JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORA DE SISTEMAS

Las empresas acuden a las auditoras cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases: 1. Sntomas de descoordinacin y desorganizacin: y No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa. y Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente. y Desconocimiento en el nivel directivo de la situacin informtica de la empresa y Falta de una planificacin informtica y Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin

2. Sntomas de mala imagen e insatisfaccin de los usuarios: y No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc. y No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido permanentemente. y No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones crticas y sensibles. y Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados

3. Sntomas de debilidades econmico-financiero: y Incremento desmesurado de costes. y Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones). y Desviaciones Presupuestarias significativas. y Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin).

4. Sntomas de Inseguridad: Evaluacin de nivel de riesgos

Seguridad Lgica: Cuando no hay una aplicacin efectiva de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo y pueda ocasionar lo siguiente: y y y y Acceso a los programas y archivos no autorizados. Existen datos, archivos y/o programas que generan resultados o salidas incorrectas en los sistemas. La informacin transmitida ha sido recibida a otros destinatarios La informacin recibida no sea la misma que ha sido transmitida.

Seguridad Fsica: Se refiere a la deficiencia o ausencia de controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Las principales amenazas que se prevn en la seguridad fsica que justifican una auditoria de sistemas son por verificacin de informacin y causantes ante: y y Desastres naturales, incendios accidentales, tormentas e inundaciones. Amenazas ocasionadas por el hombre como: Disturbios, sabotajes internos y externos deliberados.

JUSTIFICATIVOS PARA APLICAR UNA AUDITORA A LOS SISTEMAS DE INFORMACIN

Al considerar un Sistema de Informacin como un conjunto de normas y procesos generales de una determinada, se deben considerar algunos puntos negativos y positivos que afectan directamente al sistema as por ejemplo cuando existe migracin de datos, la informacin migra o se cambia a otro sistema ms sofisticado): Actualizaciones: Se refiere a que los sistemas de informacin de cualquier empresa, debe ser revisado peridicamente; no con una frecuencia continua, sino ms bien espaciada, se recomienda las revisiones bianuales (No se recomienda que se actualice en una empresa paulatinamente, por ejemplo el software, cuadros estadsticos, es recomendable dentro de un ao cambiarlo, todo lo que es mquinas y software; porque si no realizaramos esto, se cambiara toda la estructura organizacional de la misma).

Reestructuracin Organizacional:

Puede ser una reestructuracin con los mismos puestos. Una reestructuracin organizacional con cualquier empresa, implica cambios siempre en vista a buscar un mejor funcionamiento, evitar la burocracia, agilitar trmites o procesos, la reestructuracin puede ser de varios tipos, as por ejemplo. Aumentar o disminuir departamentos, puestos, reestructuracin de objetivos, etc. Siempre la reestructuracin afecta a los sistemas de informacin de la empresa.

Revisin y Valorizacin del escalafn: No es para bien si no tambin para mal. La revisin y la revalorizacin del escalafn se espera que afecte a favor de los sistemas de informacin de las empresas, si el efecto es contrario el auditor informtico deber emitir un informe del empleado a los empleados (Especficamente de departamentos), que estn boicoteando la informacin de la empresa.

Cambios en el flujo de Informacin: Se refiere al cambio de flujo de datos exclusivamente en el rea informtica, esto afecta directamente en sistema informtico y por tanto al sistema de informacin. En lo que respecta a la Auditora informtica, el efecto puede ser positivo y negativo, dependiendo a los resultados obtenidos en cuanto al proceso de datos (menos seguridad, ms seguridad, backup). As por ejemplo: Se ha cambiado el flujo de informacin en el rea contable, para generar los roles mensuales (De inicio del rol era realizado por la secretaria, la cual ingresaba las existencias, fallas, atrasos, etc.; determinando un monto a descontar. Un monto bruto y un salario final, esto pasaba a la contadora para que justifique especialmente multas, se rectificaba en algunos casos, y se mandaba a imprimir el rol. Se considera un nuevo flujo de informacin, en el cual se ingresan los datos a un sistema informtico, y de acuerdo a los parmetros y normas de la empresa el sistema arroja un sueldo lquido a cobrarse, genera automticamente el reporte, los cheques y el contador solo aprueba este reporte).

VENTAJAS Y DESVENTAJAS DEL USO DEL COMPUTADOR POR EL AUDITOR.

Ventajas En general, el auditor debe utilizar la computadora en la ejecucin de la auditoria ya que esta herramienta permitir ampliar la cobertura del examen reduciendo el tiempo y costo de las pruebas y procedimientos de muestreo que de otra manera tendran que efectuarse manualmente. Adems la computadora puede ser empleada por el auditor en:

Verificacin de cifras totales y clculos para comprobar la exactitud de los reportes de salida producidos por el departamento de informtica. y y y y Pruebas de los registros de los archivos para verificar la consistencia lgica la validacin de condiciones y la racionabilidad de los montos de las operaciones. Clasificacin de datos y anlisis de la ejecucin de procedimientos Seleccin e impresin de datos mediante tcnicas de muestreo y confirmaciones Llevar a cabo en forma independiente una simulacin del proceso de transacciones.

Desventajas: Los procedimientos de Obtencin de la evidencia de auditora pueden aplicarse por medio del uso de procedimientos de auditora manual, tcnicas de auditora asistida por computador, o una combinacin de ambos. Sin embargo algunos solo pueden obtenerse de forma manual en los siguientes casos: Evidencia fsica: Deben realizarse manualmente y puede incluir observacin de actividades, propiedad y funciones de los sistemas de informacin, tales como: Un inventario de medios magnticos en una bodega externa; o Un sistema de seguridad residente en un computador que est en operacin. Evidencia documentada: Puede incluir: Resultado de datos extrados, registro de transacciones, programas registrados Facturas, control de registro, representacin de aquellas auditoras que han sido o pueden ser evidencia documentada como: Polticas y procedimientos escritos, Sistemas flowcharts y Declaracin oral y escrita Los resultados del anlisis de la informacin a travs de comparaciones, clculos e ndices pueden tambin ser usados como evidencia de auditora. Por ejemplo, comparacin a periodos anteriores; y comparacin de ndices de tasas errneas entre aplicaciones, transacciones y usuarios. Disponibilidad y evidencia de auditora: El auditor de debe considerar el tiempo durante el cual la informacin existe o est disponible para determinar la naturaleza, perodo y extensin de las pruebas sustantivas, y , si es aplicable, la prueba de cumplimiento. Por ejemplo, el reporte de un estado de cuenta de un cliente que arroj un saldo errado, pero que actualmente se muestre correcto, o un programa de captura pantalla mostrando un error, son elementos que pueden no ser recuperables despus de un perodo especfico de tiempo si los archivos se cambian o no se respaldan. Evidencia por representaciones: Donde la evidencia de auditora obtenida en la forma de representaciones orales es crtica para la opinin o conclusin de auditora, el auditor debe obtener confirmacin escrita de las afirmaciones. Por ejemplo, donde la nica evidencia de auditora de que los reportes de excepcin se siguen es lo que dice la administracin, este es el caso en que estas afirmaciones deben obtenerse por escrito.

Obtencin de la evidencia de auditora: No siempre se usan mtodos automatizados para obtener evidencias de auditora. Estos procedimientos varan de acuerdo al sistema de informacin que est siendo auditado. El auditor debe seleccionar el procedimiento ms apropiado para el objetivo de la auditora. Deben considerarse los siguientes procedimientos: Consultas, Observaciones, Inspeccin, Confirmacin; y Reejecucin, apoyados en las Entrevistas, Cuestionarios, Encuestas, Observacin, Muestreo e Inventarios.

OTRAS VENTAJAS Y DESVENTAJAS DEL USO DEL COMPUTADOR POR EL AUDITOR. La auditora no es una actividad meramente automatizada, que implique la aplicacin de ciertos procedimientos cuyos resultados, una vez llevados a cabo son de de carcter indudable. La auditora requiere el ejercicio de un juicio profesional, slido maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos, pero los paquetes informticos disponibles en el mercado ayudan a la tarea del auditor. Los programas en paquete: Son programas generalizados de computadora diseados para desempear funciones de procesamiento de datos, tales como leer datos, seleccionar y analizar informacin, hacer clculos, crear archivos de datos as como dar informes en un formato especificado por el auditor. Ejemplo: Microsoft Office, Open Office Ventajas: Esenciales para la creacin de documentos. De no tener sta herramienta tomara mucho trabajo y tiempo crear y presentar documentos. Compatibles con casi todos los paquetes existentes en el mercado. Fciles de modificar y compartir, Desventajas: Archivos propensos a contaminacin con virus y a modificacin o eliminacin por terceros.

Los programas de utileras: Se usan por una entidad para desempear funciones comunes de procesamiento de datos, tales como clasificacin, creacin e impresin de archivos y manejo de archivos. Ventajas: Estn integrados en los sistemas operativos de las mquinas, tiles para manejo de archivos (copiar, editar, proteger, eliminar y visualizar archivos), compilar programas, detectar virus. Desventajas: Estos programas generalmente no estn diseados para propsitos de auditora y, por lo tanto, pueden no contener caractersticas tales como conteos automticos de registros o totales de control.

Los programas de administracin del sistema: Son herramientas de productividad mejorada que tpicamente son parte de un ambiente sofisticado de sistemas operativos, por ejemplo, software de recuperacin de datos o software de comparacin de cdigos, manejadores de bases de datos Ventajas: Alto grado de compatibilidad o semejanza con otras aplicaciones. Pueden permitir la organizacin de datos, generacin de informes, control de clculos, fijacin de parmetros, comparacin de datos, manipulacin de archivos, generacin de papeles de trabajo, seleccin de transacciones para su revisin. Desventajas: Como los programas de utileras, estas herramientas no estn diseadas especficamente para usarlos en auditora y su uso requiere un cuidado adicional.

Las rutinas de auditora incorporadas: a veces estn integradas en un sistema de computadoras de una entidad para proporcionar datos de uso posterior por el auditor. Incluyen: Ventajas: Pueden incorporar fotos instantneas de transacciones que permite al auditor rastrear los datos y evaluar los procesos de computadora aplicados a los datos. La informacin es reunida en un archivo especial de computadora que el auditor puede examinar. Desventajas: El auditor debe conocer con exactitud el tipo de datos que se monitorea, y adems, es posible que los datos que se registran en el monitoreo sean insuficientes como evidencia.

Los programas escritos para un propsito: Desempean tareas de auditora en circunstancias especficas. Estos programas pueden desarrollarse por el auditor, por la entidad que est siendo auditada o por un programador externo contratado por el auditor. En algunos casos el auditor puede usar los programas existentes de una entidad en su estado original o modificados porque as puede ser ms eficiente que desarrollar programas independientes.

Ventajas y y y y Diseo de procedimientos especficos al Sistema Informtico empleado para el registro de operaciones. No presenta limitaciones relacionadas con el lenguaje de consulta que emplea. Permite la verificacin de controles de aplicacin, tales como: Secuencia, Integridad, Rango, Validez, Fecha, etc. Se pueden confeccionar varios reportes para ser empleados en procedimientos posteriores.

y y

Permite organizar datos, consolidarlos y totalizarlos en funcin de los objetivos perseguidos por el auditor. Se puede simular en paralelo los procedimientos a partir de los mismos datos de entrada, para comparar los resultados obtenidos con los ficheros de salida de la aplicacin auditada.

Desventajas y y y y Elevado costo de desarrollo. Limitado nmero de reportes y consultas. Son dependientes del sistema en uso en la entidad auditada. Necesidad de mantenimiento del sistema debido a las modificaciones que habr tenido la aplicacin en los exmenes subsiguientes o por cambio de aplicacin.

Programas especializados para auditoria de sistemas: Las tcnicas de auditora asistidas por computadora son de suma importancia para el auditor de TI cuando realiza una auditora. CAAT (Computer Audit Assisted Techniques) incluyen distintos tipos de herramientas y de tcnicas, las que ms se utilizan son los software de auditora generalizado, software utilitario, los datos de prueba y sistemas expertos de auditora

Ventajas: y y y Los costos que debe enfrentar ante las modificaciones de las aplicaciones son menores. Poseen caractersticas individuales y nicas, tendiendo a ser similares en cuanto a concepto y propsitos. Poseen una amplia gama de funciones dirigidas a la verificacin del procesamiento y los controles.

Desventajas: y y Limitaciones relacionadas con el lenguaje de consulta que emplea. Con el incremento de las tecnologas de punta y la necesaria generalizacin de las aplicaciones informticas de auditora, el auditor tradicional debe enfrentarse al cambio, por lo que tendr que vencer los retos que este cambio representa. Nueva Tcnica Informtica, su auditabilidad e impacto en los procedimientos y controles. Adaptar conceptos clsicos de control a la nueva tecnologa. Desarrollo de nuevas tcnicas y herramientas para obtener evidencias.

y y y

y y y y

Aprovechar en su trabajo las ventajas de las Tcnicas Informticas. Necesidad de pistas de auditoras ms sofisticadas. Desarrollar nuevas habilidades para coordinar con otros especialistas. El auditor de sistemas de informacin debe conocer y ajustarse a las Normas Internacionales de Auditora.