MOTIVACIN El propsito de esta gua es el de conocer y entender que la Auditora de Sistemas es la verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas

e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones. CAPITULO I. AUDITORIA DE SISTEMAS OBJETIVO: Una vez desarrolladas las diferentes actividades de la presente gua el alumno en formacin estar en capacidad de identificar claramente que es, para que sirve, como y porque se utiliza la Auditora de Sistemas. Se considera logrado el objetivo si el alumno logra definir, como y porque se utiliza y el campo de accin de la Auditoria de Sistemas. TEMAS: 1. AUDITORIA DE SISTEMAS. (8 Horas) - Generalidades - Conceptos de Auditora de Sistemas - Tipos de Auditora de Sistemas - Objetivos de las Auditora de Sistemas - Justificativos para efectuar una Auditora de Sistemas - Caractersticas de la Auditora de Sistemas - Papel de Auditora de Sistemas - Alcance de la Auditora de Sistemas APOYO DOCUMENTAL DE LA AUDITORIA DE SISTEMAS 1. GENERALIDADES. A finales del siglo XX, los sistemas informticos se constituyeron en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin de la Empresa. La Informtica hoy, esta subsunida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia las organizaciones informticas forman parte de lo que se ha denominado el Management o Gestin de la empresa. Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por si misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditora Informtica. El termino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase Tiene Auditora como sinnimo de que, en dicha entidad, antes de realizarse la Auditora, ya se haban detectado fallas. La Auditora es un examen crtico que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo.

La palabra Auditora viene del latn auditorius y de esta proviene auditor, que tiene la virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo especifico que es el de evaluar la eficiencia y eficacia con que se esta operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin. El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Informacin. Para la realizacin de una Auditora Informtica eficaz, se debe entender a la empresa en su ms amplio sentido , ya que una universidad, un Hospital son tan empresa como una sociedad annima. Todos utilizan la Informtica para gestionar sus negocios de forma rpida y eficiente con el fin de obtener beneficios econmicos y reduccin de costos. 2. CONCEPTOS DE AUDITORIA DE SISTEMAS: A continuacin detallamos algunos conceptos de Auditora de Sistemas: 3.Es el examen y evaluacin de los procesos del rea de procesamiento automtico de datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. 4.Es la verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. 5.Es la actividad dirigida a verificar y juzgar informacin 6.Es el proceso de recoleccin y evaluacin de evidencia para determinar si un sistema automatizado: 1.Daos 2.Salvaguarda de los activos 3.Uso no autorizado 4.Robo 5.Mantiene integridad de Informacin 6.Los datos los emite completa, oportuna y confiables 7.Alcanza metas 8.consume recursos 9.Utiliza los recursos adecuadamente 10.Eficientemente en el proceso de la informacin a)Es el examen o revisin de carcter objetivo (independiente), critico (evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, practicas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados, con el fina de emitir una opinin profesional (imparcial) con respecto a: 1.Eficiencia en el uso de los recursos informticos 2.Validez de la informacin

3.Efectividad de los controles establecidos 4. OBJETIVOS GENERALES DE LA AUDITORIA DE SISTEMAS. Podemos considerar los siguientes: 1.Buscar una mejor relacin Costo - beneficio de los sistemas automticos o computarizados diseados e implementados por el PAD. 2.Incrementar la satisfaccin de los usuarios de los sistemas computarizados. 3.Asegurar una mayor integridad, confidencialidad de la informacin mediante la recomendacin de seguridades y controles. 4.Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios par lograr los objetivos propuestos. 5.Seguridad de personal, datos, hardware, software e instalaciones. 6.Apoyo de funcin informtica a las metas y objetivos de la organizacin. 7.Seguridad, Utilidad, confianza, Privacidad, y Disponibilidad en el ambiente informtico. 8.Minimizar existencias de riesgos en el uso de Tecnologa de informacin. 9.Decisiones de inversin y gastos innecesarios 10.Capacitacin y educacin sobre controles en los sistemas de informacin 5. JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORIA. a) Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) b) Desconocimiento en el nivel directivo de la situacin informtica de la empresa c) Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin d) Descubrimiento de grandes efectuados con el computador e) Falta de planificacin informtica f) Organizacin que no funciona correctamente, falta de polticas, objetivos, normas metodologa, asignacin de tareas y adecuada administracin del recurso humano. g) Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados h) Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin. 6. CARACTERSTICAS DE LA AUDITORIA DE SISTEMAS. La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un activo Real de la misma, como sus stocks o materias primas si las hay. Por ende, han de realizarse inversiones informticas. Del mismo modo, los sistemas informticos han de protegerse de modo global y particular: A ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la Auditora de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas. Cuando se producen cambios estructurales en la informtica, se reorganiza de alguna forma su funcin: Se esta en el campo de la Auditora de Organizacin Informtica. Estos tres tipos de Auditora engloban a las actividades auditoras que se realizan en una Auditora parcial. De otra manera: cuando se realiza una Auditora del rea de Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese desarrollo

existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas. Sntomas de Necesidad de una Auditora Informtica: Las empresas acuden a las Auditora externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparsen en clases: b) Sntomas de descoordinacin y Desorganizacin: - No coinciden los objetivos de la informtica de la compaa y de la propia compaa - Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente. ( Puede suceder con algn cambio masivo de personal, o en una reestructuracin fallida de alguna rea o en la modificacin de alguna norma importante.) c) Sntomas de mala imagen e insatisfaccin de los usuarios: - No se atienden las peticiones de cambios de los usuarios. (Ej. Cambios de software en los terminales de usuario, refrescamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc.) - No se reparan las averas de hardware, no se resuelven incidencias en plazos razonables. El usuario percibe que esta abandonado y desatendido permanentemente. - No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en al actividad del usuario, en especial en los resultados de aplicaciones criticas y sensibles. d) Sntomas de debilidades econmico - financiero: - Incremento desmesurado de costos - Necesidad de justificacin de inversiones informticas (La empresa no esta absolutamente convencida de tal necesidad y decide contrastar opiniones) - Desviaciones presupuestarias significativas - Costos y plazos de nuevos proyectos (deben auditarse simultneamente a desarrollo de proyectos y al rgano que realizo la peticin). e) Sntomas de inseguridad: Evaluacin de riesgos - Seguridad Lgica - Seguridad Fsica - Confidencialidad (Los datos son de propiedad inicialmente de la organizacin que los genera. Los datos de personal son especialmente confidenciales) - Continuidad del servicio. Establece la estrategias de continuidad entre fallo mediante planes de contingencia.( - Centro de proceso de datos fuera de control. Si tal situacin llegara a percibirse, sera prcticamente intil la Auditora. El sntoma debe ser sustituido por el mnimo indicio. 7. PAPEL DE LA AUDITORIA DE SISTEMAS. La Auditora nace como un rgano de control de algunas instituciones estatales y privadas. Su funcin es estrictamente econmico - financiero, y los casos inmediatos se encuentran en los estrados judiciales y las contrataciones de contadores expertos por parte de bancos oficiales. La funcin de Auditora debe ser absolutamente independiente; la Auditora contiene elementos de anlisis, de verificacin y de exposicin de debilidades y deficiencias. Aunque pueden aparecer sugerencias y planes de accin para eliminar las deficiencias

y debilidades antes dichas; estas sugerencias plasmadas en el informe final reciben el nombre de recomendaciones. Las funciones de anlisis y revisin que el auditor informtico realiza, puede chocar con la psicologa del auditado, ya que el auditor tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones, fundada. El nivel tcnico del auditor es a veces insuficiente, dada la gran complejidad de los sistemas, unidos a los plazos demasiados breves de los que suelen disponer para realizar su tarea. El auditor solo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situacin analizada por l mismo. LA AUDITORIA INTERNA Y AUDITORIA EXTERNA. La Auditora Interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La Auditora interna existe por expresa decisin de la empresa, o sea, que puede optar por su disolucin en cualquier momento. La Auditora Externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presume una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados. La Auditora Informtica Interna cuenta con algunas ventajas adicionales muy importante respecto de la Auditora Externa, las cuales no son tan perceptibles como en las auditoras convencionales. La Auditora Interna tiene la ventaja de que puede actuar peridicamente realizando revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las Auditoras, especialmente cuando las consecuencias de las recomendaciones habidas benefician su trabajo. En una empresa, los responsables de informtica escuchan, orientan e informan sobre las posibilidades tcnicas y los costos de tal Sistema. Con voz, pero a menudo sin voto, informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La empresa necesita controlar su informtica y esta necesita que su propia gestin est sometida a los mismos procedimientos y estndares que el resto de aquella. La conjuncin de ambas necesidades cristaliza en la figura del auditor interno informtico. En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditora propia y permanente, mientras que el resto acuden a la Auditora externa. Puede ser que algn profesional Informtico sea trasladado desde su puesto de trabajo a la Auditora Interna de la empresa cuando est existe. Finalmente la propia Informtica requiere de su propio grupo de Control interno, con la implantacin fsica en su estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera independiente. Una empresa que posee Auditora Interna puede y debe en ocasiones contratar servicios de Auditora externa, Las razones para hacerlo suelen ser:

Necesidad de auditar una materia de gran especializacin. ( No hay capacidad Interna) Contratar algn informe interno. (Recomendaciones internas que chocan con la opinin generalizada de la propia empresa. Servir como mecanismo protector de posibles auditorias externas decretadas por la misma empresa. Aunque la A.I. sea independiente del Depto de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen Auditor La Auditora Informtica, tanto Externa como Interna, debe ser una actividad exenta de cualquier contenido o Matiz Poltico ajeno a la propia estrategia y poltica general de la empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto es, por encargo de la direccin o cliente. 8. ALCANCE DE LA AUDITORIA INFORMATICA. El alcance de la Auditora expresa los limites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias, y las organizaciones a auditar. A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones del alcance de la Auditora, es decir cuales materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del informe final. Las personas que realizan la Auditora han de conocer con mayor exactitud posible los objetivos a los que su tarea debe llegar. Debe conocer los deseos y pretensiones del cliente de forma que las metas fijadas puedan ser cumplidas. EL alcance ha definir con precisin el entorno y los limites en que va a desarrollar la Auditora Informtica, se complementa con los objetivos de esta. El alcance ha de figurar expresamente en el informe final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ej. Se sometern los registros grabados a un control de integridad exhaustivo?, Se comprobara que los controles de validacin de errores son adecuados y suficientes?, La indefinicin de los alcances de la Auditora compromete el xito de la misma.

Auditora de sistemas informticos

La palabra auditoria tiene su origen del latn Auditorius y de la misma proviene auditor que es la persona encargada de revisar cuentas encaminndose a un objetivo en especfico que se centra en evaluar la eficacia y eficiencia del modo en el que se opera para que de esta manera, y por medio de cursos alternativos de accin, se tomen decisiones que nos ayuden a corregir los errores o a mejorar la forma de actuacin. En el caso de la auditoria de sistemas, la misma trata de realizar la verificacin de los controles durante el procesamiento de la informacin, el desarrollo de los sistemas y su instalacin, con el fin de evaluar la efectividad que posee y presentar algunas sugerencias (siempre y cuando sea necesario) a la gerencia de la empresa. Adems, la auditora de sistemas realiza la verificacin y el anlisis de la informacin, como tambin, el examen de los procesos que se encuentran en el rea de procesamiento automtico de datos y el empleo de los recursos que intervienen en los mismos, para si poder llegar a establecer el nivel de eficiencia, efectividad y especialmente en la economa de todos los sistemas informticos que se encuentran instalados en una empresa para poder presentar algunas conclusiones y recomendaciones que sirvan de gua para corregir alguno desperfectos o deficiencias que pueden llegar a existir y lograr mejorarlas. La auditoria de sistemas lgicamente se encarga de realizar un proceso de recoleccin y evaluacin de evidencia para poder determinar los errores y caractersticas de un sistema.

Por ejemplo, los daos que pueda poseer el mismo, los usos no autorizados que puedan llegar a realizarse, los robos de informacin, el mantenimiento de la integridad de toda la informacin que posee el sistema. Y algunas de las ventajas que se obtienen realizando la auditora de sistemas en una empresa son por una parte que se trata de una verificacin confiable sobre el estado en el que se encuentran los sistemas, resulta ser muy eficiente para el procesamiento de la informacin y adems es importante tener en cuenta que la auditoria de sistemas no consume ninguno de los recursos de la empresa simplemente los utiliza.

Adems de todo lo que acabamos de nombrar, la auditora de sistemas suele realizar su verificacin del sistema de un modo objetivo, sistemtico, critico, y selectivo acerca de las polticas, practicas, funciones y procesos que se encuentren directamente relacionados con los sistemas informticos que poseen la informacin de la empresa, con el nico fin de emitir una opinin profesional e imparcial. Como toda herramienta utilizada en la gestin y administracin de empresas, la auditoria de sistema tiene por objetivo encontrar una relacin optima entre el costo y beneficio de los sistemas automticos o informticos diseados

e instalados para una determinada empresa. Adems de hacer que los sistemas informticos resulten mucho mas fciles y prcticos de usar para aquellos empleados encargados de operarlos, asegurar una mayor integridad y confiabilidad en cuanto a la informacin que se encuentra almacenada en los sistemas realizando algn control peridico. Tambin es importante que la auditora de sistemas conozca la situacin de toda el rea informtica de la empresa para poder garantizar la seguridad personadle todos los datos e instalaciones que posea el sistema.

Controles de auditora de sistemas

Los controles de la auditoria de sistemas son el grupo de disposiciones metdicas que sirven de ayuda para vigilar las funciones y actitudes que poseen las empresas y as poder llevar a cabo la verificacin de que todo se realice conforme a los programas instalados, las ordenes impartidas y los principios admitidos.

Estos controles que utiliza la auditora de sistemas de dividen en tres calificaciones; la primera de ellas es el control preventivo, que se encargan de reducir la frecuencia con la que ocurren todas las situaciones de riesgo para el sistema, como por ejemplo los sistemas de claves de acceso; los controles de deteccin que detectan los errores una vez que los mismos ocurrieron, y por lo general son los controles ms importantes que posee la auditoria de sistemas ya que gracias a ellos se puede evaluar la eficiencia de los controles preventivos y adems nos permiten conocer los errores que se produjeron para poder modificarlos o corregirlos. La tercer clasificacin de los controles de la auditora de sistemas son los controles correctivos, son los encargados de corregir cualquier tipo de error o desperfecto que se presente en el sistema. En conclusin podemos decir que la auditoria de sistemas es una de las herramientas fundamentales de las que requiere una empresa, ya que gracias a la misma se pueden evitar errores que pueden resultar muy graves para cualquier departamento que este a cargo de la administracin o gerencia de la empresa. Debemos tener en cuenta que en la actualidad el 99% de las empresas, ya sean PyMES o grandes empresas, se manejan mediante un sistema totalmente controlado mediante la informtica, por lo que un pequeo error puede llegar a daar mucho tiempo dedicado a un determinado trabajo.