UNIVERSIDAD SIMN BOLVAR DEPARTAMENTO DE PROCESOS Y SISTEMAS ASIGNATURA: SISTEMAS DE INFORMACIN I CDIGO: PS-2150 PROF.

MARIANELLA VILLEGAS

Auditora de Sistemas de Informacin

AUTORES: ALIFANO, Ma !a "#$% Ca &%: 0' ( 1002' P)E*, N+&a Ga, +-.a Ca &%: 0/ ( 10002

Ca a1a$, 2a3# 4- 2012

INTRODUCCIN

A finales del siglo XX los Sistemas de Informacin han constituido una herramienta muy poderosa para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin de la empresa. En el presente tra a!o vamos a introducir el concepto de una auditor"a y el concepto de sistemas de informacin, para luego, ampliar los conocimientos acerca de qu# es realmente una Auditor"a de Sistemas de Informacin. Adems, proporcionaremos la informacin so re los o !etivos de la misma, sus fases de desarrollo, las herramientas que se utilizan, cul es el perfil de un auditor de sistemas de informacin y en qu# reas se puede aplicar mencionada auditor"a.

AUDITORAS DE SISTEMAS DE INFORMACIN

567% -$ 7&a a74+8# !a9 Es el proceso que comprende las tareas de evaluar y analizar ciertos procesos, dependiendo el rea al que se aplique, donde el auditor de e estar encaminado a la $squeda de pro lemas e%istentes, y a la vez proponer o, me!or dicho, uscar soluciones para estos pro lemas. 567% -$ 7& S+$8-2a 4- I&:# 2a1+;&9 &n sistema de informacin es un con!unto de elementos interrelacionados con el propsito de prestar atencin a las demandas de informacin de una organizacin, para elevar el nivel de conocimientos que permitan un me!or apoyo a la toma de decisiones y desarrollo de acciones. 'eneralmente, estos elementos estn orientados al tratamiento y administracin de datos e informacin, organizados y listos para su uso posterior, generados para cu rir una necesidad u o !etivo. Entonces, 567% -$ 7&a A74+8# !a 4- S+$8-2a$ 4- I&:# 2a1+;&9 Se tiende a considerar a Auditor"a de Sistemas de Informacin como una ampliacin de la Auditor"a (inanciera. Seg$n '.A. )ivas, padre de la introduccin informtica, *es el conjunto de tcnicas, actividades y procedimientos destinados a analizar, verificar y

recomendar en asuntos relativos a la planificacin, control, eficacia, seguridad y adecuacin del servicio informtico en una empresa +o que quiere decir que, un auditor de e seguir una serie de t#cnicas de tra a!o, desempe,ar actividades que le van a permitir o tener los resultados adecuados y, seguir un protocolo y procedimientos de tra a!o que certifiquen que lo que #l dice es cierto, y se asa en hechos constatados y pro ados. -am i#n tendr la tarea de analizar los pro lemas de planificacin, control, eficacia, seguridad y aplicacin correcta del sistema informtico, con el fin de uscar o recomendar una solucin para los mismos, y si no e%isten dichos pro lemas, uscar una me!ora para el sistema de informacin. Entonces, para dar una reve definicin de Auditor"a de Sistemas de

Informacin, podemos decir que es la que se encarga de evaluar y analizar los procesos informticos, para as", uscar los pro lemas e%istentes dentro de los sistemas utilizados y a la vez proponer soluciones para los mismos. 5C7<.-$ $#& $7$ #,=-8+>#$9

+os o !etivos de una Auditor"a de Sistemas de Informacin, en general son los siguientes. /. 0articipacin en el desarrollo de nuevos sistemas. Evaluacin de controles 1umplimiento de la metodolog"a. 2. Evaluacin de la seguridad en el rea informtica. 3. Evaluacin de suficiencia en los planes de contingencia. )espaldos, proveer qu# va a pasar si se presentan fallas. 4. 5pinin de la utilizacin de los recursos informticos. )esguardo y proteccin de activos. 6. 1ontrol de modificacin a las aplicaciones e%istentes. (raudes 1ontrol a las modificaciones de los programas. 7. 0articipacin en la negociacin de contratos con los proveedores.

8. )evisin de la utilizacin del sistema operativo y los programas &tilitarios. 1ontrol so re la utilizacin de los sistemas operativos 0rogramas utilitarios. 9. Auditoria de la ase de datos. Estructura so re la cual se desarrollan las aplicaciones. :. Auditoria de la red de teleprocesos. /;. <esarrollo de soft=are de auditor"a. Es el o !etivo final de una auditor"a de sistemas ien implementada, desarrollar soft=are capaz de estar e!erciendo un control continuo de las operaciones del rea de procesamiento de datos. 5C;2# -a.+?a 7&a A74+8# !a 4- S+$8-2a$ 4- I&:# 2a1+;&9 >ay diferentes autores que formulan diversas teor"as, a continuacin se presentan 7 etapas que permiten realizar una uena relacin entre el auditor o el equipo auditor y la organizacin empresarial, con el fin de evitar una anarqu"a en el funcionamiento del auditor y su relacin con la empresa, es conveniente seguir el cumplimiento de las etapas para asegurar una auditoria correcta. +a primera etapa es la @TOMA DE CONTACTOA y se realiza en un per"odo no mayor a / o 2 d"as. Se refiere al conocimiento de la organizacin o !eto a la auditoria. Es el momento en que la organizacin se da cuenta de su necesidad de auditor"a y procede a llamar al auditor. /./ Se realiza un anlisis inicial. So re la 5rganizacin glo al. +o primero que se de e inspeccionar antes de realizar el anlisis inicial es un anlisis glo al de la organizacin, qu# tipo de informacin gestiona, vol$menes y tipos de facturacin, personal con el que se tra a!a, etc.

So re la estructura del departamento, recursos humanos y materiales?

Al finalizar se puede no aceptar o realizar un anlisis detallado.

/.2 . Anlisis detallado. se profundiza el anlisis anterior y se ela oran los papeles de tra a!o so re auditoria. 5curre cuando se diagnostica que ver"dicamente hay necesidad de realizar un proceso de auditor"a ms comple!o y@o cuando se diagnostica un nivel de riesgo. 0ara ello es necesario sa er qu# equipo se requiere, qu# medios se van a necesitar, con qu# empleados se va a tra a!ar y el tiempo que requiere dicha auditoria para posteriormente ela orar un presupuesto.

&na vez que la empresa est de acuerdo y decide realizar la auditoria, se procede a la etapa 2. APLANIFICACIN DE LA OPERACINA.

En esta etapa se determinan los o !etivos, las fechas, m itos de estudios y posi les pro lemas, inventario de puntos a estudiar, personas de la organizacin que de an cola orar y en qu# momento, documentos a reunir, etc.

Etapa 3. ADESARROLLO DE LA AUDITORIAA. Es la etapa de mayor duracin de ido a que se e!ecuta el tra a!o definido. Su o !etivo es uscar evidencias que puedan conducir a conclusiones certeras en el diagnostico. -emas que analiza.

B<el entorno puramente informtico. B'rado de utilizacin@satisfaccin de los diferentes usuarios. Etapa 4. @SNTESIS Y DIAGNSTICOA El equipo auditor de er concluir el estudio y proceder a analizar e interpretar la informacin o tenida en etapas anteriores, concluyendo con un diagnostico de la situacin o servada, esto es lo que se conoce como A<A(5)C. de ilidades, amenazas, fortalezas y oportunidades. E%isten algunas evidencias que facilitan el anlisis tales como. 0untos d# iles del sistema 0untos fuertes )iesgos eventuales 0osi les oportunidades 0osi les soluciones y me!oras

Etapa 6. @PRESENTACIN DE CONCLUSIONESA El equipo auditor de er e%poner a la direccin las conclusiones evidenciadas, confrontadas con los representantes afectados, mediante una entrevista previa al informe. 1onsta de algunos elementos. >echos constatados. conclusiones argumentadas, pro adas y

documentadas. 0ropuestas realistas, constructivas, un llamado Aplan de me!oraC.

0asado un per"odo en el que la empresa ha logrado solventar sus carencias a lo largo de la evolucin, se procede a la etapa 7. @REDACCIN DEL INFORME Y FORMACIN DEL PLAN ME"ORAA. El informe final de auditor"a de e estar ela orado de la siguiente manera.

/B. 1arta de presentacin del informe. a modo de resumen del tra a!o de auditor"a realizado y dirigido a la persona que contrat la auditoria. 2B.Introduccion al informe. E%posicin detallada del con!unto de o !etivos de la auditoria, condiciones de desarrollo y un resumen de recomendaciones y desarrollo. 3B.+as principales o servaciones. o servaciones y deficiencias constatadas. <escripcin e%acta, convincente y no repetitiva so re. BAuditoria funcional. procedimientos, seguridad, coste. BAuditoria operativa. calidad, plazos, relaciones, controles.

4B.)ecomendacion y 0lan de accin me!oras. 0lan de me!oras ArealistaC, a. B1orto plazo. peque,as inversiones en cuanto a tiempo y dinero. BDedio plazo. mayor inversin en tiempo y dinero E/2 a /9 mesesF. B+argo plazo. pol"ticas o reorganizaciones estructurales con mayor necesidad de esfuerzo y planificacin. )ecomendaciones 0rcticas. Evitar situaciones preventivas por parte de los usuarios frente al auditor. +as entrevistas iniciales son muy importantes. Se de e cuidar la veracidad de los datos suministrados. +os usuarios de en contri uir a compro ar la ausencia de errores. 1ompro ar la cola oracin del resto de <epartamentos con el de Informtica. Aplicar una adecuada gestin de controles.

5C7<.-$ $#& .a$ B- a2+-&8a$ 78+.+?a4a$ Ca a -a.+?a 7&a ASI9 B +a entrevista.

Seg$n la )eal Academia Espa,ola, el t#rmino AentrevistarC, tiene como significado Atener una conversacin con una o varias personas acerca de ciertos extremos para un fin determinado, o para informar a un pblico sobre las respuestas Es una herramienta fundamental, de ido a que es el momento en donde uno realmente puede compro ar la veracidad de algunos hechos, que por medio de o servacin directa no se puede conseguir. bjetivo. Sinceridad del entrevistado. !edio" capacidad psicolgica del entrevistador. Go es un interrogatorio Esalvo en caso de delito informticoF 0ara ello, el auditor de e tener la cualidad de psicolog"a, por lo tanto, hay que conseguir un entorno en el cual el auditor se asegure que lo que le est diciendo el entrevistado sea ver"dico, y aporte la informacin que realmente se requiere. 0ara esto, se de en utilizar t#cnicas de 0sicolog"a, tales como. Entorno neutral. que el auditor visite el lugar de tra a!o del entrevistado, para que #ste se sienta ms cmodo y no e%istan tensiones. Informacin. e%plicarle al entrevistado porqu# se le est preguntando acerca de ese tema, cul es el o !etivo de la entrevista que se est llevando a ca o, para que #ste entienda las razones y el valor a,adido que #stas le van a reportar, y as" responda de manera activa y correcta la entrevista, ayudando al valor a,adido mencionado tanto del auditor, como de la empresa. 0reguntas. de en estar conectadas con una conversacin fluida con el entrevistado, de manera que el entrevistado responda al cuestionario pero

tam i#n se comunique con el auditor, al o !eto que la informacin sea $til y vlida. )ecomendaciones de )on He er para la entrevista. Analizar primero si la informacin uscada no est disponi le en otros medios Eevitando molestar al entrevistadoF Identificar previamente a las personas a entrevistar Esituacin,

personalidad, etc.F 0reparar la entrevista Elista de preguntasF 0lanificar el tiempo y definir el lugar. evitar horas de comida Eque el entrevistado est# despe!ado y disponga tiempo suficienteF -oma de notas. evitar gra aciones en cinta Anlisis de la entrevista. lo antes posi le Einiciando el informeF, separando entre hechos y opiniones.

1uestionario. Seg$n la )eal Academia Espa,ola, un cuestionario es Auna lista de preguntas #ue se proponen con cual#uier fin$ 0or lo mismo, )on He er, hizo una lista de recomendaciones que de en considerarse a la hora de ela orar un cuestionario. /. <efinir si se quieren conocer hechos, opiniones o am as cosas 2. Si el auditor va a estar presente o no Eauto e%plicativoF 3. 0reguntas concretas, evitando la generalidad y la am igIedad. 4. Evitar usar la !erga de la auditor"a y la informtica. 6. +as preguntas no de en conducir indirectamente a las respuestas.

7. Evitar cuestiones hipot#ticas Eslo evidencias, no hiptesisF 8. )efle%ionar so re el rango con que se estimar"an las posi les respuestas.

5C;2# 4-,- $- -. C- :+. 4- 7& a74+8# 4- $+$8-2a$ 4- +&:# 2a1+;&9

+as cualidades de un Auditor de Sistemas de Informacin son las siguientes. 1onocimientos t#cnicos de la informtica 1onocimientos de auditor"a. psicolog"a, redaccin de informes, direccin, etc. 1ualidades personales. atencin, meticulosidad, equili rio emocional, intuicin profesional, dinamismo, capacidad de escuchar, etc. Estndares de Auditor"a de Sistemas de Informacin. Independencia. /. El Auditor de SI tiene la o ligacin de ser independiente respecto a la auditor"a. Apunto de vista imparcial que permite al auditor o rar o !etiva y !ustamenteC 2. El Auditor no slo de e ser independiente, sino tam i#n guardar las apariencias. 3. El Auditor no de iera participar en la auditor"a si su independencia se viera coartada. 4. El Auditor de e ser independiente organizativamente del rea auditada. 6. Si la independencia del Auditor se viera coartada de er ser notificado. 7. El Auditor y la direccin de en evaluar continuamente la independencia.

8. El tra a!o e informe del Auditor de en representar un descargo de responsa ilidades profesionales, lo que e!emplifica la integridad y la o !etividad. Instrumentos de ayuda al auditor de sistemas de informacin. 0rocesadores de te%to, ho!as de clculo, aplicaciones espec"ficasF Asociaciones profesionales. )epresentacin ante los poderes p$ licos <efensa de los intereses de la profesin Jigilancia de estndares #ticos y profesionales <ifusin de informacin y formacin. ases de datos, programas

estad"sticos, soft=are de auditor"a Egeneral. para aplicaciones y para

5C7<.-$ $#& .a$ < -a$ 4- aC.+1a1+#&-$ 4- .a ASI9

E%isten diversas reas donde se puede aplicar la Auditor"a de Sistemas de Informacin, entre ellas se encuentran. /. Auditor"a de Seguridad ("sica y +gica 1ausa. +a importancia de la informacin en las organizaciones y el elevado valor de sus activos informticos. o Auditor"a de Entornos ("sicos. adecuacin de las instalaciones ante un posi le fuego, etc. o Auditor"a de la Seguridad +gica. salvaguarda de acreditacin de usuariosK secreto de archivos y transacciones.

2. Auditor"a de la 0lanificacin 5 !etivos. o 1onocer y evaluar los planes del 1entro de 0rocesamiento de <atos y su nivel de integracin con la empresa. o )evisin de planes informticos y de desarrollo de Soft=are o Evaluar el nivel de participacin y compromiso de directivos en la ela oracin de planes.

3. Auditor"a de la 5rganizacin y 'estin del 1entro de 0rocesamiento de <atos 5 !etivo. analizar que el responsa le del 1entro de 0rocesamiento de <atos organiza, dirige y controla los recursos del mismo. o )evisin de organigramas del departamento y de la empresa. o <eterminar los estndares de documentacin en proceso de datos. o )evisin de la pol"tica personal. retri ucin, formacin, etc. o E%amen de m#todos de tra a!o. o <eterminacin del nivel de participacin de los usuarios. o E%amen del nivel de aceptacin del servicio informtico en la organizacin.

4. Lrea de e%plotacin

5 !etivo. e%aminar los procedimientos seguidos en el 1entro de 0rocesamiento de <atos en su operatividad diaria. o 1ompro ar la e%istencia de normas escritas so re las funciones de e%plotacin o )evisar la e%istencia de documentacin de procedimientos o E%aminar el control del consumo de recursos, seguridad. o Inventarios, etc. o Imputacin de costes, etc.

6. Lrea del entorno >ard=are@Soft=are. 5 !etivo. garantizar un eficiente funcionamiento y utilidad del ordenador garantizando su continuidad en el tiempo.

CONCLUSIN +a Auditor"a de Sistemas de Informacin hoy en d"a es de vital importancia para las empresas modernas con visin de futuro, so re todo las que se encuentran en el mundo glo alizado, porque si no se evitan los mecanismos de control, seguridad y respaldo de la informacin dentro de una institucin, aumentan las pro a ilidades de riesgos lgicos, f"sicos y humanos que conlleven a fraudes econmicos y de informacin, es decir, p#rdidas para la empresa. +a auditoria de sistemas de informacin de er comprender no slo la evaluacin de los equipos de computacin de un sistema o procedimiento espec"fico, sino que adems hay que evaluar los sistemas de informacin en general desde sus entradas, procedimientos y controles. En la mayor"a de empresas e%iste una constante preocupacin por la presencia ocasional de fraudes, sin em argo, muchos de estos podr"an prevenirse. En algunos pa"ses de Am#rica +atina, donde normalmente los salarios son a!os, las crisis recurrentes, las necesidades de los tra a!adores no son totalmente satisfechas, e%isten fallas en el control interno y no hay vigilancia adecuada en las operaciones, entonces las posi ilidades de sufrir un fraude son ms grandes. Evitar fraudes es responsa ilidad de todos los empleados, por ello es importante crear una cultura empresarial encaminada a minimizar el riesgo de fraude

BIBLIOGRAFA J"deos. &GIJE)SI<A< 05+I-M1GI1A <E JA+EG1IA E&0JF. 'I+ 0E1>&AG, Ignacio. *1oncepto de Auditor"a de Sistemas de InformacinC &GIJE)SI<A< 05+I-M1GI1A <E JA+EG1IA E&0JF. 'I+ 0E1>&AG, Ignacio. *<esarrollo de una auditor"a de Sistemas de Informacin. (asesC &GIJE)SI<A< 05+I-M1GI1A <E JA+EG1IA E&0JF. 'I+ 0E1>&AG, Ignacio. *Auditor"a de sistemas de informacin. entrevistas y cuestionariosC &GIJE)SI<A< 05+I-M1GI1A <E JA+EG1IA E&0JF. 'I+ 0E1>&AG, Ignacio. *El Auditor de Sistemas de InformacinC &GIJE)SI<A< 05+I-M1GI1A <E JA+EG1IA E&0JF. 'I+ 0E1>&AG, Ignacio. *Aplicaciones de auditor"a de sistemas de informacinC )eal Academia Espa,ola. 1oncepto entrevista 1oncepto auditor"a 1oncepto cuestionario

-&DE)5S A., Ivn Nos#. -ra a!o so re AAuditor"a de SistemasC