FUNDAMENTOS BSICOS DE LA AUDITORA INFORMTICA

INTRODUCCIN: JUSTIFICACIN DE LA AUDITORA INFORMTICA En las ltimas dcadas se ha puesto de manifiesto la contribucin evidente de la informtica a suministrar informacin til, relevante y oportuna a los distintos

usuarios de la informacin, en especial a la direccin de la empresa. La adopcin de tcnicas informticas se ha convertido en la influencia exterior ms importante que han sufrido los sistemas de informacin, pues constituyen un apoyo imprescindible para cualquier actividad. Hay que destacar que en la actualidad los sistemas informticos son de gran complejidad y sofisticacin, lo que implica que sean necesarios una serie de controles internos consecuentes con el tipo de informacin a proteger, pues de no existir estos controles puede no haber una seguridad razonable de que de la informacin suministrada sea la adecuada para tomar decisiones correctas, que los activos de la empresa estn salvaguardados o que la informacin confidencial no est siendo desviada por alguien en contra de los intereses y propsitos de la empresa, y es por este motivo por el que resulta necesario que la auditora informtica forme parte de la auditora de gestin. Se justifica la auditora informtica como una necesidad ante el uso masivo por parte de las empresas de ordenadores y aplicaciones informticas mediante los cuales los gestores tratan la informacin recabada para poder tomar decisiones. Cantidad de abusos y fraudes, entre otros efectos negativos, han aparecido como consecuencia de la alta informatizacin de los ltimos aos, por lo que lgicamente se ha producido un aumento de la seguridad y el control de los sistemas de informacin. El auge de la auditora informtica viene explicado por la incapacidad del auditor financiero de validar la informacin contable suministrada por el sistema informtico, la cual ha sido obtenida como consecuencia de complicados procesos mecanizados. A su vez, la auditora informtica debe permitir a la direccin detectar los puntos dbiles de su informtica y evaluar los riesgos inherentes a su utilizacin. Debe ser un medio que permita reducir costes
1

FUNDAMENTOS BSICOS DE LA AUDITORA INFORMTICA

a la vez que proporcionar seguridad a la direccin, pero, como cualquier otra auditora no puede detectar todos los problemas. Sin embargo, debe ser una buena ayuda para la gestin de la empresa En resumen, el gran detonante de la necesidad de auditora informtica fue descubrir el grave riesgo que supona el delito informtico paralelo al desarrollo tecnolgico. La forma de contrarrestar los efectos del fraude informtico pasa por la adopcin de medidas de carcter legal y de carcter tcnico como: mayor control de accesos, mayor control a aspectos de seguridad, uso de datos, facilitar los anlisis de auditora a travs de rastreo de operaciones. La auditora ha podido ampliar el alcance de sus revisiones hacia aspectos relacionados con la eficiencia, tanto en lo relativo a las operaciones informticas, a los sistemas de informacin, a la organizacin informtica, adems de la utilizacin de estndares tcnicos para las diversas actividades que se integran en la organizacin de proceso de datos. OBJETIVOS DE LA AUDITORA INFORMTICA Delimitar una serie de objetivos en este campo concreto no es tarea fcil. La funcin del auditor variar en funcin del tipo de organizacin a auditar, del tipo de actividad, de la complejidad de las aplicaciones informticas entre otros. Los objetivos de auditora pueden agruparse en funcin del mbito al que se refieran, tanto a la auditora externa como a la interna. A) Objetivos que repercuten y afectan a la auditora externa Salvaguarda de los activos: referida a equipos e instalaciones, aplicaciones, documentacin de los sistemas, personal, que deben salvaguardarse para evitar que sufran daos de un uso ilcito. La consecuencia directa de una mala seguridad informtica es procesar informaciones incorrectas, fraudes, deterioro de imagen frente a terceros, lo que implica un elevado coste para la empresa. Por ello es necesaria la introduccin de unos procedimientos de revisin, proporcionados por la auditora informtica, que permitan garantizar la seguridad fsica, la seguridad de teleproceso y los accesos lgicos, seguridad en la operacin y en la
2

FUNDAMENTOS BSICOS DE LA AUDITORA INFORMTICA

explotacin, plan de prevencin de desastres y supervivencia en el caso de que sucedan, seguridad de aplicaciones de datos, etc. Integridad de datos: aspecto imprescindible porque sin una integridad de los datos no se puede obtener una informacin real. A su vez los datos han de ser claros, consistentes y veraces. B) Objetivos que afectan a la auditora interna: Eficacia y eficiencia de los sistemas: valorar la eficacia y eficiencia del servicio informtico hace necesaria una auditora informtica. Aspectos principales: que el hardware sea el adecuado para las necesidades de la empresa, que la metodologa y desarrollo de los trabajos se elaboren de forma correcta en el departamento de informtica, que el rendimiento y coste que produce el servicio informtico sean ptimos. EL AUDITOR INFORMTICO En esta rama de la auditora tambin existen asociaciones profesionales a nivel internacional que velan por el desarrollo de la auditora informtica teniendo entre sus funciones el hecho de establecer un cdigo de tica profesional y emitir unas normas profesionales. El auditor de sistemas de informacin debe tener un buen conocimiento de las normas generales de auditora de sistemas de informacin, que son emitidas por el Consejo Normativo de la Asociacin de Auditora y Control de Sistemas de Informacin. Las normas promulgadas por la Asociacin de Auditora y Control de Sistemas de Informacin (Information Systems Audit and Control Association, ISACA) son aplicables al trabajo de auditora realizado por miembros de la Asociacin de Auditora y Control de Sistemas de Informacin y por las personas que han recibido la designacin de Auditor Certificado de Sistemas de Informacin. Mediante el examen C.I.S.A (Certified Information Systems Auditor) se puede obtener la certificacin internacional que da la E.D.P.A.A (Electronic Data Processing Auditors Association). Para obtener el ttulo C.I.S.A (certificado de
3

FUNDAMENTOS BSICOS DE LA AUDITORA INFORMTICA

auditor informtico de mayor prestigio en el panorama mundial) hay que cumplir una serie de requisitos que vienen expuestos a continuacin: Examen Cisa http://www.isaca.org/Certification/CISA-Certified-InformationSystems-Auditor/Register-for-the-Exam/Documents/CISA-BOI-June-2012ES.pdf