AUDITORIA Introduccion

Concepto de Auditar, es controlar una determinada accin. Control: es una actividad o accin o un grupo de actividades o acciones realizadas por uno o varios elementos (personas o mquinas), con el fin de prevenir, detectar o corregir errores o irregularidades que afecten al funcionamiento del sistema, o a cualquiera de sus partes. Auditora: es el examen de la informacin por terceras partes, distintas de quienes la generan y quienes la utilizan, con la intencin de establecer su suficiencia y adecuacin e informar de los resultados del examen con objeto de mejorar su utilidad. La Auditora informtica comprende: la revisin, anlisis y evaluacin independiente y objetiva por parte de personas independientes y tcnicamente competentes de: un entorno informtico de una entidad, abarcando todas o algunas de sus reas como: equipos sistemas operativos y paquetes aplicaciones y el proceso de su desarrollo organizacin y funciones -las comunicaciones la propia gestin de los recursos informticos.

Las polticas, estndares y procedimientos en vigor de la entidad, su idoneidad, as como el cumplimiento de: dichas polticas, estndares y procedimientos: los los los los objetivos fijados planes presupuestos controles y las normas legales aplicables.

Conclusin: Como consecuencia de la revisin y examen ha de emitirse un informe escrito que resuma la situacin desde un punto de vista independiente y objetivo, y en su caso dicho informe ha de incluir sealamiento de deficiencias e indicacin de mejoras. Para realizar las actividades de Auditora informtica existen: Mtodos, Tcnicas y Herramientas.

TIPOS DE AUDITORA EN CUANTO OBJETIVOS

Interna Externa

Tipos de auditora informtica Evaluacin del sistema de control interno por parte de la auditora interna o evaluacin de la auditora interna por parte de la auditora externa. Auditora de cumplimiento de polticas, estndares y procedimientos de la propia entidad, de normas legales aplicables, de acuerdos interempresas Auditora de seguridad (fsica y/o lgica) Auditora operativa, que para algunos es lo mismo que auditora de gestin.

Relacin entre Auditoria interna y externa Ambas auditoras son compatibles y recomendables. Su cometido es complementario nunca excluyente. La auditora externa debe ser el seguimiento de la auditora interna. Los auditores externos pueden apoyarse en las internas, siempre y cuando esto no suponga una prdida de la objetividad y de la independencia en: sus informes sus indicaciones

Los auditores externos pueden aporta a los internos nuevas tcnicas y mtodos. La auditora interna puede crearse muchas veces por recomendacin de la externa. El auditor informtico: Cualidades y requisitos que debe poseer Formacin (buen profesional, conocimientos completos) Experiencia Independencia (actitud mental - actuar libremente con respecto a su juicio profesional) Objetividad (actitud imparcial - no dejarse influenciar) Madurez Integridad (rectitud intachable, honestidad) Capacidad de anlisis y sntesis Responsabilidad Inters

Perfil especfico segn: nivel del puesto entorno de trabajo reas a auditar Puesta al da de los conocimientos.

FUENTES: Es necesario requerir la documentacin sobre todo lo que se ha auditar, se incluye todo aquello que tenga que ver con: el hardware el software las instalaciones procedimientos, etc.

REVISION DEL HARDWARE

Listar todo el hardware Especificar su utilizacin Hacer estadsticas de uso y personas Sistemas claves Mapa de conexiones Prioridades Modificaciones (cada equipo debe tener una bitcora de su vida) Probar el hardware: pruebas en paralelo y benchmarks. Comprobar su vida real, etc.

REVISIN DEL SOFTWARE:

Solicitar los planos del software Solicitar programas operativos Solicitar programas de aplicacin Solicitar bases de datos Hacer las pruebas del S.O con expertos, y con los operadores (observar las reacciones) Revisin de la vida til del software Responsables del proyecto Diseadores Probadores Fundamentos de aplicacin Analizar su uso.

AUDITORA INFORMTICA
En la actualidad el costo de los equipos de cmputo ha disminuido considerablemente, mientras que sus capacidades y posibilidades de utilizacin han aumentado en forma inversa a la reduccin de sus costos. Aunque los costos unitarios han disminuido (el de una computadora personal, "microcomputadora"), los costos totales de la computacin (de equipos, sistemas, paquetes, recursos humanos, consumibles, etc. ) se han incrementado considerablemente. Ello se debe a que, si bien la relacin precio / memoria es menor, el tamao de la memoria de los equipos y sus capacidades son mucho mayores, con procesadores y dispositivos que permiten acceso de ms datos en mucho menos tiempo y que procesan la informacin en forma ms rpida (memorias RAM y ROM, discos fijos, etc. ). Esto hace que, aunque se han reducido los costos, al aumentar sus capacidades y facilidades se ha incrementado el costo total, lo que ha tenido como consecuencia que los costos totales del uso no hayan disminuido en todos los casos. Las nuevas herramientas con que se cuenta (Internet, Extranet, comunicacin, bases de datos, multimedia, etc. ) hacen que tambin se pueda tener acceso a mayor informacin, aunque el costo total de los sistemas, as como la confiabilidad y seguridad con que se debe trabajar, sean muy altos. En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se tiene poca productividad en relacin con la informacin y uso que se da a stas. Tambin se tiene poco control sobre la utilizacin de los equipos, existe un deficiente sistema de seguridad tanto fsica como lgica y se presenta una falta de confidencialidad de la informacin. Lo que se debe incrementar es la productividad, el control, la seguridad y la confidencialidad, para tener la informacin necesaria en el tiempo y en el lugar adecuados para poder tomar las mejores decisiones. Los siguientes puntos de la tecnologa de informacin son particularmente notables: Una gran disponibilidad de hardware de computadoras muy poderosos y baratos, incluyendo la incorporacin, a travs de la miniaturizacin de poderosas capacidades, en diferentes dispositivos diseados para usos personales y profesionales. Una gran disponibilidad de software poderoso, barato y relativamente accesible, con interfases de uso grfico. A la medida del cliente, cambio de sistemas a software preempacado. Cambio de computadoras principales (mainframe) a computadoras de uso individual o aumentadas como parte de redes dedicadas a compartir informacin, as como computadoras corporativas con los correspondientes cambios en la naturaleza, organizacin y localizacin de

actividades de los sistemas de informacin, como el cambio a computadoras de usuario final. Incremento en la habilidad de las computadoras para accesar datos en tiempo real o demorado, ambos en forma local o a travs de acceso a facilidades remotas, incluyendo va Internet. Captura de nuevos datos y el liderazgo en tecnologa en almacenamiento mximo para incrementar la computarizacin, datos/informacin en textos, grficas y video, con nfasis en la administracin, presentacin y comunicacin de informacin, utilizando aproximaciones de multimedia. La cobertura de informacin y las tecnologas de comunicacin afectan la forma en que se trabaja y se compra. .Incremento del uso de Internet para unir individuos, intraorganizaciones, a travs de sistemas tales como correo electrnico (E-mail), Internet, incluyendo world y wide web. El incremento en el uso de Internet para conducir comunicacin entre organizaciones e individuos, a travs de sistemas de comercio electrnico, tales como intercambio electrnico de datos (EDI) y sistema de transferencia electrnica de fondos (EFTS). Mercadeo masivo y distribucin de productos de tecnologa de informacin y servicios, tales como computadoras, software preempacado, servicio de recuperacin de datos en lnea, correo electrnico y servicios financieros. Reduccin de barreras de uso de sistemas, estimulando una gran penetracin de sistemas de informacin dentro de organizaciones de todos los tamaos, de lucro o no lucrativas, para contadores y consejos de administracin, y para propsitos estratgicos e incremento de papeles del usuario final de computadoras. Una amplia penetracin de tecnologa de informacin, tal como diseo de manufactura por medio de asistencia computarizada (CAD/CAM), sistema de imgenes por computadora, sistemas de informacin para ejecutivos (EIS) y sistemas de reuniones en forma electrnica (EMS). Nuevas tcnicas de desarrollo de sistemas, basados en tecnologas de informacin, tales como software de ingeniera de asistencia computarizada (CASE), programacin orientada a objetos y tecnologa de flujos (WORK- FLOW). Desarrollo continuo de soporte de sistemas inteligentes, incorporando sistemas expertos, redes neuronales, agentes inteligentes y otras ayudas de solucin de problemas. Acceso a reingeniera de nuevos negocios, basado en la integracin efectiva de tecnologa de informacin y procesos de negocios.

Uno de los problemas ms frecuentes en los centros de informtica es la falta de una adecuada organizacin, que permita avanzar al ritmo

de las exigencias de las organizaciones. A esto hay que agregar la situacin que presentan los nuevos equipos en cuanto al uso de bases de datos, redes y sistemas de informacin. Lo anterior, combinado con la necesidad de la eficiente planeacin estratgica y corporativa de las organizaciones, y con una descentralizacin de equipos y centralizacin de la informacin, ha provocado que la complejidad de las decisiones, y las dimensiones de los problemas en cuanto a la mejor forma de organizar el rea de cmputo, requieran aplicar tcnicas modernas de control y administracin. En muchos centros de informtica tambin se desconoce el adecuado empleo de herramientas administrativas, contables / financieras, tales como presupuestos, finanzas, costos, recursos humanos, organizacin, control, etc. Esto repercute en una inadecuada rea de informtica que no permite tomar decisiones con las caractersticas que deben tener las organizaciones actuales, lo cual hace que no se cuente con los controles para asegurar que esas decisiones no se desven de los objetivos. La proliferacin de la tecnologa de informacin ha incrementado la demanda de control de los sistemas de informacin, como el control sobre la privacidad de la informacin y su integridad, y sobre los cambios de los sistemas. Adems, hay una preocupacin sobre la cada de los sistemas y sobre la seguridad de la continuidad del procesamiento de la informacin, en caso de que los sistemas se caigan. Otra rea de preocupacin es la proliferacin de subsistemas incompatibles y el ineficiente uso de los recursos de sistemas. Los sistemas tienen diferentes etapas, y una de ellas puede ser la utilizacin de las herramientas que nos proporcionan los mismos sistemas electrnicos. Para poder evaluar un sistema de informacin es necesario conocerlo y controlarlo desde su inicio, siguiendo su proceso, que puede ser manual, mecnico, electrnico, o bien la combinacin de stos, hasta llegar a su almacenamiento, respaldos, seguridad y eficiencia en el uso de la informacin que proporcionan. No basta, pues, conocer una parte o fase del sistema, como pueden ser los equipos de cmputo, que tan slo vienen a ser una herramienta dentro de un sistema total de informacin. La informtica ha sido un rea que ha cambiado drsticamente en los ltimos aos. En una generacin, la tecnologa ha cambiado tanto que lo que sorprendi hace algunos aos, como la llegada del hombre a la Luna, o bien la creacin del horno de microondas, hoy nos parece algo muy familiar. En una dcada hemos visto el cambio en la organizacin de la informtica: si hace poco era algo comn la tarjeta perforada, hoy la vemos como algo de un pasado muy remoto, y consideramos como algo normal el uso de microcomputadoras y de redes. Esto ha provocado que se tengan especialistas dentro del rea de la informtica. Ya no podemos pensar en el personal de informtica que poda trabajar con microcomputadores y con grandes

computadoras, o bien en la persona que conoca en detalle sobre bases de datos y de comunicaciones. Ahora se deben de tener especialistas en cada una de las reas. Una de stas es la auditora en informtica, y en ella debemos de tener especialistas para cada una de las diferentes funciones que se realizarn. Esto sin duda depende del tamao del rea de la informtica y de la organizacin. El principal objetivo del libro es evaluar la funcin de la informtica desde los siguientes puntos de vista: La parte administrativa del departamento de informtica. Los recursos materiales y tcnicos del rea de informtica. Los sistemas y procedimientos, y la eficiencia de su uso y su relacin con las necesidades de la organizacin. Es conveniente precisar y aclarar que la funcin de la auditora en informtica se ubica dentro del contexto de la organizacin, dependiendo de su tamao y caractersticas. La profundidad con la que se realice, depender tambin de las caractersticas y del nmero de equipos de cmputo con que se cuente. El presente libro seala un panorama general, pero habr que adecuar ste y profundizar de acuerdo a la organizacin de que se trate y de los equipos, software y comunicacin que se auditen. Para cualquier comentario sobre esta obra, los lectores pueden dirigirse a la direccin del autor en Internet: jaeg@correo.uam.mx CONCEPTO DE AUDITORIA Y CONCEPTO DE INFORMATICA Auditora. Con frecuencia la palabra auditora se ha empleado incorrectamente y se le ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. Por eso se ha llegado a usar la frase "tiene auditora" como sinnimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se est haciendo la auditora. El concepto de auditora es ms amplio; no slo detecta errores: es un examen crtico que se realiza con objeto de evaluar la eficiencia y eficacia de una seccin o de un organismo, y determinar cursos alternativos de accin para mejorar la organizacin, y lograr los objetivos propuestos.

La palabra auditora viene del latn auditorius, y de sta proviene "auditor", el que tiene la virtud de or; el diccionario lo define como "revisor de cuentas colegiado". El auditor tiene la virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo especfico, que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin. Si consultamos nuevamente el diccionario encontramos que eficacia es: "virtud, actividad, fuerza, para poder obrar"; mientras que eficiencia es: "virtud y facultad para lograr un efecto determinado", es decir, es el poder lograr lo planeado con los menores recursos posibles, mientras que eficacia es lograr los objetivos. El Boletn C de normas de auditora del Instituto Mexicano de Contadores nos dice: La auditora no es una actividad meramente mecnica que implique la aplicacin de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carcter indudable. La auditora requiere el ejercicio de un juicio profesional, slido y maduro, para juzgar los procedimientos que deben de seguirse y estimar los resultados obtenidos. As como existen normas y procedimientos especficos para la realizacin de auditoras contables, debe haber tambin normas y procedimientos para la realizacin de auditoras en informtica como parte de una profesin. stas pueden estar basadas en las experiencias de otras profesiones, pero con algunas caractersticas propias y siempre guindose por el concepto de que la auditora debe ser ms amplia que la simple deteccin de errores, y que adems la auditora debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solucin. Informtica. El concepto de informtica es ms amplio que el simple uso de equipos de cmputos o bien de procesos electrnicos. Veamos lo que se dijo en la conferencia presentada del 5 al 9 de diciembre de 1983 en el Centro de Informtica de la Facultad de Contadura y Administracin (CIFCA) de la Universidad Nacional Autnoma de Mxico: No existe una sola concepcin acerca de qu es informtica; etimolgicamente, la palabra informtica deriva del francs nformatque. Este neologismo proviene de la conjuncin de nformaton (informacin) y automatque (automtica). Su creacin fue estimulada por la intencin de dar una alternativa menos tecnocrtica y menos mecanicista al concepto de "proceso de datos".

En 1966, la Academia Francesa reconoci este nuevo concepto y lo defini del modo siguiente: Ciencia del tratamiento sistemtico y eficaz, realizado especialmente mediante mquinas automticas, de la informacin contemplada como vehculo del saber humano y de la comunicacin en los mbitos tcnico, econmico y social. Hacia principios de los setenta ya eran claras las limitaciones de esta definicin, sobre todo por el hincapi en el uso de las mquinas. El principal esfuerzo por redefinir el concepto de informtica lo realiz en esa poca la Oficina Intergubernamental de Informtica (IBI), en aquel tiempo rgano asociado a la UNESCO. Este organismo, a travs de los comits expertos convocados para ello, formul en 1975 esta definicin: Aplicacin racional, sistemtica de la informacin para el desarrollo econmico, social y poltico. La IBI tambin dio en esa poca una descripcin del concepto de informtica que, aunque no constituye una definicin formal, resulta muy descriptiva: Ciencia de la poltica de la informacin. En 1977, con la intencin de actualizar y afinar el concepto, la Academia Mexicana de Informtica propuso la siguiente definicin: Ciencia de los sistemas inteligentes de informacin. En algunas ocasiones se han empleado como sinnimos los conceptos de proceso electrnico, computadora e informtica. El concepto de informtica es ms amplio, ya que considera el total del sistema y el manejo de la informacin, la cual puede usar los equipos electrnicos como una de sus herramientas. Tambin es comn confundir el concepto de dato con el de informacin. La informacin es una serie de datos clasificados y ordenados con un objetivo comn. El dato se refiere nicamente a un smbolo, signo o a una serie de letras o nmeros, sin un objetivo que d un significado a esa serie de smbolos, signos, letras o nmeros. La informacin est orientada a reducir la incertidumbre del receptor y tiene la caracterstica de poder duplicarse prcticamente sin costo, no se gasta. Adems no existe por s misma, sino que debe expresarse en algn objeto (papel, cinta, etc. ); de otra manera puede desaparecer o deformarse, como sucede con la comunicacin oral, lo cual hace que la informacin deba ser controlada debidamente por

medio de adecuados sistemas de seguridad, confidencialidad y respaldo. La informacin puede comunicarse, y para ello hay que lograr que los medios de seguridad sean llevados a cabo despus de un adecuado examen de la forma de transmisin, de la eficiencia de los canales de comunicacin: el transmisor, el receptor, el contenido de la comunicacin, la redundancia y el ruido. La informacin ha sido dividida en varios niveles. El primero es el nivel tcnico, que considera los aspectos de eficiencia y capacidad de los canales de transmisin; el segundo es el nivel semntico, que se ocupa de la informacin desde el punto de vista de su significado; el tercero es el pragmtico, el cual considera al receptor en un contexto dado, y el cuarto nivel analiza la informacin desde el punto de vista normativo y de la parte tica, o sea considera cundo, dnde ya quin se destina la informacin o la difusin que se le d. La informtica debe abarcar los cuatro niveles de informacin.. En el cuarto nivel tenemos una serie de aspectos importantes, como la parte legal del uso de la informacin, los estudios que se han hecho sobre la parte jurdica de la informtica y la creacin de la tica en informtica, que no slo debe incluir a los profesionales tcnicos y especialistas en informtica, sino tambin a los usuarios tanto de grandes computadoras como de computadoras personales.. La informacin tradicional (oral y escrita) se ve afectada dentro de la informtica cuando se introduce el manejo de medios electrnicos, lo cual la hace fcilmente modificable y adaptable a las caractersticas de cada receptor. La informacin tambin tiene la capacidad de manejarse en forma rpida y en grandes volmenes, lo cual permite generar, localizar, duplicar y distribuir la informacin de modo sorprendente, a travs de mtodos, tcnicas y herramientas como microcomputadoras, procesos distribuidos, redes de comunicacin, bases de datos, etctera. La nueva tecnologa permite que el usuario disponga de la informacin en cualquier momento, ya sea para su acceso, actualizacin, cambio o explotacin o para que pueda distribuirse e intercambiarse entre tantos usuarios como se desee. Aunque al mismo tiempo se plantea un gran problema en cuanto al cuarto nivel de la informacin, que es su parte tica y el estudio de las posibilidades del buen o mal uso de la informacin por parte de personas no autorizadas. La planeacin y control de la informacin nos ofrece nuevos aspectos importantes a considerar, entre los que estn la teora de sistemas, las bases de datos, los sistemas de comunicacin y los sistemas de

informacin, que van a complementar el concepto de informtica y su campo de accin.

DIVERSOS TIPOS DE AUDITORIA Y SU RELACION CON LA AUDITORIA EN INFORMATICA AUDITORIA INTERNA/EXTERNA CONTABLE/FINANCIERA Y AUDITORIA

El Boletn E-O2 del Instituto Mexicano de Contadores seala respecto al control interno: El estudio y evaluacin del control interno se efecta con el objeto de cumplir con la norma de ejecucin del trabajo que requiere que: el auditor debe efectuar un estudio y evaluacin adecuados del control interno existente, que le sirvan de base para determinar el grado de confianza que va a depositar en l, as mismo, que le permitan determinar la naturaleza, extensin y oportunidad que va a dar a los procedimientos de auditora. El control interno comprende el plan de organizacin y todos los mtodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su informacin financiera, promover la eficiencia operacional y provocar la adherencia a las polticas prescritas por la administracin. Objetivos bsicos del control interno. De lo anterior se desprende que los cuatro objetivos bsicos del control interno son: La proteccin de los activos de la empresa. La obtencin de informacin financiera veraz, confiable y oportuna. La promocin de la eficiencia en la operacin del negocio. Lograr que en la ejecucin de las operaciones se cumplan las po1ticas establecidas por los administradores de la empresa. Se ha establecido que los dos primeros objetivos abarcan el aspecto de controles internos contables y los dos ltimos se refieren a controles internos administrativos. Objetivos generales del control interno. El control interno contable comprende el plan de organizacin y los procedimientos y registros que se refieren a la proteccin de los activos y a la confiabilidad de los registros financieros. Por lo tanto, est diseado en funcin de los objetivos de la organizacin para ofrecer seguridad razonable de que las operaciones se realizan de acuerdo con las normas y polticas sealadas por la administracin.

Cuando hablamos de los objetivos de los controles contables internos podemos identificar dos niveles: A) Objetivos generales de control interno aplicables a todos los sistemas. B) Objetivos de control interno aplicables a ciclos de transacciones. Los objetivos generales de control aplicables a todos los sistemas se desarrollan a partir de los objetivos bsicos enumerados anteriormente, y son ms especficos, para facilitar su aplicacin. Los objetivos de control de ciclos se desarrollan a partir de los objetivos generales de control de sistemas, para que se apliquen a las diferentes clases de transacciones agrupadas en un ciclo. Los objetivos generales de control interno de sistemas pueden resumirse a continuacin. Objetivos de autorizacin Todas las operaciones deben realizarse de acuerdo con autorizaciones generales o especificaciones de la administracin. Las autorizaciones deben estar de acuerdo con criterios establecidos por el nivel apropiado de la administracin. Las transacciones deben ser vlidas para conocerse y ser sometidas oportunamente a su aceptacin. Todas aquellas que renan los requisitos establecidos por la administracin deben reconocerse como tales y procesarse a tiempo. Los resultados del procesamiento de transacciones deben comunicarse oportunamente y estar respaldados por archivos adecuados. Objetivos del procesamiento y clasificacin de transacciones Todas las operaciones deben registrarse para permitir la preparacin de estados financieros en conformidad con los principios de contabilidad generalmente aceptados, o con cualquier otro criterio aplicable a los estados y para mantener en archivos apropiados los datos relativos a los activos sujetos a custodia. Las transacciones deben clasificarse en forma tal que permitan la preparacin de estados financieros en conformidad con los principios de contabilidad generalmente aceptados segn el criterio de la administracin.

Las transacciones deben quedar registradas en el mismo periodo contable, cuidando de manera especfica que se registren aquellas que afectan ms de un ciclo. Objetivo de salvaguarda fsica El acceso a los activos slo debe permitirse de acuerdo con autorizaciones de la administracin. Objetivo de verificacin y evaluacin Los datos registrados relativos a los activos sujetos a custodia deben compararse con los activos existentes a intervalos razonables, y se deben tomar las medidas apropiadas respecto a las diferencias que existan. Asimismo, deben existir controles relativos a la verificacin y evaluacin peridica de los saldos que se incluyen en los estados financieros, ya que este objetivo complementa en forma importante los mencionados anteriormente. Estos objetivos generales del control interno de sistemas son aplicables a todos los ciclos. No se trata de que se usen directamente para evaluar las tcnicas de control interno de una organizacin, pero representan una base para desarrollar objetivos especficos de control interno por ciclos de transacciones que sean aplicables a una empresa individual. El rea de informtica puede interactuar de dos maneras en el control interno. La primera es servir de herramienta para llevar acabo un adecuado control interno, y la segunda es tener un control interno del rea y del departamento de informtica. En el primer caso se lleva el control interno por medio de la evaluacin de una organizacin, utilizando la computadora como herramienta que auxiliar en el logro de los objetivos, lo cual se puede hacer por medio de paquetes de auditora. Esto debe ser considerado como parte del control interno con informtica. En el segundo caso se lleva a cabo el control interno de informtica. Es decir, como se seala en los objetivos del control interno, se deben proteger adecuadamente los activos de la organizacin por medio del control, para que se obtenga la informacin en forma veraz, oportuna y confiable, para que se mejore la eficiencia de la operacin de la organizacin mediante la informtica, y para que en la ejecucin de las operaciones de informtica se cumplan las polticas establecidas por la administracin: todo ello debe ser considerado como control interno de informtica. Al estudiar los objetivos del control interno podemos ver en primer lugar que, aunque en auditora en informtica el objetivo es ms

amplio, se deben tener en cuenta los objetivos generales del control interno aplicables a todo ciclo de transacciones. La auditora en informtica debe tener presentes los objetivos de autorizacin, procesamiento y clasificacin de transacciones, as como los de salvaguarda fsica, verificacin y evaluacin de los equipos y de la informacin. La diferencia entre los objetivos de control interno desde un punto de vista contable financiero es que, mientras stos estn enfocados a la evaluacin de una organizacin mediante la revisin contable financiera y de otras operaciones, los objetivos del control interno en informtica estn orientados a todos los sistemas en general, al equipo de cmputo y al departamento de informtica, para lo cual se requieren conocimientos de contabilidad, finanzas, recursos humanos, administracin, etc., as como de experiencia y un saber profundo en informtica. La auditora interna debe estar presente en todas y cada una de las partes de la organizacin. Ahora bien, la pregunta que normalmente se plantea es: cul debe ser su participacin dentro del rea de informtica? La informtica es en primer lugar una herramienta muy valiosa que debe tener un adecuado control y es un auxiliar de la auditora interna. Pero, segn este concepto, la auditora interna puede considerarse como un usuario del rea de informtica. Se ha estudiado que los objetivos generales del control interno son: Autorizacin. Procesamiento y clasificacin de las transacciones. Salvaguarda fsica. Verificacin y evaluacin. Con base en los objetivos y responsabilidades del control interno podemos hacer otras dos preguntas: De qu manera puede participar el personal de control interno en el diseo de los sistemas? Qu conocimientos debe tener el personal de control interno para poder cumplir adecuadamente sus funciones dentro del rea de informtica? Las respuestas a estas preguntas dependern del nivel que tenga el control interno dentro de la organizacin. Sin embargo, en el diseo general y detallado de 1os sistemas se debe incluir a personal de la contralora interna (que habr de tener conocimientos de informtica, aunque no se requerir que sean especialistas, ya que slo intervendrn en el diseo general del sistema, en el diseo de controles, en los sistemas de seguridad, en el respaldo y confidencialidad del sistema y en los sistemas de verificacin. Se habrn de comprobar las frmulas de obtencin del impuesto sobre el

producto del trabajo, el clculo del pago del seguro social, etc., pero no debern intervenir en la elaboracin de los sistemas, bases de datos o programacin. Tendrn que comprobar que lo sealado en el diseo general sea igual a lo obtenido en el momento de implantacin, para que puedan dar su autorizacin a la corrida en paralelo. El auditor interno, en el momento en que se estn elaborando los sistemas, debe participar en estas etapas: Asegurarse de verificar que los requerimientos de seguridad y de auditora sean incorporados, y participar en la revisin de puntos de verificacin. Revisar la aplicacin de los sistemas y de control tanto con el usuario como en el centro de informtica. Verificar que las polticas de seguridad y los procedimientos estn incorporados al plan en caso de desastre. Incorporar tcnicas avanzadas de auditora en los sistemas de cmputo. Los sistemas de seguridad no pueden llevarse acabo a menos que existan procedimientos de control y un adecuado plan en caso de desastre, elaborados desde el momento en el que se disea el sistema. El auditor interno desempea una importante funcin al participar en los planes a largo plazo y en el diseo detallado de los sistemas y su implantacin, de tal manera que se asegure que los procedimientos de auditora y de seguridad sean incorporados a todas y cada una de las fases del sistema.

AUDITORIA ADMINISTRATIVA/OPERACIONAL
La tecnologa en informacin est afectando la forma en que las organizaciones estn estructuradas, administradas y operadas. En algunos casos, los cambios son dramticos. Cuando existe la necesidad de un nuevo diseo de sistemas administrativos para lograr una efectiva administracin y control financiero, la planeacin administrativa y el proceso de diseo y los requerimientos de control interno debern cambiar o necesariamente se modificarn con los cambios de la tecnologa de informacin. El incremento de la tecnologa de informacin est soportado por una reestructuracin organizacional alrededor de esta tecnologa. William P. Leonard define la auditora administrativa como: El examen global y constructivo de la estructura de una empresa, de una institucin, una seccin del gobierno o cualquier parte de un organismo, en cuanto a sus planes y objetivos, sus mtodos y controles, su forma de operacin y sus facilidades humanas y fsica.

Se lleva a cabo una revisin y consideracin de la organizacin de una empresa con el fin de precisar: Prdidas y deficiencias. Mejores mtodos. Mejores formas de control. Operaciones ms eficientes. Mejor uso de los recursos fsicos y humanos. La auditora administrativa debe llevarse a cabo como parte de la auditora del rea de informtica; se ha de considerar dentro del programa de trabajo de auditora en informtica, tomando principios de la auditora administrativa para aplicarlos al rea de informtica. El departamento de informtica se deber evaluar de acuerdo con: Objetivos, metas, planes, polticas y procedimientos. Organizacin. Estructura orgnica. Funciones y niveles de autoridad y responsabilidad. Adems, es importante tener en cuenta los siguientes factores: Elemento humano. Organizacin (manual de organizacin). Integracin. Direccin. Supervisin. Comunicacin y coordinacin. Delegacin. Recursos materiales. Recursos tcnicos. Recursos financieros. Control. AUDITORIA CON INFORMATICA Concepto de auditora con informtica Los procedimientos de auditora con informtica varan de acuerdo con la filosofa y tcnica de cada organizacin y departamento de auditora en particular. Sin embargo, existen ciertas tcnicas y/o procedimientos que son compatibles en la mayora de los ambientes de informtica. Estas tcnicas caen en dos categoras: mtodos manuales y mtodos asistidos por computadora. Utilizacin de computadora las tcnicas de auditoras asistidas por

En general, el auditor debe utilizar la computadora en la ejecucin de la auditora, ya que esta herramienta permitir ampliar la cobertura del examen, reduciendo el tiempo/costo de las pruebas y procedimientos de muestreo, que de otra manera tendran que efectuarse manualmente. Existen paquetes de computadora (software) que permiten elaborar auditoras a sistemas financieros y contables que se encuentran en medios informticos. Adems, el empleo de la computadora por el auditor le permite familiarizarse con la operacin del equipo en el centro de cmputo de la institucin. Una computadora puede ser empleada por el auditor en: Transmisin de informacin de la contabilidad de la organizacin a la computadora del auditor, para ser trabajada por ste, o bien acceso al sistema en red para que el auditor elabore las pruebas. Verificacin de cifras totales y clculos para comprobar la exactitud de los reportes de salida producidos por el departamento de informtica, de la informacin enviada por medios de comunicacin y de la informacin almacenada. Pruebas de los registros de los archivos para verificar la consistencia lgica la validacin de condiciones y la razonabilidad de los montos de las operaciones. Clasificacin de datos y anlisis de la ejecucin de procedimientos. Seleccin e impresin de datos mediante tcnicas de muestreo y confirmaciones. Llevar acabo en forma independiente una simulacin del proceso de transacciones para verificar la conexin y consistencia de los programas de computadora. Con fines de auditora, el auditor interno puede emplear la computadora para: Utilizacin de paquetes para auditora; por ejemplo, paquetes provenientes del fabricante de equipos, firmas de contadores pblicos o compaas de software. Supervisar la elaboracin de programas que permitan el desarrollo de la auditora interna. Utilizacin de programas de auditora desarrollados por proveedores de equipo, que bsicamente verifican la eficiencia en el empleo del computador o miden la eficiencia de los programas, su operacin o ambas cosas.

Todos los programas o paquetes empleados en la auditora deben permanecer bajo estricto control del departamento de auditora. Por esto, toda la documentacin, material de pruebas, listados fuente, programas fuente y objeto, adems de los cambios que se les hagan, sern responsabilidad del auditor .

En aquellas instalaciones que cuentan con bibliotecas de programas catalogados, los programas de auditora pueden ser guardados utilizando contraseas de proteccin, situacin que sera aceptable en tanto se tenga el control de las instrucciones necesarias para la recuperacin y ejecucin de los programas desde la biblioteca donde estn almacenados. Los programas desarrollados con objeto de hacer auditora deben estar cuidadosamente documentados para definir sus propsitos y objetivos y asegurar una ejecucin continua. Cuando los programas de auditora estn siendo procesados, los auditores internos debern asegurarse de la integridad del procesamiento mediante controles adecuados como: Mantener el control bsico sobre los programas que se encuentren catalogados en el sistema y llevar a cabo protecciones apropiadas. Observar directamente el procesamiento de la aplicacin de auditora. Desarrollar programas independientes de control que monitoreen el procesamiento del programa de auditora. Mantener el control sobre las especificaciones de los programas, documentacin y comandos de control. Controlar la integridad de los archivos que se estn procesando y las salidas generadas. Tcnicas avanzadas de auditora con informtica Cuando en una instalacin se encuentren operando sistemas avanzados de computacin, como procesamiento en lnea, bases de datos y procesamiento distribuido, se podra evaluar el sistema empleando tcnicas avanzadas de auditora. Estos mtodos requieren un experto y, por lo tanto, pueden no ser apropiados si el departamento de auditora no cuenta con el entrenamiento adecuado. Otra limitante, incluyendo el costo, puede ser la sobrecarga del sistema y la degradacin en el tiempo de respuesta. Sin embargo, cuando se usan apropiadamente, estos mtodos superan la utilizacin en una auditora tradicional. Pruebas integrales. Consisten en el procesamiento de datos de un departamento ficticio, comparando estos resultados con resultados predeterminados. En otras palabras, las transacciones iniciadas por el auditor son independientes de la aplicacin normal, pero son procesadas al mismo tiempo. Se debe tener especial cuidado con las particiones que se estn utilizando en el sistema para prueba de la contabilidad o balances, a fin de evitar situaciones anormales. Simulacin.

Consiste en desarrollar programas de aplicacin para determinada prueba y comparar los resultados de la simulacin con la aplicacin real. Revisiones de acceso. Se conserva un registro computarizado de todos los accesos a determinados archivos; por ejemplo, informacin de la identificacin tanto de la terminal como del usuario. Operaciones en paralelo. Consiste en verificar la exactitud de la informacin sobre los resultados que produce un sistema nuevo que sustituye a uno ya auditado. Evaluacin de un sistema con datos de prueba. Esta verificacin consiste en probar los resultados producidos en la aplicacin con datos de prueba contra los resultados que fueron obtenidos inicialmente en las pruebas del programa (solamente aplicable cuando se hacen modificaciones a un sistema). Registros extendidos. Consisten en agregar un campo de controla un registro determinado, como un campo especial a un registro extra, que pueda incluir datos de todos los programas de aplicacin que forman parte del procesamiento de determinada transaccin, como en los siguientes casos. Totales aleatorios de ciertos programas. Se consiguen totales en algunas partes del sistema para ir verificando su exactitud en forma parcial. Seleccin de determinado tipo de transacciones como auxiliar en el anlisis de un archivo histrico. Por medio de este mtodo podemos analizar en forma parcial el archivo histrico de un sistema, el cual sera casi imposible de verificar en forma total. Resultados de ciertos clculos para comparaciones posteriores. Con ellos podemos comparar en el futuro los totales en diferentes fechas.

Las tcnicas anteriormente descritas ayudan al auditor interno a establecer una metodologa para la revisin de los sistemas de aplicacin de una institucin, empleando como herramienta el mismo equipo de cmputo. Sin embargo, actualmente se han desarrollado programas y sistemas de auditora que eliminan los problemas de responsabilidad del departamento de auditora, al intervenir en las actividades e informacin cuyo control corresponde estrictamente al departamento de informtica, lo cual proporciona una verdadera independencia al auditor en la revisin de los datos del sistema. En la actualidad, el auditor puede estar desarrollando algunas de sus funciones al intervenir en las redes de comunicacin interna. El empleo de la microcomputadora en la auditora constituye una herramienta que facilita la realizacin de actividades de revisin como: Trasladar los datos del sistema a un ambiente de control del auditor. Llevar a cabo la seleccin de datos. Verificar la exactitud de los clculos: muestreo estadstico. Visualizacin de datos. Ordenamiento de la informacin. Produccin de reportes e histogramas.

El auditor interno debe participar en el diseo general y especfico de los sistemas, con el fin de asegurar que se tengan todos los controles de acuerdo con las polticas internas antes de que se comience la programacin del sistema. A continuacin se muestran ejemplos de las formas tradicionales de evidencia que existen en un proceso manual y las maneras en que la computadora puede cambiarlas: Transacciones originadas por personas y accesadas a un sistema para su proceso. En las aplicaciones computarizadas, pueden generarse automticamente. Por ejemplo, el sistema puede emitir automticamente una orden de reposicin cuando el inventario est a un nivel por debajo del punto de reorden. Sin la computadora se requera que una persona estuviera revisando y elaborara la orden de reposicin cuando el inventario estuviera abajo del mnimo ya establecido. El registro manual de la informacin necesaria para originar una transaccin. En las aplicaciones computarizadas no se producen documentos impresos cuando la informacin es accesada. Por ejemplo, un cambio hecho a las tarifas de nmina puede ser accesado a un archivo

maestro de nminas computarizado a travs de la red interna, sin dejar registro impreso del cambio, aunque se debe tener una clave de seguridad para poder accesarlo y llevar un registro histrico en el que se tenga la informacin sobre la persona y terminal en la que se acces la informacin. La revisin de transacciones por el personal, que deja constancia con sus firmas, iniciales o sellos en los documentos para indicar la autorizacin del proceso. En las aplicaciones computarizadas la autorizacin puede ser automtica. Por ejemplo, una venta a crdito puede ser automticamente aprobada si el lmite de crdito previamente determinado no est excedido. Otros mtodos de autorizacin electrnica incluyen el acceso mediante claves de seguridad. Anteriormente se tenan firmas en donde ahora slo se tiene una clave o llave de acceso, que es equivalente a la autorizacin, dejando nicamente un registro (en el mejor de los casos) de la llave de acceso utilizada, el lugar donde se tuvo acceso y la hora y da en que fue autorizada. El transporte de documentos de una estacin de trabajo a otra por personas, correo o servicios similares de un lugar del negocio a otro sitio completamente distinto. Por estos medios se moviliza un documento fsicamente. En aplicaciones computarizadas, los datos pueden ser enviados electrnicamente. La informacin es transcrita, codificada, frecuentemente condensada y entonces enviada electrnicamente por lneas de comunicaciones, y al final queda un registro de cundo recibi la informacin el receptor.

Procesamiento manual. Generalmente, los documentos de las transacciones contienen espacio de trabajo para ejecutar el proceso necesario. En las aplicaciones computarizadas, el proceso se efecta electrnicamente dentro de la memoria del computador mediante procedimientos programados y siguiendo reglas predeterminadas. Proceso simplificado que facilita las ejecuciones repetitivas sin alta probabilidad de error. En las aplicaciones computarizadas, el proceso puede ser extremadamente complejo debido a la velocidad y exactitud del computador. Por ejemplo, una compaa puede utilizar su computadora para calcular la efectividad de cientos de posibles horarios o cdulas de produccin a fin de seleccionar el ms adecuado, mientras que en los mtodos manuales esto sera casi imposible. Mantenimiento en manuales de informacin de naturaleza fija que es necesaria para el proceso, como tarifas de nminas o precios de productos. En las aplicaciones computarizadas, esta informacin se almacena en medios computarizados o bien por medio de catlogos; en los mtodos manuales es difcil tener catlogos muy amplios y con actualizacin inmediata. Listado de los resultados del proceso impresos, como cheques y reportes. en documentos

Frecuentemente, estos documentos contienen resultados de procesos intermedios. En las aplicaciones computarizadas el proceso puede no dar por resultado documentos impresos. Por ejemplo, los fondos pueden ser transferidos electrnicamente. En algunos sistemas, la informacin rutinaria es retenida de manera que slo se recibe noticia de aquellas partidas que requieren accin. Almacenamiento de documentos de entrada, proceso y salida en registro de archivo o similares. Cuando la informacin es necesaria, puede localizarse y recobrarse manualmente del rea de almacenamiento fsico. En las aplicaciones computarizadas, la mayora de los archivos estn en medios magnticos. Deben utilizarse programas extractivos para recobrar la informacin de tales medios, los cuales son normalmente muy rpidos y exactos, por ejemplo, en el caso de bases de datos.

Uso de documentos impresos para construir el proceso. En los procesos manuales estos documentos contienen informacin fuente, firmas de autorizacin, mtodos de proceso y resultados de salida. Esta informacin usualmente es suficiente para construir la transaccin y rastrearla hacia totales de control o, a partir de stos, hasta el documento fuente. En las aplicaciones computarizadas, las pistas de auditora pueden verse fragmentadas, como frecuentemente ocurre en un ambiente de base de datos. Adems, gran parte de la informacin que servira de pista de auditora puede estar almacenada en medios computarizados. Las pistas de auditora computarizadas a menudo requieren entender las reglas del proceso del sistema y no siempre es obvio cules pasos del proceso se ejecutaron, en especial cuando el proceso computacional es complejo. Uno o ms manuales de procedimientos que contienen informacin relativa a las transacciones del sistema. Estos manuales guan a la gente en la circulacin y proceso de las transacciones. En las aplicaciones computarizadas, pueden ser incluidos en los sistemas mediante ayudas (help). Revisin de procesos por personas, generalmente supervisores, para determinar su razonabilidad, exactitud, totalidad y autorizacin. En las aplicaciones computarizadas, gran parte de este monitoreo es ejecutado automticamente mediante una lgica de programa predeterminada. Cada vez es ms difcil para la gente monitorear los procesos, conforme los sistemas computacionales estn ms integrados y son ms complejos y el ciclo del proceso se acorta; al mismo tiempo, el nmero de usuarios y responsables de la informacin es mayor . La divisin de tareas entre los empleados. En las aplicaciones computarizadas, la distribucin de deberes implica no slo la divisin de tareas entre los empleados, sino tambin la divisin de tareas entre los pasos del proceso automatizado. Por ejemplo, los programas computarizados pueden procesar diferentes partes de una transaccin en diversos lugares, y en ocasiones se requiere que tengan sistemas de seguridad de acceso a nivel sistema, dato o programa, como en el caso de los sistemas bancarios. Proceso de grandes cantidades de datos que pueden requerir la repeticin o cruzamiento de diversos elementos de la informacin.

Esto es frecuentemente difcil y costoso en un sistema manual y slo se realiza cuando es necesario. En las aplicaciones computarizadas, grandes cantidades de datos pueden ser almacenadas en una base de datos. La velocidad y capacidades de proceso del computador hacen que esta informacin est disponible en el formato deseado. En un ambiente computarizado, son posibles los ms complejos anlisis y los usos secundarios de los datos. Planeacin de informtica. los procedimientos de auditora con

El propsito principal de la planeacin de las medidas de auditora es incluir dentro de las aplicaciones las facilidades que permitan realizar las actividades de auditora de la manera ms fluida. La planeacin de los servicios establece las facilidades tanto actuales como futuras que ofrece la direccin de informtica. El auditor debe examinar este plan para establecer los requerimientos de auditora necesarios. Para el funcionamiento de dichos procedimientos se requieren dentro de los programas rutinas que permitan accesar la informacin y sistemas independientes para la seleccin, sumarizacin, comparacin y emisin de reportes. El poder planear y realizar estas tareas implica un trabajo complicado pero que es necesario hacer. La computarizacin de las organizaciones ha dado por resultado una concentracin de datos y funciones, que son seleccionados, correlacionados, resumidos y diseminados. En un ambiente computarizado tpico, normalmente un dato puede actualizar muchos archivos. Es necesario que el auditor cuente con las herramientas adecuadas para poder seguir el rastro del mismo y tambin verificar que el sistema est realizando las funciones que supuestamente debe ejecutar; estas herramientas computarizadas le deben permitir detectar los errores y corregirlos posteriormente. Es comprensible pensar que el auditor no es un programador especializado, por lo que es obligacin de este grupo de proceso planear el desarrollo de estas herramientas de cmputo, atendiendo las solicitudes y recomendaciones de los auditores y aportando su propia experiencia. Tambin debe participar en las pruebas en paralelo y en la implantacin del sistema, para asegurarse de que todos los procedimientos, entradas y salidas son los solicitados por el usuario en el momento del diseo detallado, as como para evaluar que los clculos realizados sean los correctos y, en general, para dar la

aprobacin del sistema una vez verificado que cumpla con los objetivos, flujo de informacin, controles y polticas del usuario y de la organizacin. La participacin del auditor interno en el diseo e implementacin de un sistema es de suma importancia. Por ejemplo, la clasificacin de la evidencia que se vena utilizando tradicionalmente, como la firma del funcionario para autorizar una transaccin, se ve reemplazada por una clave de seguridad de acceso o la firma electrnica, aunque la introduccin de un computador no necesariamente cambia las formas de la evidencia de auditora. El auditor interno debe estar presente en el desarrollo del sistema para evaluar que la informacin requerida por el usuario quede cubierta y se cumpla con el grado de control que necesita la informacin procesada por el sistema, de acuerdo con los objetivos y polticas de la organizacin. Existen ciertas habilidades fundamentales que deben ser consideradas como las mnimas que todo auditor de informtica debe tener: Habilidad para manejar paquetes de procesadores de texto. Habilidades para manejo de hojas de clculo. Habilidad para el uso del E-mail y conocimiento de Internet. Habilidad para manejo de bases de datos. Habilidad para el uso de al menos un paquete bsico de contabilidad. Como evaluador, el auditor de informtica debe ser capaz de distinguir entre los procesos de evaluacin de sistemas y las aproximaciones que son apropiadas para encauzar los propsitos especficos de evaluacin relevante para el rea de trabajo. En este sentido, el auditor en informtica debe tener los conocimientos de los pasos requeridos para aplicar una evaluacin particular en el contexto de la tecnologa de la informacin. Debe poseer estndares relevantes y prcticas que gobiernen la conduccin de una evaluacin particular. Su contribucin potencial a una evaluacin particular puede ser hecha en un contexto especfico. Las habilidades tcnicas requeridas por el auditor en informtica son las de implantar, ejecutar y comunicar los resultados de la evaluacin en el contexto de la tecnologa de informacin, de acuerdo con estndares profesionales que gobiernen el objetivo de la auditora.

DEFINICION DE AUDITORIA EN INFORMATICA

CONCEPTO DE AUDITORIA EN INFORMATICA

Despus de analizar los conceptos de auditora y de informtica, los diferentes tipos de auditoria, as como su interrelacin con la informtica, debemos responder las siguientes preguntas: Qu es auditora en informtica? Cul es su campo de accin? sta es la definicin de Ron Weber en Auditing Conceptual Foundations and Practice sobre auditora informtica: Es una funcin que ha sido desarrollada para asegurar la salvaguarda de los activos de los sistemas de computadoras, mantener la integridad de los datos y lograr los objetivos de la organizacin en forma eficaz y eficiente. Mientras que la definicin de Mair William es la siguiente: Auditora en informtica es la verificacin de los controles en las siguientes tres reas de la organizacin (informtica): - Aplicaciones (programa de produccin). - Desarrollo de sistemas. - Instalacin del centro de proceso. Por tanto, podemos decir que auditora en informtica es la revisin y evaluacin de los controles, sistemas y procedimientos de la informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad; de la organizacin que participa en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente, confiable y segura de la informacin que servir para una adecuada toma de decisiones. La informacin contenida depende de la habilidad de reducir la incertidumbre alrededor de las decisiones. El valor de la reduccin de la incertidumbre depende del pago asociado con la decisin que se realiza. Los factores que pueden influir en una organizacin a travs del control y la auditora en informtica son: Necesidad de controlar el uso evolucionado de las computadoras. Controlar el uso de la computadora, que cada da se vuelve ms importante y costosa. Los altos costos que producen los errores en una organizacin. Abuso en las computadoras. Posibilidad de prdida de capacidades de procesamiento de datos. Posibilidad de decisiones incorrectas. Valor del hardware, software y personal. Necesidad de mantener la privacidad individual. Posibilidad de prdida de informacin o de mal uso de la misma.

Toma de decisiones incorrectas. Necesidad de mantener la privacidad de la organizacin.

La informacin es un recurso necesario para la organizacin y para la continuidad de las operaciones, ya que provee de una imagen de su ambiente actual, su pasado y su futuro. Si la imagen de la organizacin es apropiada, sta crecer adaptndose a los cambios de su entorno. En el proceso de la informacin se deben detectar sus errores u omisiones, y evitar su destruccin por causas naturales (temblores, inundaciones) o cualquier contingencia que pudiera suscitarse. La toma de decisiones incorrectas, producto de datos errneos proporcionados por los sistemas, trae como consecuencia efectos significativos, que afectan directamente a la organizacin. El mayor estmulo para el desarrollo de la auditora en informtica dentro de la organizacin normalmente est dado por el abuso en el uso de las computadoras. El abuso en computadoras es cualquier incidente asociado con la tecnologa en computacin, en el cual la vctima sufra o pueda sufrir una prdida y un dao hechos intencionalmente o para obtener una ganancia. El problema ms serio est en los errores u omisiones que causan prdidas a la organizacin. En seguida est el desastre de las computadoras debido a causas naturales, tales como fuego, agua o fallas en el suministro de energa. Las tcnicas de control que manejan estos dos tipos de problemas han sido mejor desarrolladas que aquellas que se relacionan con el abuso en las computadoras. El control en el abuso de las computadoras es normalmente ms difcil debido a lo inadecuado de las leyes. Es ms difcil condenar a alguien que hizo un inadecuado uso del tiempo de las computadoras, o copias ilegales de programas, debido a que las leyes no consideran a las computadoras como una persona, y slo las personas pueden ser declaradas como culpables, o bien considerar a la informacin como un bien tangible y un determinado costo. El abuso tiene una importante influencia en el desarrollo de la auditora en informtica, ya que en la mayora de las ocasiones el propio personal de la organizacin es el principal factor que puede provocar las prdidas dentro del rea de informtica. Los abusos ms frecuentes por parte del personal son la utilizacin del equipo en trabajos distintos a los de la organizacin, la obtencin de informacin para fines personales (Internet), los juegos o pasatiempos, y los robos hormiga, adems de los delitos informticos que en muchas ocasiones tambin son llevados a cabo por el propio personal de la organizacin.

La auditora en informtica deber comprender no slo la evaluacin de los equipos de cmputo o de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, comunicacin, controles, archivos, seguridad, personal (desarrollador, operador, usuarios) y obtencin de informacin. En esto se deben incluir los equipos de cmputo, por ser la herramienta que permite obtener una informacin adecuada y una organizacin especfica (departamento de cmputo, departamento de informtica, gerencia de procesos electrnicos, etc.), y el personal que har posible el uso de los equipos de cmputo. Adems de los datos, el hardware de computadora, el software y personal son recursos crticos de las organizaciones. Algunas organizaciones tienen inversiones en equipo de hardware con un valor multimillonario. Aun con un seguro adecuado, las prdidas intencionales o no intencionales pueden causar daos considerables. En forma similar, el software muchas veces constituye una inversin importante. Si el software es corrompido o destruido, es posible que la organizacin no pueda continuar con sus operaciones, si no es prontamente recobrado. Si el software es robado, se puede proporcionar informacin confidencial a la competencia, y si el software es de su propiedad, pueden tenerse prdidas en ganancias o bien en juicios legales. Finalmente, el personal es siempre un recurso valioso, sobre todo ante la falta de personal de informtica bien estrenado. Las computadoras ejecutan automticamente muchas funciones crticas en nuestra sociedad. Consecuentemente, las prdidas pueden ser muy altas y pueden ir desde prdidas multimillonarias en lo econmico, hasta prdidas de libertad o de la vida en el caso de errores en laboratorios mdicos o en hospitales. Adems de los aspectos constitucionales y legales, muchos pases han considerado la privacidad como parte de los derechos humanos. Consideran que es responsabilidad de las personas que estn con las computadoras y con las redes de comunicacin, asegurar que el uso de la informacin sea recolectada, integrada y entregada rpidamente y con la privacidad y confidencialidad requeridas. Existe una responsabilidad adicional en el sentido de asegurarse de que la informacin sea usada solamente para los propsitos que fue elaborada. En este caso se encuentran las bases de datos, las cuales pueden ser usadas para fines ajenos para los que fueron diseadas o bien entrar en la privacidad de las personas. La tecnologa es neutral, no es buena ni mala. El uso de la tecnologa es lo que puede producir problemas sociales. Por ejemplo, el mal uso

de la tecnologa en Internet no es problema de la tecnologa, sino de la forma y caractersticas sobre las cuales se usa esa tecnologa. Es una funcin del gobierno, de las asociaciones profesionales y de los grupos depresin evaluar el uso de la tecnologa; pero es bien aceptado el que las organizaciones en lo individual tengan una conciencia social, que incluya el uso de la tecnologa en informtica. Deber de existir una legislacin ms estricta en el uso de la tecnologa, en la que se considere el anlisis y la investigacin para evitar el mal uso de Internet y otras tecnologas, para evitar situaciones como el suicidio colectivo de sectas religiosas, como sucedi en Estados Unidos. Tambin se requiere de una tica por parte de las organizaciones y de los individuos que tienen en sus manos todo tipo de tecnologa, no slo la de informtica. CAMPO DE LA AUDITORIA EN INFORMATICA El campo de accin de la auditora en informtica es: - La evaluacin administrativa del rea de informtica. - La evaluacin de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la informacin. La evaluacin de la eficiencia y eficacia con la que se trabaja. - La evaluacin del proceso de datos, de los sistemas y de los equipos de cmputo (software, hardware, redes, bases de datos, comunicaciones). - Seguridad y confidencialidad de la informacin. - Aspectos legales de los sistemas y de la informacin. Para lograr los puntos antes sealados se necesita: A) Evaluacin administrativa del departamento de informtica. Esto comprende la evaluacin de: - Los objetivos del departamento, direccin o gerencia. - Metas, planes, polticas y procedimientos de procesos electrnicos estndares. - Organizacin del rea y su estructura orgnica. - Funciones y niveles de autoridad y responsabilidad del rea de procesos electrnicos. - Integracin de los recursos materiales y tcnicos. - Direccin. - Costos y controles presupuestales. - Controles administrativos del rea de procesos electrnicos. B) Evaluacin de los sistemas y procedimientos, y de la eficiencia y eficacia que se tienen en el uso de la informacin, lo cual comprende: - Evaluacin del anlisis de los sistemas y sus diferentes etapas. - Evaluacin del diseo lgico del sistema. - Evaluacin del desarrollo fsico del sistema.

Facilidades para la elaboracin de los sistemas. Control de proyectos. Control de sistemas y programacin. Instructivos y documentacin. Formas de implantacin. Seguridad fsica y lgica de los sistemas. Confidencialidad de los sistemas. Controles de mantenimiento y forma de respaldo de los sistemas. Utilizacin de los sistemas. Prevencin de factores que puedan causar contingencias; seguros y recuperacin en caso de desastre. Productividad. Derechos de autor y secretos industriales.

C) Evaluacin del proceso de datos y de los equipos de cmputo que comprende: - Controles de los datos fuente y manejo de cifras de control. - Control de operacin. - Control de salida. - Control de asignacin de trabajo. - Control de medios de almacenamiento masivos. - Control de otros elementos de cmputo. - Control de medios de comunicacin. - Orden en el centro de cmputo.

D) -

Seguridad: Seguridad fsica y lgica. Confidencialidad. Respaldos. Seguridad del personal. Seguros. Seguridad en la utilizacin de los equipos. Plan de contingencia y procedimiento de respaldo para casos de desastre. Restauracin de equipo y de sistemas.

Los principales objetivos de la auditora en informtica son los siguientes: Salvaguardar los activos. Se refiere a la proteccin del hardware, software y recursos humanos. Integridad de datos. Los datos deben mantener consistencia y no duplicarse. Efectividad de sistemas. Los sistemas deben cumplir con los objetivos de la organizacin. Eficiencia de sistemas. Que se cumplan los objetivos con los menores recursos. Seguridad y confidencialidad.

Para que sea eficiente la auditora en informtica, sta se debe realizar tambin durante el proceso de diseo del sistema. Los diseadores de sistemas tienen la difcil tarea de asegurarse que interpretan las necesidades de los usuarios, que disean los controles requeridos por los auditores y que aceptan y entienden los diseos propuestos. La interrelacin que debe existir entre la auditora en informtica y los diferentes tipos de auditora es la siguiente: el ncleo o centro de la informtica son los programas, los cuales pueden ser auditados por medio de la auditora de programas. Estos programas se usan en las computadoras de acuerdo con la organizacin del centro de cmputo (personal). La auditora en informtica debe evaluar todo (informtica, organizacin del centro de cmputo, computadoras, comunicacin y programas), con auxilio de los principios de auditora administrativa, auditora interna, auditora contable/financiera y, a su vez, puede proporcionar informacin a esos tipos de auditora. Las computadoras deben ser una herramienta para la realizacin de cualquiera de las auditoras. La adecuada salvaguarda de los activos, la integridad de los datos y la eficiencia de los sistemas solamente se pueden lograr si la

administracin de la organizacin desarrolla un adecuado sistema de control interno. El tipo y caractersticas del control interno dependern de una serie de factores, por ejemplo, si se trata de un medio ambiente de minicomputadoras o macrocomputadoras, si estn conectadas en serie o trabajan en forma individual, si se tiene Internet y Extranet. Sin embargo, la divisin de responsabilidades y la delegacin de autoridad es cada vez ms difcil debido a que muchos usuarios comparten recursos, lo que dificulta el proceso de control interno. Como se ve, la evaluacin que se debe desarrollar para la realizacin de la auditora en informtica debe ser hecha por personas con un alto grado de conocimiento en informtica y con mucha experiencia en el rea. La informacin proporcionada debe ser confiable, oportuna, verdica, y debe manejarse en forma segura y con la suficiente confidencialidad, pero debe estar contenida dentro de parmetros legales y ticos. AUDITORIA DE PROGRAMAS La auditora de programas es la evaluacin de la eficiencia tcnica, del uso de diversos recursos (cantidad de memoria) y del tiempo que utilizan los programas, su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluar el riesgo que tienen para la organizacin. La auditora de programas tiene un mayor grado de profundidad y de detalle que la auditora en informtica, ya que analiza y evala la parte central del uso de las computadoras, que es el programa, aunque se puede considerar como parte de la auditora en informtica. Para lograr que la auditora de programas sea eficiente, las personas que la realicen han de poseer conocimientos profundos sobre sistemas operativos, sistemas de administracin de base de datos, lenguajes de programacin, utileras, bases de datos, medios de comunicacin y acerca del equipo en que fue escrito el programa. Asimismo, se deber comenzar con la revisin de la documentacin del mismo. Para poder llevar a cabo una auditora adecuada de los programas se necesita que los sistemas estn trabajando correctamente, y que se obtengan los resultados requeridos, ya que al cambiar el proceso del sistema en general se cambiarn posiblemente los programas. Sera absurdo intentar optimizar un programa de un sistema que no est funcionando correctamente.

Para optimizar los programas se deber tener pleno conocimiento y aceptacin del sistema o sistemas que usan ese programa, y disponer de toda la documentacin detallada del sistema total.

SEGURIDAD

La computadora es un instrumento que estructura gran cantidad de informacin, la cul puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de sta. Tambin pueden ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia y al no tenerla en el momento apropiado puede provocar retrasos sumamente costosos. Entre los fraudes ms conocidos (muchos de ellos no se divulgan), estn el del Banco Wells Fargo, con 21.000 millones de dlares, el caso de 2 alemanes que entraron a los archivos confidenciales de la NASA. Otro de los delitos que se han cometido en los bancos estn en insertar mensajes fraudulentos o bien transferir dinero de una cuenta a otra, con la consiguiente ganancia de intereses. En la actualidad, y principalmente en las computadoras personales (PC), se ha dado otro factor que hay que considerar: el llamado virus de las computadoras, el cul aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin (piratas), y borra toda la informacin que se tiene en un disco. Se trata de pequeas subrutinas escondidas en los programas que se activan cuando se cumple alguna condicin por ejemplo, haber obtenido una copia en forma ilegal y puede ejecutarse en una fecha o situacin predeterminada. El virus normalmente los proveen los diseadores de algn tipo de programa (software), para castigar a quienes lo roban o copian sin autorizacin, o bien por alguna actitud de venganza en contra de la Organizacin. Existen varios tipos de virus y se cura con los antivirus correspondiente. Unos de los ejemplos es la destruccin de la informacin en una compaa de prestigio en los Estados Unidos, que ocurri cuando dejaron cesante a un programador, este virus les destrua mensualmente la informacin de las ventas de la firma. Este incidente provoc el primer juicio, contra una persona por sabotaje a la computadora. Otro caso es el virus de Navidad, en el cul un empleado de una compaa multinacional elabor un programa que automticamente entraba al correo electrnico y dejaba un mensaje de felicidades. Al momento en que la persona que reciba el mensaje entraba a su correo, encontraba el mensaje de felicidades, automticamente el programa tomaba el directorio del usuario, enviaba mensajes idnticos a todas las personas que se encontraban en el directorio, generando como consecuencia bloqueo a toda la red internacional de la compaa (por suerte sin perjuicios mayores). Y como estos muchos casos ms.

Al auditar los sistemas se debe tener cuidado que no se tengan copias piratas o bin que al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin del virus. El crecimiento de fraudes por computadora ha hecho patente que la potencialidad de los crmenes crece en formas ms rpida que en los sistemas de seguridad. Los motivos de delitos por computadoras normalmente son por: Beneficio Beneficio Beneficio Beneficio Etc.. personal para la Organizacin para otras personas para la competencia

Se considera que hay cuatro factores que han permitido el incremento en los crmenes por computadora stos son: 12345El aumento del nmero de personas que se encuentran estudiando computacin. El aumento del nmero de empleados que tienen acceso a los equipos. La facilidad en el uso de los equipos de cmputo. El incremento en la concentracin del nmero de aplicaciones y , consecuentemente de la informacin. El uso inadecuado de la computadora comienza desde la utilizacin de tiempo de mquina, para usos ajenos a la Organizacin, la copia de programas para fines de comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos.

Hay algunas compaas que cuentan con grandes dispositivos para seguridad fsica de las computadoras (contra incendio o robo), y se olvidan del uso de las terminales de sistemas remotos de teleproceso. Otros piensan que los programas son tan complejos y largos que nadie fuera de su Organizacin, los v a poder entender grave errorEn la actualidad por motivo de gran aumento de fraudes hechos a los sistemas computadorizados, se han perfeccionado los sistemas de seguridad lgica al igual que la fsica, pero la gran desventaja en la seguridad lgica es que requiere consumir un nmero mayor de recursos de cmputos para lograr tener una adecuada seguridad, provocando por ende mayores costos. El tipo de seguridad puede comenzar desde una simple clave de acceso (contrasea o pasword) hasta, sistemas ms complicados, pero se debe evaluar qu, cuando ms complicados sean los

dispositivos de seguridad, resultan ms costosos. Por lo tanto se debe mantener una adecuada relacin de seguridad-costo en los sistemas de informacin. Adems hay que evitar la dependencia con ciertos individuos sobre todo los programadores que tienen un alto nivel tcnico, y son los nicos que conocen el sistema y por los general no lo documentan. Un mtodo eficaz para proteger sistema de computacin es el software de control de acceso, que protegen contra el acceso no autorizado, pues piden al usuario una contrasea antes de permitirle el acceso a informacin confidencial. Sin embargo, los paquetes de control basados en contraseas pueden ser eludidos por los delincuentes en computacin. El sistema integral de seguridad debe comprender: 12345678Elementos administrativos Definicin de una poltica de seguridad Organizacin y divisin de responsabilidades Seguridad fsica contra catstrofes (incendios, terremoto, etc.) Prcticas de seguridad del personal Plizas de seguro Elementos tcnicos y procedimientos Sistemas de seguridad (de equipos y de sistemas incluyendo todos los elementos, tanto redes como terminales) 9- Aplicacin de los sistemas de seguridad, incluyendo datos y archivos 10- Auditorias tanto externas como internas 11- Planeacin de programas de desastres y su prueba.Uno de los puntos que se debe auditar con ms detalle es el de tener las cifras de control y el medio adecuado que nos permita conocer en el momento que se produce un cambio o un fraude en el sistema. Los accidentes pueden ocurrir desde un mal manejo de la administracin por negligencia hasta un ataque deliberado hechos por ladrones. Por lo tanto hay que trabajar pensando en la posibilidad de que ocurran estos accidentes, y como hacer para evitarlos planeando de antemano medidas en caso de que esto ocurra. Algunas instalaciones tienen alto grado de riesgo, con un gran impacto en la Organizacin o en la Comunidad, si el servicio se interrumpe por fallas, deberan continuarlo a travs de mtodos manuales. Al momento de evaluar la relacin costo-beneficio hay que tener en cuenta, el alto riesgo que puede tener la informacin y que costo se tendra en caso de prdida de la misma. Hay que considerar lo siguiente:

12345-

Clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) Identificar aquellas aplicaciones que tengan un alto riesgo Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un alto riesgo Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera La justificacin del costo de implantar las medidas de seguridad

Para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo debemos preguntarnos lo siguiente: 12Qu sucedera si no se puede usar el sistema?, si la respuesta es que no se podra seguir trabajando, estamos ante una situacin de alto riesgo. Cules son las implicaciones de no tener el sistema y por cunto no lo podremos utilizar? En el caso de reservaciones no se puede trabajar sin sistema por lo tanto no podemos estar si l por mucho tiempo. Existe un camino alterno , y que implicaciones nos ocasionara?, en el caso de las reservaciones no se podra utilizar otro procedimiento ajeno a la Compaa, debido a las redes y a los Bancos de datos. Lo que se podra hacer es que se reciban las reservaciones en una oficina personalmente o por va telefnica; de todas maneras ello provocara un mal servicio.

3-

Lo ms eficiente en esto casos es tener sistemas simultneos (o en paralelo),que permitan pasar de un equipo a otro en forma simultnea; disponer de sistemas de energa no interrumpibles, pues debido a su alto de riesgo son los que deben tener mayor seguridad. Una vez definido el grado de riesgo, hay que elaborar una lista de los sistemas con las medidas preventivas que se deben tomar, as como las correctivas en caso de desastres, sealndole a cada uno su prioridad. Los planes de seguridad deben asegurar la integridad y exactitud de los datos, permitir identificar la informacin que sea confidencial, de uso exclusivo, proteger y conservar los activos de desastres provocados por la mano del hombre y de actos abiertamente hostiles, asegurar la capacidad de la Organizacin para sobrevivir accidentes, proteger a los empleados contra tentaciones o sospechas innecesarias y la administracin contra cargos por imprudencia. Divisin del trabajo Se deben tomar las siguientes precauciones:

El personal que prepara la informacin no debe tener acceso a la operacin Los analistas y programadores no deben tener acceso al rea de operacin y viceversa Los operadores no deben tener acceso inrrestringido a las libreras ni a los lugares donde se tengan los archivos almacenados, es importante separar las funciones de librera y de operacin Los operadores no deben ser los nicos que tengan el control sobre los trabajos procesados y no deben hacer correcciones a los errores detectados.

Al implantar sistemas de seguridad, puede reducirse la factibilidad laboral pero no la eficiencia. Seguridad en el Personal Un centro de Cmputo, depende en gran medida de la integridad, estabilidad y lealtad del personal, por lo que al momento de tomarlo para el trabajo es conveniente hacerle exmenes psicolgicos, mdicos y tener muy en cuenta sus antecedentes laborales. Hay que hacer rotar el personal para disminuir la posibilidad de fraude. Esto debera hacerse aunque implique un alto costo. Hay que mantener motivado al personal pues la motivacin trae aparejado la lealtad del personal hacia la organizacin, disminuyendo la posibilidad de fraude. Seguridad Fsica El objetivos es establecer polticas, procedimientos y prcticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos, informacin debido a contingencias como incendio, inundacin, huelas, disturbios, sabotajes, etc. Y continuar en un medio de emergencia hasta que sea restaurado el servicio completo. Se debe tener en cuenta tambin, la orientacin del Centro de Cmputos ( por ejemplo centros sumamente calurosos, en donde el sol d todo el da), y se debe evitar en lo posible los grandes ventanales, los cules adems que permiten la entrada del sol pueden ser arriesgados para la seguridad del Centro de Cmputo. Entre las precauciones a tener en cuenta estn: Los ductos de los aires acondicionados deben estar limpios, para evitar el polvo. Los exintores deben estar en perfectas condiciones (cargados). Ensear al personal a utilizar los equipos contra incendios. Se debe restringir al acceso a los programas y a los archivos.

Los operadores deben trabajar sin la participacin de los programadores. Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos inadecuados (que en el momento de capturar informacin no se la est cambiando). No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales. En los casos de informacin confidencial debe usarse, de ser posible, en forma codificada o criptografiada. Se debe realizar peridicamente una verificacin fsica del uso de las terminales y de los reportes obtenidos. Se deben hacer auditorias peridicas. Debe existir una perfecta divisin de responsabilidades entre los capturistas de datos y los operadores de las computadoras, y entre los operadores y las personas responsables de las libreras. Se deben realizar copias (backup) de los archivos y programas en lugares ajenos al Centro de Cmputo. Se deben controlar e identificar perfectamente los archivos. En el caso de programas, se debe asignar a cada uno de ellas una clave que identifique el sistema, subsistema, programa y versin. Esto nos permitir verificar la cantidad de veces que se ha compilado o corrido un programa y nos permitir costear en el momento que se encuentre un sistema en produccin. Hay que tener sumo cuidado en el manejo de la informacin pues se sta es errnea e introducida a la mquina, nos dar informacin incorrecta, ocasionando prdida de dinero y de tiempo entre otras cosas. Adems si se trata de informacin confidencial evitar que se obtengan fotocopias sin la debida autorizacin y que solo el personal autorizado tenga acceso a la misma.