sala de
Computadoras?
-No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente mas que por
causa muy justificada, y avisando casi siempre al Jefe de Explotacin.
<Puntuacin: 4>

El resultado sera el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25

Deficiente.

b) Checklist Binaria
Es la constituida por preguntas con respuesta nica y excluyente: Si o No.
Aritmeticamente, equivalen a 1(uno) o 0(cero), respectivamente.

Ejemplo de Checklist Binaria:

Se supone que se est realizando una Revisin de los mtodos de pruebas de
programas en el mbito de Desarrollo de Proyectos.

-Existe Normativa de que el usuario final compruebe los resultados finales de los
programas?
<Puntuacin: 1>
-Conoce el personal de Desarrollo la existencia de la anterior normativa?
<Puntuacin: 1>
-Se aplica dicha norma en todos los casos?

<Puntuacin: 0>

-Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o
copia de Bases de Datos reales?
<Puntuacion: 0>
Obsrvese como en este caso estn contestadas las siguientes preguntas:
-Se conoce la norma anterior?
<Puntuacin: 0>
-Se aplica en todos los casos?
<Puntuacin: 0>

Las Checklists de rango son adecuadas si el equipo auditor no es muy grande y

mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor
precisin en la evaluacin que en la checklist binaria. Sin embargo, la bondad del
mtodo depende excesivamente de la formacin y competencia del equipo auditor.
Las Checklists Binarias siguen una elaboracin inicial mucho ms ardua y compleja.
Deben ser de gran precisin, como corresponde a la suma precisin de la respuesta.
Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y
el inconveniente genrico del <si o no> frente a la mayor riqueza del intervalo.
No existen Checklists estndar para todas y cada una de las instalaciones
informticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios
los retoques de adaptacin correspondientes en las preguntas a realizar.

Trazas y/o Huellas:

Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los
Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras.
Para ello se apoya en productos Software muy potentes y modulares que, entre otras
funciones, rastrean los caminos que siguen los datos a travs del programa.

Muy especialmente, estas Trazas se utilizan para comprobar la ejecucin de las

validaciones de datos previstas. Las mencionadas trazas no deben modificar en
absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de
carga, se convendr de antemano las fechas y horas ms adecuadas para su empleo.
Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean
productos que comprueban los valores asignados por Tcnica de Sistemas a cada uno
de los parmetros variables de las Libreras ms importantes del mismo. Estos
parmetros variables deben estar dentro de un intervalo marcado por el fabricante. A
modo de ejemplo, algunas instalaciones descompensan el nmero de iniciadores de
trabajos de determinados entornos o toman criterios especialmente restrictivos o
permisivos en la asignacin de unidades de servicio para segn cuales tipos carga.
Estas actuaciones, en principio tiles, pueden resultar contraproducentes si se
traspasan los lmites.
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de
la auditora informtica de Sistemas: el auditor informtico emplea preferentemente la
amplia informacin que proporciona el propio Sistema: As, los ficheros de
<Accounting> o de <contabilidad>, en donde se encuentra la produccin completa de
aqul, y los <Log*> de dicho Sistema, en donde se recogen las modificaciones de
datos y se pormenoriza la actividad general.
Del mismo modo, el Sistema genera automticamente exacta informacin sobre el
tratamiento de errores de maquina central, perifricos, etc.
[La auditora financiero-contable convencional emplea trazas con mucha frecuencia.
Son programas encaminados a verificar lo correcto de los clculos de nminas, primas,
etc.].

*Log:
El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando
(informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se
llaman las transacciones. Las transacciones son unidades atmicas de cambios dentro
de una base de datos; toda esa serie de cambios se encuadra dentro de una
transaccin, y todo lo que va haciendo la Aplicacin (grabar, modificar, borrar) dentro
de esa transaccin, queda grabado en el log. La transaccin tiene un principio y un fin,

cuando la transaccin llega a su fin, se vuelca todo a la base de datos. Si en el medio

de la transaccin se cort por x razn, lo que se hace es volver para atrs. El log te
permite analizar cronolgicamente que es lo que sucedi con la informacin que est
en el Sistema o que existe dentro de la base de datos.

Software de Interrogacin:
Hasta hace ya algunos aos se han utilizado productos software llamados
genricamente <paquetes de auditora>, capaces de generar programas para auditores
escasamente cualificados desde el punto de vista informtico.
Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos
estadsticos que permitieran la obtencin de consecuencias e hiptesis de la situacin
real de una instalacin.
En la actualidad, los productos Software especiales para la auditora informtica se
orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y
bases de datos de la empresa auditada. Estos productos son utilizados solamente por
los auditores externos, por cuanto los internos disponen del software nativo propio de la
instalacin.
Del mismo modo, la proliferacin de las redes locales y de la filosofa ClienteServidor, han llevado a las firmas de software a desarrollar interfaces de transporte de
datos entre computadoras personales y mainframe, de modo que el auditor informtico
copia en su propia PC la informacin ms relevante para su trabajo.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e
informacin parcial generada por la organizacin informtica de la Compaa.
Efectivamente, conectados como terminales al Host, almacenan los datos
proporcionados por este, que son tratados posteriormente en modo PC. El auditor se
ve obligado (naturalmente, dependiendo del alcance de la auditora) a recabar
informacin de los mencionados usuarios finales, lo cual puede realizar con suma
facilidad con los polivalentes productos descritos. Con todo, las opiniones ms
autorizadas indican que el trabajo de campo del auditor informtico debe realizarse
principalmente con los productos del cliente.

Finalmente, ha de indicarse la conveniencia de que el auditor confeccione

personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible
una cierta soltura en el manejo de Procesadores de Texto, paquetes de Grficos, Hojas
de Clculo, etc.

Metodologa de Trabajo de Auditora Informtica

El mtodo de trabajo del auditor pasa por las siguientes etapas:

Alcance y Objetivos de la Auditora Informtica.

Estudio inicial del entorno auditable.
Determinacin de los recursos necesarios para realizar la auditora.
Elaboracin del plan y de los Programas de Trabajo.
Actividades propiamente dichas de la auditora.
Confeccin y redaccin del Informe Final.
Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final.

Definicin de Alcance y Objetivos

El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo
muy preciso entre auditores y clientes sobre las funciones, las materias y las
organizaciones a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar
las excepciones de alcance de la auditora, es decir cuales materias, funciones u
organizaciones no van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.
Las personas que realizan la auditora han de conocer con la mayor exactitud posible
los objetivos a los que su tarea debe llegar. Deben comprender los deseos y
pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.

Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los
objetivos generales y comunes de a toda auditora Informtica: La operatividad de los
Sistemas y los Controles Generales de Gestin Informtica.

Estudio Inicial

Para realizar dicho estudio ha de examinarse las funciones y actividades generales

de la informtica.
Para su realizacin el auditor debe conocer lo siguiente:

Organizacin:
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin
ejecuta es fundamental. Para realizar esto en auditor deber fijarse en:

1) Organigrama:
El organigrama expresa la estructura oficial de la organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de
manifiesto tal

circunstancia.

2) Departamentos:
Se entiende como departamento a los rganos que siguen inmediatamente a la
Direccin. El equipo auditor describir brevemente las funciones de cada uno de
ellos.

3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:

El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas
previstas por el organigrama, o por el contrario detectar, por ejemplo, si algn
empleado tiene dos jefes.

Las de Jerarqua implican la correspondiente subordinacin. Las funcionales por el

contrario, indican relaciones no estrictamente subordinables.

4) Flujos de Informacin:
Adems de las corrientes verticales intradepartamentales, la estructura organizativa
cualquiera que sea, produce corrientes de informacin horizontales y oblicuas
extradepartamentales.
Los flujos de informacin entre los grupos de una organizacin son necesarios para
su eficiente gestin, siempre y cuando tales corrientes no distorsionen el propio
organigrama.
En ocasiones, las organizaciones crean espontneamente canales alternativos de
informacin, sin los cuales las funciones no podran ejercerse con eficacia; estos
canales alternativos se producen porque hay pequeos o grandes fallos en la
estructura y en el organigrama que los representa.
Otras veces, la aparicin de flujos de informacin no previstos ob edece a
afinidades personales o simple comodidad. Estos flujos de informacin son
indeseables y producen graves perturbaciones en la organizacin.

5) Nmero de Puestos de trabajo

El equipo auditor comprobar que los nombres de los Puesto de los Puestos de
Trabajo de la organizacin corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual
indica la existencia de funciones operativas redundantes.
Esta situacin pone de manifiesto deficiencias estructurales; los auditores darn a
conocer tal circunstancia y expresarn el nmero de puestos de trabajo
verdaderamente diferentes.

6) Nmero de personas por Puesto de Trabajo

Es un parmetro que los auditores informticos deben considerar. La inadecuacin
del personal determina que el nmero de personas que realizan las mismas
funciones rara vez coincida con la estructura oficial de la organizacin.

Entorno Operacional
El equipo de auditora informtica debe poseer una adecuada referencia del entorno
en el que va a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los siguientes
extremos:

a) Situacin geogrfica de los Sistemas:

Se determinar la ubicacin geogrfica de los distintos Centros de Proceso de
Datos en la empresa. A continuacin, se verificar la existencia de
responsables en cada unos de ellos, as como el uso de los mismos estndares
de trabajo.

b) Arquitectura y configuracin de Hardware y Software:

Cuando existen varios equipos, es fundamental la configuracin elegida para
cada uno de ellos, ya que los mismos deben constituir un sistema compatible e
intercomunicado. La configuracin de los sistemas esta muy ligada a las
polticas de seguridad lgica de las compaas.
Los auditores, en su estudio inicial, deben tener en su poder la distribucin e
interconexin de los equipos.

c) Inventario de Hardware y Software:

El auditor recabar informacin escrita, en donde figuren todos los elementos
fsicos y lgicos de la instalacin. En cuanto a Hardware figurarn las CPUs,
unidades de control local y remotas, perifricos de todo tipo, etc.
El inventario de software debe contener todos los productos lgicos del
Sistema, desde el software bsico hasta los programas de utilidad adquiridos o
desarrollados internamente. Suele ser habitual clasificarlos en facturables y no
facturables.

d) Comunicacin y Redes de Comunicacin:

En el estudio inicial los auditores dispondrn del nmero, situacin y
caractersticas principales de las lneas, as como de los accesos a la red
pblica de comunicaciones.
Igualmente, poseern informacin de las Redes Locales de la Empresa.

Aplicaciones bases de datos y ficheros

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea
general de los procesos informticos realizados en la empresa auditada. Para ello
debern conocer lo siguiente:

a) Volumen, antigedad y complejidad de las Aplicaciones

b) Metodologa del Diseo
Se clasificar globalmente la existencia total o parcial de metodologa en el
desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo
se pondr de manifiesto.

c) Documentacin
La existencia de una adecuada documentacin de las aplicaciones proporciona
beneficios tangibles e inmediatos muy importantes.
La documentacin de programas disminuye gravemente el mantenimiento de
los mismos.

d) Cantidad y complejidad de Bases de Datos y Ficheros.

El auditor recabar informacin de tamao y caractersticas de las Bases de
Datos, clasificndolas en relacin y jerarquas. Hallar un promedio de nmero
de accesos a ellas por hora o das. Esta operacin se repetir con los ficheros,
as como la frecuencia de actualizaciones de los mismos.
Estos datos proporcionan una visin aceptable de las caractersticas de la
carga informtica.

Determinacin de recursos de la auditora Informtica

Mediante los resultados del estudio inicial realizado se procede a determinar los
recursos humanos y materiales que han de emplearse en la auditora.

Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son
proporcionados por el cliente. Las herramientas software propias del equipo van a
utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo
posible las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:

a) Recursos materiales Software

Programas propios de la

auditoria: Son

muy potentes y

Flexibles.

Habitualmente se aaden a las ejecuciones de los procesos del cliente para

verificarlos.

Monitores: Se utilizan en funcin del grado de desarrollo observado en la

actividad de Tcnica de Sistemas del auditado y de la cantidad y calidad de los
datos ya existentes.

b) Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el
cliente. Los procesos de control deben efectuarse necesariamente en las
Computadoras del auditado.
Para lo cul habr de convenir, tiempo de maquina, espacio de disco,
impresoras ocupadas, etc.

Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles
del personal seleccionado depende de la materia auditable.
Es igualmente reseable que la auditora en general suele ser ejercida por
profesionales

universitarios

por

otras

personas

de

probada

experiencia

multidisciplinaria.

5 ACTIVIDADES
Analizar

las normas de auditora generalmente aceptadas (NAGA) adaptar sus

definiciones a la Auditora informtica

Buscar una empresa para aplicar todos los pasos de la auditora informtica
Anlisis de riesgos
Plan de contingencia
Auditora a equipos, sistemas y personal
Elaborar programas de auditora: FISICA, LOGICA , AL PERSONAL
Disear los papeles de trabajo para cada auditora
Aplicar la auditora

Elaborar los informes

6 VOCABULARIO
Auditora.- Evaluar y controlar los procesos de una empresa de acuerdo a normas
establecidas para verificarlas y poder dar recomendaciones para su mejoramiento
Norma.- Regla que se debe seguir o a que se deben ajustar las

conductas,
tareas, actividades, etc.
Riesgo.- Contingencia o proximidad de un dao

Contingencia.- Posibilidad de que algo suceda o no suceda.

Seguridad.- Que asegura algn buen funcionamiento, precaviendo
que este falle, se frustre o se violente
Fraude .- Accin contraria a la verdad y a la rectitud, que perjudica a la
persona contra quien se comete.

Acto tendente a eludir una

disposicin legal en perjuicio de terceros

Informe.- Descripcin, oral o escrita, de las caractersticas y
circunstancias de un suceso o asunto
Programa de auditora.- Planificacin e la auditora
Objetivo.- Metas que se pretenden lograr o alcanzar
Procedimientos.- Mtodo de ejecutar algunas

cosas
Metodologa.- Conjunto de mtodos que se siguen en una investigacin

cientfica
o en una exposicin doctrinal.

Tunning.- Es el conjunto de tcnicas de observacin y de medidas encaminadas a la

evaluacin del comportamiento de los Subsistemas y del Sistema en su conjunto.
Checklist .- cuestionarios en funcin de los escenarios auditados
Papeles De Trabajo.- Es la evidencia de la investigacin realizada debe ser uniforme
para toda la auditora y debe incluir lo siguiente:

BIBLIOGRAFIA

Auditora de Gestin Sir-Michael Graig

Cdigo de Trabajo.

Auditora y seguridad informtica

Auditora informtica un enfoque operacional de Jos Dagoberto pinilla.

EVALUACION DE SALIDA

Al finalizar cada unidad evaluacin escrita sobre contenidos

Avance de auditora (aplicacin) al finalizar aplicacin de cada metodologa
Auditora terminada documento y explicacin