Introduccin Conceptos de Auditora de Sistemas La palabra auditora viene del latn auditorius y de esta proviene auditor, que tiene

la virtud de oir y revisar cuentas, pero debe estar encaminado a unobjetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos deaccin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin. Algunos autores proporcionan otros conceptos pero todos coinciden en hacer nfasis en la revisin, evaluacin y elaboracin de un informe para el ejecutivo encaminado a un objetivo especfico en el ambiente computacional y los sistemas. A continuacin se detallan algunos conceptos recogidos de algunos expertos en la materia: Auditora de Sistemas es:

La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. La actividad dirigida a verificar y juzgar informacin. El examen y evaluacin de los procesos del Area de Procesamiento automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. El proceso de recoleccin y evaluacin de evidencia para determinar si un sistema automatizado: Daos Salvaguarda activos Destruccin Uso no autorizado Robo Mantiene Integridad de Informacin Precisa, los datos Completa Oportuna Confiable Alcanza metas Contribucin de la organizacionales funcin informtica Consume recursos Utiliza los recursos adecuadamente eficientemente en el procesamiento de la informacin

Es el examen o revisin de carcter objetivo (independiente), crtico(evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados, con el fin de emitir una opinin profesional (imparcial) con respecto a: Eficiencia en el uso de los recursos informticos Validez de la informacin Efectividad de los controles establecidos Tipos de Auditora Existen algunos tipos de auditora entre las que la Auditora de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la funcin informtica. Es necesario recalcar como anlisis de este cuadro que Auditora de Sistemas no es lo mismo que Auditora Financiera. Entre los principales enfoques de Auditora tenemos los siguientes:

Financiera Veracidad de estados financieros Preparacin de informes de acuerdo a principios contables Evala la eficiencia, Operacional Eficacia Economa de los mtodos y procedimientos que rigen un proceso de una empresa Sistemas Se preocupa de la funcin informtica Fiscal Se dedica a observar el cumplimiento de las leyes fiscales Administrativa Analiza: Logros de los objetivos de la Administracin Desempeo de funciones administrativas Evala: Calidad Mtodos Mediciones Controles de los bienes y servicios Revisa la contribucin a la sociedad Social as como la participacin en actividades socialmente orientadas Objetivos Generales de una Auditora de Sistemas

Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el PAD Incrementar la satisfaccin de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de funcin informtica a las metas y objetivos de la organizacin Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico Minimizar existencias de riesgos en el uso de Tecnologa de informacin Decisiones de inversin y gastos innecesarios Capacitacin y educacin sobre controles en los Sistemas de Informacin Justificativos para efectuar una Auditora de Sistemas

Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) Desconocimiento en el nivel directivo de la situacin informtica de la empresa Falta total o parcial de seguridades lgicas y fisicas que garanticen la integridad del personal, equipos e informacin. Descubrimiento de fraudes efectuados con el computador Falta de una planificacin informtica Organizacin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracindel Recurso Humano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados

Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin Controles Conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos. Clasificacin general de los controles

Controles Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones . Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones Sistemas de claves de acceso

Controles detectivos

Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditora Procedimientos de validacin

Controles Correctivos

Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar dificil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en si una actividad altamente propensa a errores. Principales Controles fsicos y lgicos Controles particulares tanto en la parte fisica como en la lgica se detallan a continuacin Autenticidad Permiten verificar la identidad 1. 1. Passwords Firmas digitales

Exactitud Aseguran la coherencia de los datos 1. 1. Validacin de campos Validacin de excesos

Totalidad Evitan la omisin de registros as como garantizan la conclusin de un proceso de envio 1. 1. Conteo de regitros Cifras de control

Redundancia Evitan la duplicidad de datos 1. 1. Cancelacin de lotes Verificacin de secuencias

Privacidad Aseguran la proteccin de los datos 1. 1. Compactacin Encriptacin

Existencia Aseguran la disponibilidad de los datos 1. 1. Bitcora de estados Mantenimiento de activos

Proteccin de Activos Destruccin o corrupcin de informacin o del hardware 1. 1. Extintores Passwords

Efectividad Aseguran el logro de los objetivos 1. 1. Encuestas de satisfaccin Medicin de niveles de servicio

Eficiencia Aseguran el uso ptimo de los recursos 1. 1. Programas monitores Anlisis costo-beneficio