AUDITORIA INFORMATICA

Contenido
Unidad II. Planeacin de la auditoria informtica ............................................................................... 1 2.1 Fases de la auditoria.................................................................................................................. 2 2.2 Evaluacin de los sistemas de acuerdo al riesgo .................................................................... 12 2.3 Investigacin preliminar .......................................................................................................... 14 2.4 Personal participante .............................................................................................................. 15 Bibliografa .................................................................................................................................... 17

GRUPO: 803-A MAPV

Unidad II. Planeacin de la auditoria informtica

La auditora en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de los miembros de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones.

La auditora en informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin.

La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.

Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software). En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de varios objetivos: Evaluacin administrativa del rea de procesos electrnicos. Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Evaluacin del proceso de datos de los sistemas y equipos de cmputo. Seguridad y confidencialidad de la informacin. Aspectos legales de los sistemas y de la informacin.
1 GRUPO: 803-A MAPV

Para lograr una adecuada planeacin es necesario primero obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar.

El proceso de planeacin comprende el establecer: Metas. Programas de trabajo de auditora. Planes de contratacin del personal y presupuestos financieros. Informes de actividades. Las metas se debern establecer de tal manera que se pueda lograr su cumplimiento, sobre la base de los planes especficos de operacin y de los presupuestos, lo que hasta donde sea posible debern ser cuantificados. Debern acompaarse de los criterios para medirlas y de fechas lmites para su logro. Los programas de trabajo de auditora debern incluir: las actividades que se van a auditar, cuando sern auditadas, el tiempo estimado requerido, tomando en consideracin el alcance del trabajo de la auditoria planeado y la naturaleza y extensin del trabajo realizado por otros.

2.1 Fases de la auditoria

Elaboracin del plan y de los programas de trabajo Una vez asignados los recursos, el responsable de la auditora y sus colaboradores establecen un plan de trabajo. Decidido ste, se procede a la programacin del mismo.

El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes: a) Si la Revisin debe realizarse por reas generales o reas especficas. En el primer caso, la elaboracin es ms compleja y costosa.

GRUPO: 803-A MAPV

b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina no solamente el nmero de auditores necesarios, sino las especialidades necesarias del personal. c) En el Plan no se consideran calendarios, porque se manejan recursos genricos y no especficos. d) En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios. e) En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente. f) El Plan establece disponibilidad futura de los recursos durante la revisin. g) El Plan estructura las tareas a realizar por cada integrante del grupo. h) En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.

Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta ha de ser lo suficientemente pensada como para permitir modificaciones a lo largo del proyecto.

Actividades propiamente dichas de la auditora

La auditora Informtica se realiza por reas generales o por reas especficas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total y mayores recursos.

Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de tal forma que, el resultado se obtiene ms rpidamente y con menor calidad.

Tcnicas de Trabajo: Anlisis de la informacin recabada del auditado. Anlisis de la informacin propia.
3 GRUPO: 803-A MAPV

 Cruzamiento de las informaciones anteriores. Entrevistas. Simulacin. Muestreos.

Herramientas: Cuestionario general inicial. Cuestionario Checklist. Estndares. Monitores. Simuladores (Generadores de datos). Paquetes de auditora (Generadores de Programas). Matrices de riesgo. 2.1.2 Planeacin Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo.

En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos: Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.

Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, mismo que deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
4 GRUPO: 803-A MAPV

2.1.2 Revisin preliminar Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos: Administracin Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.

Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del rea de informtica: Objetivos a corto y largo plazo. Recursos materiales y tcnicos

Solicitar documentos sobre los equipos, nmero de ellos, localizacin y caractersticas: Estudios de viabilidad. Nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por instalar, as como tambin los que estn programados) Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuracin de los equipos y capacidades actuales y mximas. Planes de expansin. Ubicacin general de los equipos. Polticas de operacin. Polticas de uso de los equipos.
5 GRUPO: 803-A MAPV

Sistemas

Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin. Manual de formas. Manual de procedimientos de los sistemas. Descripcin genrica. Diagramas de entrada, archivos, salida. Salidas. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas.

2.1.3 Revisin detallada En el momento de hacer la planeacin de la auditora o bien su realizacin, debemos evaluar que pueden presentarse las siguientes situaciones. Se solicita la informacin y se ve que: No se tiene y se necesita. Se tiene y no se necesita. a) En el caso de Se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. b) En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. Se tiene la informacin pero: No se usa. Es incompleta. No esta actualizada. No es la adecuada. Se usa, est actualizada, es la adecuada y est completa.
6 GRUPO: 803-A MAPV

a) En el caso de que se tenga la informacin pero no se utilice, se debe analizar por qu no se usa. b) En caso de que se tenga la informacin, se debe analizar si se usa, si est actualizada, si es la adecuada y si est completa.

El xito del anlisis crtico depende de las consideraciones siguientes: Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin fundamento) Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo con todos los informes y los datos recabados. 2.1.4 Examen y evaluacin de la informacin Personal Participante Una de las partes ms importantes dentro de la planeacin de la auditora en informtica es el personal que deber participar y sus caractersticas. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga est debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.

Con estas bases se deben considerar las caractersticas de conocimientos, prctica profesional y capacitacin que debe tener el personal que intervendr en la auditora. En primer lugar se debe pensar que hay personal asignado por la organizacin, con el suficiente nivel para poder coordinar el desarrollo de la auditora, proporcionar toda la informacin que se solicite y programar las reuniones y entrevistas requeridas.

GRUPO: 803-A MAPV

ste es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, sera casi imposible obtener informacin en el momento y con las caractersticas deseadas.

Tambin se debe contar con personas asignadas por los usuarios para que en el momento que se solicite informacin o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se est solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema.

Para completar el grupo, como colaboradores directos en la realizacin de la auditora se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos de los sistemas ms importantes.

En caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en reas especficas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias sealadas, pero si deben intervenir una o varias personas con las caractersticas apuntadas.

2.1.5 Pruebas de controles de usuario CONTROL DE PROYECTOS Debido a las caractersticas propias del anlisis y la programacin, es muy frecuente que la implantacin de los sistemas se retrase y llegue a suceder que una persona lleva trabajando varios aos dentro de un sistema o bien que se presenten irregularidades en las que los programadores se ponen a realizar actividades ajenas a la direccin de informtica. Para poder controlar el avance de
8 GRUPO: 803-A MAPV

los sistemas, ya que sta es una actividad de difcil evaluacin, se recomienda que se utilice la tcnica de administracin por proyectos para su adecuado control.

Para tener una buena administracin por proyectos se requiere que el analista o el programador y su jefe inmediato elaboren un plan de trabajo en el cual se especifiquen actividades, metas, personal participante y tiempos.

Este plan debe ser revisado peridicamente (semanal, mensual, etc.) para evaluar el avance respecto a lo programado. La estructura estndar de la planeacin de proyectos deber incluir la facilidad de asignar fechas predefinidas de terminacin de cada tarea.
CONTROL DEL DISEO DE SISTEMAS Y PROGRAMACIN

El objetivo es asegurarse de que el sistema funcione conforme a las especificaciones funcionales, a fin de que el usuario tenga la suficiente informacin para su manejo, operacin y aceptacin.

Las revisiones se efectan en forma paralela desde el anlisis hasta la programacin y sus objetivos son los siguientes: ETAPA DE ANLISIS Identificar inexactitudes, ambigedades y omisiones en las especificaciones. ETAPA DE DISEO Descubrir errores, debilidades, omisiones antes de iniciar la codificacin. ETAPA DE PROGRAMACIN Buscar la claridad, modularidad y verificar con base en las especificaciones.

Esta actividad es muy importante ya que el costo de corregir errores es directamente proporcional al momento que se detectan: si se descubren en el momento de programacin ser ms alto que si se detecta en la etapa de anlisis.

GRUPO: 803-A MAPV

Esta funcin tiene una gran importancia en el ciclo de evaluacin de aplicaciones de los sistemas de informacin y busca comprobar que la aplicacin cumple las especificaciones del usuario, que se haya desarrollado dentro de lo

presupuestado, que tenga los controles necesarios y que efectivamente cumpla con los objetivos y beneficios esperados.

El siguiente cuestionario se presenta como ejemplo para la evaluacin del diseo y prueba de los sistemas:

Difcilmente se controla realmente el flujo de la informacin de un sistema que desde su inicio ha sido mal analizado, mal diseado, mal programado e incluso mal documentado.

El excesivo mantenimiento de los sistemas generalmente ocasionado por un mal desarrollo, se inicia desde que el usuario establece sus requerimientos (en ocasiones sin saber qu desea) hasta la instalacin del mismo, sin que se haya establecido un plan de prueba del sistema para medir su grado de confiabilidad en la operacin que efectuar.

Para verificar si existe esta situacin, se debe pedir a los analistas y a los programadores las actividades que estn desarrollando en el momento de la auditora y evaluar si estn efectuando actividades de mantenimiento o de realizacin de nuevos proyectos.

En ambos casos se deber evaluar el tiempo que llevan dentro del mismo sistema, la prioridad que se le asign y cmo est en el tiempo real en relacin al tiempo estimado en el plan maestro.

10

GRUPO: 803-A MAPV

2.1.6 Pruebas sustantivas INSTRUCTIVOS DE OPERACIN Las pruebas sustantivas son aquellas que se requieren para evaluar todos los instructivos de operacin como a continuacin se muestra un ejemplo. Se deben evaluar los instructivos de operacin de los sistemas para evitar que los programadores tengan acceso a los sistemas en operacin, y el contenido mnimo de los instructivos de operacin se puedan verificar mediante el siguiente cuestionario.

El instructivo de operacin deber comprender. Diagrama de flujo por cada programa. Diagrama particular de entrada/salida. Mensaje y su explicacin Parmetros y su explicacin Diseo de impresin de resultados Cifras de control Frmulas de verificacin Observaciones Instrucciones en caso de error Calendario de proceso y resultados ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( )

FORMA DE IMPLEMENTACIN

La finalidad de evaluar los trabajos que se realizan para iniciar la operacin de un sistema, esto es, la prueba integral del sistema, adecuacin, aceptacin por parte del usuario, entrenamiento de los responsables del sistema etc.

11

GRUPO: 803-A MAPV

Indicar cules puntos se toman en cuenta para la prueba de un sistema:

Prueba particular de cada programa Prueba por fase validacin, actualizacin Prueba integral del paralelo Prueba en paralelo sistema Otros (especificar)_________________

( ) ( ) ( ) ( ) ( )

2.2 Evaluacin de los sistemas de acuerdo al riesgo

Por riesgos y contingencias informticas Es frecuente que funcionarios, personal o usuarios del rea de sistemas soliciten la realizacin de alguna auditora cuando a ocurrido alguna contingencia que afecte el procesamiento de informacin en la empresa aunque tambin puede suceder cuando existe algn riesgo que pueda repercutir en las actividades y funciones del rea de sistematizacin, as como en el manejo de los recursos que se le han asignado. Por esta razn se debe evaluar, mediante una auditora de sistemas, las repercusiones de cualquiera de estas incidencias, ya sean por riesgos o por la ocurrencia de alguna contingencia de carcter informtico.

Los siguientes son de algunos de los riesgos o contingencias informticas ms comunes de estas reas:

Riesgos y contingencias del personal informtico Esta solicitud de auditora se origina por los posibles riesgos derivados de la actuacin del factor humano del rea de sistemas, ya sea del personal, de los usuarios, los asesores o consultores y de los desarrolladores o proveedores de sistemas de la empresa; asimismo, se origina por las contingencias que le pueden ocurrir a este personal. En ambos casos, estos son algunos de los aspectos que
12 GRUPO: 803-A MAPV

pueden generar la necesidad de realizar una auditora a estas reas, ya sea porque pueden existir eficiencias y problemas en el cumplimiento de las actividades, operaciones y funciones de este personal, o por los posibles riesgos a los que estn expuestos. Riesgos y contingencias fsicas La solicitud de una auditoria de este tipo se origina por una contingencia o posible riesgo derivado de los aspectos tangibles de la empresa, es decir, de aspectos fsicos como acceso del personal al equipo de computo, perifricos y componentes, y en s a todo lo que corresponde al hardware del rea de sistema, as como en lo relacionado con las instalaciones, mobiliario, equipos,

construcciones y dems elementos palpables del centro de informtica de la empresa.. Riesgos y contingencias operativas (lgicas) Son las solicitudes de auditora de sistemas derivadas de las contingencias y riesgos que posiblemente repercutiran en el funcionamiento operativo (lgico) del sistema, en cuanto al comportamiento de sus lenguajes y programas, as como en los niveles de accesos, privilegios y limitaciones en el manejo de sus archivos, bases de datos, formas de procesamiento de informacin y en s de todos aquellos aspectos que de alguna manera van a influir en el buen funcionamiento del sistema computacional.

Riesgos y contingencias del software Muy similar al anterior, tan es as que a veces se puede confundir; el origen de esta solicitud se debe a las contingencias y riesgos que se pueden presentar debido al manejo de los sistemas operativos, los lenguajes de programacin y las paqueteras de aplicacin del rea de sistemas.

La mayora de solicitudes de este tipo se originan por mal uso del software, para piratera, robos, falta de licencia y otros delitos informticos.
13 GRUPO: 803-A MAPV

Riesgos y contingencias en las bases de datos Esta solicitud de auditora se hace exclusivamente para evaluar el manejo de los datos de la empresa, los cuales estn contemplados en la operacin de las bases de datos; en este caso la auditoria se enfocar en forma exclusiva a las contingencias y posibles riesgos derivados de la administracin, procesamiento, custodia, acceso y uso de los datos, ya sea para detectar alguna negligencia, alteracin, dolo o cualquier otra afectacin en la informacin de la empresa.

2.3 Investigacin preliminar

Realizar una visita preliminar al rea que ser evaluada Es recomendable, diramos que casi imprescindible, que el autor realice una visita preliminar al rea de informtica que ser auditada, justo despus de conocer el origen de la peticin de auditora, antes de iniciarla formalmente; el propsito es que tenga un contacto inicial con el personal de dicha rea y que observe como se encuentran distribuidos los sistemas, cuntos y cules son los equipos que estn instalados en el centro de computo, cules son sus principales caractersticas, de que tipo son las instalaciones, cuales son las medidas de seguridad visibles que existen, y en s, que conozca la problemtica a la cual se enfrentar, de manera muy simple y de carcter tentativo.

Para ello, el auditor debe contemplar los siguientes aspectos en dicha visita: Visita preliminar de arranque Esta es una visita preparatoria al rea de informtica que ser auditada, la cual tiene como finalidad que el auditor advierta de manera preliminar alguna de estas situaciones: Cmo se encuentran distribuidos los sistemas en el rea? Cuntos, cuales, cmo y de qu tipo son los equipos que estn instalados en el centro de sistemas?
14 GRUPO: 803-A MAPV

Cules son, a simple vista, las principales caractersticas fsicas de los sistemas que sern auditados?

2.4 Personal participante

Una de las partes ms importantes dentro de la planeacin de la auditora en informtica es el personal que deber participar y sus caractersticas.

Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga est debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.

Con estas bases se deben considerar las caractersticas de conocimientos, prctica profesional y capacitacin que debe tener el personal que intervendr en la auditora. En primer lugar se debe pensar que hay personal asignado por la organizacin, con el suficiente nivel para poder coordinar el desarrollo de la auditora, proporcionar toda la informacin que se solicite y programar las reuniones y entrevistas requeridas.

ste es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, sera casi imposible obtener informacin en el momento y con las caractersticas deseadas.

Tambin se debe contar con personas asignadas por los usuarios para que en el momento que se solicite informacin o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se est solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema.
15 GRUPO: 803-A MAPV

Para completar el grupo, como colaboradores directos en la realizacin de la auditora se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos de los sistemas ms importantes.

En caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en reas especficas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias sealadas, pero si deben intervenir una o varias personas con las caractersticas apuntadas.

Una vez que se ha hecho la planeacin, se puede utilizar el formato sealado a continuacin Programa de Auditora en Informtica, en l se contempla el organismo, las fases y sub-fases que comprenden la descripcin de la actividad, el nmero de personas participantes, las fechas estimadas de inicio y terminacin, el nmero de das hbiles y el nmero de das/hombre estimados.

16

GRUPO: 803-A MAPV

Bibliografa

http://www.monografias.com/trabajos48/control-y-auditoria/control-y-auditoria.shtml http://www.monografias.com/trabajos48/control-y-auditoria/control-yauditoria2.shtml http://www.itchetumal.edu.mx/v2006/paginasvar/Maestros/mduran/Archivos/auditor ia%20de%20sistemas%20ok.pdf http://www.monografias.com/trabajos48/control-y-auditoria/control-yauditoria2.shtml Carlos Muoz Razo, Auditora en Sistemas Computacionales, Prentice Hall

17

GRUPO: 803-A MAPV