Auditora IV Semestre 9 Fascculo No.

Tabla de contenido La auditora y la empresa Rol de la auditora Rol ms frecuente Nuevo rol de la auditora cambio Aplicacin del nuevo rol Planeacin del proceso de auditora Organizacin de la auditora Auditora interna y auditora externa Alcance de la auditora informtica Caractersticas de la auditora informtica Sntomas de necesidad de una auditora informtica Clases de auditora Tipos de auditora Funciones operativas de la auditora Revisin de controles de la gestin informtica Funciones bsicas de la auditora Indicadores de gestin en la auditora Resumen Bibliografa recomendada Prrafo nexo Autoevaluacin formativa

La auditora y la empresa

La auditora en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica, de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participa en el procesamiento de la informacin, a fin de que por medio del sealamiento de recomendaciones se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones.

Indicadores de logro

Al terminar el estudio del presente fascculo, el estudiante:

Identifica el papel que desempea la auditora informtica en una organizacin y su desempeo frente a los riesgos y necesidades de la misma.

Describe las funciones del auditor.

Rol de la auditora

La auditora en informtica deber comprender, no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general, desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin.

La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software) ya

que cada da es mayor el nmero de situaciones irregulares que se presentan, como consecuencia del uso y aplicacin de la Tecnologa de Informacin (T. I.), en las diferentes organizaciones, entidades, empresas y compaas en general.

El conocimiento de esta tecnologa se ha ampliado a todas las esferas; la gente aprende cada da ms, se vuelve ms estudiosa y conocedora, pero no todos estn orientados puramente al conocimiento como aumento de calidad en todos los campos; a algunos les interesa aprender ms que todo, para ver cmo efectan o generan irregularidades en provecho propio, o que como producto de lo que conocen, adquieren destreza para utilizarlas con fines alevosos y malintencionados; situacin que ligada a la prdida de valores morales, ticos y religiosos en todos los niveles y estratos de la sociedad, ha originado todo tipo de acciones fraudulentas, lo que hace imposible para la administracin, establecer controles que disminuyan los riesgos presentados.

Adicionalmente a lo anterior, las aperturas comerciales, la globalizacin, las alianzas estratgicas y las integraciones de todo tipo, de alguna manera han venido a complicar la situacin en cuanto al sistema de control interno se refiere; tambin han recargado las funciones que deben realizar los auditores.

Los aspectos citados han generado tambin, un desajuste en todos los campos relacionados con la T. I.; nadie sabe qu hacer, ni cmo hacerlo; unos dicen:

"...eso no me corresponde a m, "le toca" a los tcnicos expertos en cmputo."

Los informticos manifiestan:

"...los usuarios no colaboran, no saben lo que quieren..."

La alta administracin, no participa y delega en otros las funciones y actividades que le corresponden. Los usuarios jefes, nicamente solicitan trabajos a sistemas, sin participacin activa, y dicen:

"...Yo no s de Sistemas, pero entiendo que todo es muy fcil..."

La auditora interna, ha participado muy poco en todos los procesos, ms que todo por desconocimiento y por temor a perder la independencia, tambin por influencia de la alta administracin, que no los deja "participar".

La auditora en sistemas de informacin (ASI): se ha preocupado ms en las revisiones posteriores de lo ya realizado (cuando ya es tarde), que en el establecimiento de controles preventivos.

Todos los aspectos citados, han tenido gran influencia en la situacin actual de los sistemas de informacin diseados y desarrollados en la mayora de nuestras organizaciones; situacin que debe cambiar ya, (debi cambiar hace unos 20 ms aos), y somos nosotros, los mismos auditores quienes debemos ser agentes de este cambio.

Rol ms frecuente

La mayor preocupacin de los auditores hoy en da, en especial de los que no son auditores de sistemas de informacin, y de algunos de ellos tambin, es poder utilizar el computador para realizar las auditoras "por dentro del mismo", en la revisin de los datos que contiene; y no se han dado cuenta todava, (a pesar de estar tan avanzada esta especializacin, tanto en mtodos, tcnicas,

pronunciamientos, tecnologa, y herramientas, as como en el tiempo), que esta tarea es muy sencilla y que, ms que todo es parte sustancial de la auditora

financiera. Esta parte de las pruebas en la ASI es importante tambin, pero no lo de mayor peso; es lo ltimo que se lleva a cabo, en la parte de la evaluacin de sistemas en operacin.

Por estar pendientes de lo anterior, no han querido hacer, porque piensan o creen que no estn realizando as, lo que verdaderamente les corresponde llevar a cabo: evaluar los procesos que no requieren de un computador para efectuarlo, como son:

Gestin informtica Controles generales Procesos de adquisiciones Planificacin Seguridad Mantenimiento de equipo y sistemas Diseo y desarrollo de sistemas Evaluacin y anlisis de riesgos

No se debe perder de vista que el control de la calidad debe estar al inicio de los procesos, no al final cuando ya el producto est terminado; tal vez con defectos o fallas de origen que se presentan, precisamente, por la falta de visin y revisin en la parte inicial de todo proyecto, que es en donde se plantean las bases para el mismo; adems, estas fallas o deficiencias son muy difciles de corregir, y si se logra, resulta con un alto costo de recursos para la organizacin, adems de la desmotivacin y frustracin del personal que particip en su desarrollo, y del consecuente "enojo" con los auditores por efectuar las revisiones y criticar cuando el trabajo est terminado y no al principio que es cuando ellos lo necesitan, como soporte, colaboracin y ayuda a su labor.

Nuevo rol de la auditora - Cambio

Si desean continuar revisando al final, no existe nada que lo impida, pero es importante que nos propongamos a realizar el cambio que se necesita, para que se atienda una serie de aspectos que se han dejado de lado y que son bsicos para lograr que se diseen sistemas de informacin como los requieren nuestras organizaciones, que tengan las protecciones, seguridades y controles que permitan su adecuado y correcto funcionamiento, y que soporten los ataques de los que intenten violentarlos para cometer actos irregulares.

Este cambio se refiere a que dejemos de ser REVISORES y nos convirtamos en ASESORES Y CONSULTORES, en aquellos puntos o aspectos de la T.I. en que se ha venido fallando desde sus inicios con el computador ENIAC en 1945, como es el: "CICLO DE VIDA DEL DESARROLLO DE SISTEMAS"

y algunos otros conceptos relacionados con l.

Es en este campo en donde reside el fundamento y la base de:

Los sistemas de informacin La aplicacin correcta de la tecnologa de informacin La administracin de la informacin El sistema de control interno La auditora de sistemas de informacin Los procesos de reingeniera Los sistemas como soporte de la productividad

Aplicacin del nuevo rol

Se debe aprovechar la T.I. para aplicar los conceptos de la Reingeniera; por lo tanto si queremos verdaderamente colaborar con nuestras entidades, debemos comenzar por efectuar reingeniera en nuestra forma de realizar las actividades de auditora, (disminucin de papeles de trabajo; menos procedimientos y procesos; eliminacin de tareas paralelas; aumento en la participacin y mayor valor agregado), si deseamos que los Sistemas de Informacin cumplan con la funcin para los cuales se conciben y desarrollan. Entonces variemos sustancialmente la forma de realizar nuestro trabajo, de ahora en adelante (ahora significa HOY, no la espera de otros 10 15 aos) vamos a:

ASESORAR, NO A REVISAR.

El CVDS se divide, para efectos de su aplicacin, en dos partes: tcnica

administrativa. La primera de ellas se conoce y se est manejando bastante bien, aunque slo sea por los tcnicos en Informtica; slo resta que le hagamos ver a la alta administracin, que deben velar porque los tcnicos mencionados, la lleven a cabo en todos sus extremos y que se cumpla a cabalidad con todos sus requisitos esenciales, los cuales se citan a continuacin:

Ladillo CVDS: ciclo de vida del desarrollo de sistemas.

reas de control (planificacin; diseo; desarrollo e implantacin). Etapas correspondientes a cada rea de control, independientemente de la metodologa que se emplee.

Actividades de cada una de las etapas. Productos finales de cada una de las etapas. Participantes en el proceso total.

Realizando esta parte con cuidado y diligencia, con la participacin de todos los involucrados y el apoyo irrestricto de la Alta Direccin, y agregando los aspectos que se citan en la parte administrativa, se podr en un futuro cercano, contar con sistemas de informacin que cumplan su verdadera misin:

"Suministrar datos e informacin que soporten la toma de decisiones, a todos los niveles de la organizacin, con lo que asisten a la consecucin de objetivos y metas".

Debe tenerse muy en cuenta que ambas partes citadas deben verse como una sola a la hora de desarrollar una aplicacin; no puede ni debe desligarse una de la otra, y por ms bien que funcione una de ellas, si la otra no funciona de igual manera, continuaremos con la cantaleta de siempre:

"que los sistemas de informacin no estn bien...";

por no decirlo de otra manera.

As que tambin debe ponrsele mayor atencin todava, a la segunda de las partes citadas, ya que sta no depende en absoluto de los tcnicos, sino ms bien de la Administracin, y es en este aspecto en donde se ha estado fallando mucho, ms que todo por:

Falta de involucrar a la alta direccin. Dejar en manos de los tcnicos todo el proceso. Exigencias e imposiciones de la alta direccin.

Necesidad de los tcnicos de cumplir con lo solicitado aunque no est bien definido.

Falta de integracin. El tomar la herramienta de cmputo como un ente "solucionador de problemas".

El no saber distinguir los diferentes tipos de sistemas de informacin. La ausencia de polticas, estndares y procedimientos El desconocimiento de lo que es el CVDS y el grado de participacin de los involucrados.

Actividad 2.1

Identifique y describa el papel del auditor de Sistemas o informtica en los procesos operativos de una organizacin. Adems, califique cada uno de estos aspectos de acuerdo con su importancia o impacto dentro de la empresa.

Planeacin del proceso de auditora

Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo.

En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos:

Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.

Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas; con base en esto, planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

Actividad 2.2

Determine los factores que inciden en el xito de un proceso de auditora informtica y explique sus argumentos.

Organizacin de la auditora

La auditora nace como un rgano de control de algunas instituciones estatales y privadas. Su funcin inicial es estrictamente econmico-financiera, y los casos inmediatos se encuentran en las peritos judiciales y las contrataciones de expertos por parte de Bancos Oficiales.

La funcin auditora debe ser absolutamente independiente; no tiene carcter ejecutivo. Queda a cargo de la empresa tomar las decisiones pertinentes. La auditora contiene elementos de anlisis, de verificacin y de exposicin de debilidades. Aunque pueden aparecer sugerencias y planes de accin para eliminar las desviaciones y debilidades detectadas, estas sugerencias plasmadas en el informe final reciben el nombre de recomendaciones.

Las funciones de anlisis y revisin que el auditor informtico realiza, pueden chocar con la sicologa del auditado, ya que es un informtico y tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible. El nivel tcnico del auditor es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea.

Adems del chequeo de los Sistemas, el auditor somete al auditado a una serie de cuestionarios. Dichos cuestionarios, llamados Check List, son guardados celosamente por las empresas auditoras, ya que son activos importantes de su actividad. Los Check List tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicados y mal recitados se pueden llegar a obtener resultados distintos a los esperados por la empresa auditora. Los Check List pueden llegar a explicar cmo ocurren los hechos pero no por qu ocurren. El cuestionario debe estar subordinado a la regla, a la norma, al mtodo. Slo una metodologa precisa puede desentraar las causas por las cuales se realizan actividades tericamente inadecuadas o se omiten otras correctas.

Ladillo Check list: listas o cuestionarios de chequeo.

Observacin El auditor slo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situacin analizada por l mismo.

Auditora interna y auditora externa

La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la empresa, o sea, que puede optar por su disolucin en cualquier momento.

Por otro lado, la auditora externa es realizada por personas ajenas a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la auditora interna, debido al mayor distanciamiento entre auditores y auditados.

La auditora informtica interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditora externa, las cuales no son tan perceptibles como en las auditoras convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente realizando revisiones globales, como parte de su plan anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las auditoras, especialmente cuando las consecuencias de las recomendaciones habidas benefician su trabajo.

En una empresa, los responsables de informtica escuchan, orientan e informan sobre las posibilidades tcnicas y los costos de tal Sistema. Con voz, pero a menudo sin voto, informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La empresa necesita controlar su informtica y sta necesita que su propia gestin est sometida a los mismos procedimientos y estndares que el resto de aquella. La conjuncin de ambas necesidades se cristaliza en la figura del auditor interno informtico.

En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una auditora propia y permanente, mientras que el resto acuden a las auditoras

externas. Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajo a la auditora interna de la empresa cuando sta existe.

Finalmente, la propia informtica requiere de su propio grupo de Control Interno, con implantacin fsica en su estructura, puesto que si se ubicara dentro de la estructura informtica ya no sera independiente. Hoy, ya existen varias organizaciones informticas dentro de la misma empresa, y con diverso grado de autonoma, que son coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas.

Una empresa o institucin que posee auditora interna puede y debe en ocasiones contratar servicios de auditora externa. Las razones para hacerlo suelen ser:

Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios no estn suficientemente capacitados.

Contrastar algn informe interno con el que resulte del externo, en aquellos supuestos de emisin interna de graves recomendaciones que chocan con la opinin generalizada de la propia empresa.

Servir como mecanismo protector de posibles auditoras informticas externas decretadas por la misma empresa.

Aunque la auditora interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa; por lo tanto, es necesario que se le realicen auditoras externas como para tener una visin desde afuera de la empresa.

La auditora informtica, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto es, por encargo de la direccin o cliente.

Alcance de la auditora informtica

El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditora informtica y se complementa con los objetivos de sta. El alcance ha de figurar expresamente en el informe final, de modo que quede perfectamente determinado, no solamente hasta qu puntos se ha llegado, sino cules materias fronterizas han sido omitidas. Ejemplo: Se sometern los registros grabados a un control de integridad exhaustivo? Se comprobar que los controles de validacin de errores son adecuados y suficientes?

Observacin La no definicin de los alcances de la auditora compromete el xito de la misma.

Caractersticas de la auditora informtica

La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus stocks o materias primas si las hay. Del mismo modo, los sistemas informticos han de protegerse de modo global y particular: a ello se debe la existencia de la auditora de seguridad informtica en general, o la auditora de seguridad de alguna de sus reas, como pudieran ser desarrollo de sistemas. Cuando se producen cambios estructurales en la informtica, se reorganiza de alguna forma su funcin: se est en el campo de la auditora de organizacin informtica.

Estos tipos de auditoras engloban las actividades auditoras que se realizan en una auditora parcial. De otra manera: cuando se realiza una auditoria del rea de Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese

desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Sntomas de necesidad de una auditora informtica

Las empresas acuden a las auditoras externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases:

Sntomas de descoordinacin y desorganizacin:

No coinciden los objetivos de la informtica de la compaa y de la propia compaa.

Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente.

Sntomas de mala imagen e insatisfaccin de los usuarios:

No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los usuarios, alteracin o cambios de los archivos que deben ponerse diariamente a su disposicin, etc.

No se reparan los daos de Hardware ni se resuelven las quejas en plazos razonables. El usuario percibe que est abandonado y desatendido permanentemente.

No se cumplen, en todos los casos, los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de aplicaciones crticas y sensibles.

Sntomas de debilidades econmico-financiero:

Incremento desmesurado de los costos.

Necesidad de justificacin de inversiones informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones).

Desviaciones presupuestarias significativas. Costos y plazos de nuevos proyectos (deben auditarse

simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin).

Sntomas de inseguridad: evaluacin de nivel de riesgos:

Seguridad lgica Seguridad fsica Confidencialidad Continuidad del servicio. Es un concepto an ms importante que la seguridad. Establece las estrategias de continuidad entre fallas mediante planes de contingencia.

Centro de proceso de datos fuera de control. Si tal situacin llegara a percibirse, sera prcticamente intil la auditora.

Clases de auditoras

El Departamento de Informtica posee una actividad proyectada al exterior, al usuario, aunque el "exterior" siga siendo la misma empresa. He aqu, la Auditora Informtica de Usuario. Se hace esta distincin para contraponerla a la informtica interna, en donde se hace la informtica cotidiana y real. En consecuencia, existe una Auditora Informtica de Actividades Internas.

El control del funcionamiento del Departamento de informtica con el exterior, con el usuario se realiza por medio de la Direccin. Su figura es importante, en cuanto es capaz de interpretar las necesidades de la Compaa. Una informtica eficiente

y eficaz requiere el apoyo continuado de su Direccin frente al "exterior". Revisar estas interrelaciones constituye el objeto de la Auditora Informtica de Direccin. Estas auditoras, ms la Auditora de Seguridad, son las reas Generales de la Auditora Informtica ms importantes.

Dentro de las reas generales, se establecen las siguientes divisiones de Auditora Informtica: de Operacin, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las reas Especificas de la Auditora Informtica ms importantes.

reas Especficas reas Generales Interna Operacin Desarrollo Sistemas Comunicaciones Seguridad Direccin Usuario Seguridad

Cada rea especfica puede ser auditada desde los siguientes criterios generales:

Desde su propio funcionamiento interno. Desde el apoyo que recibe de la Direccin y, en sentido ascendente, del grado de cumplimiento de las directrices de sta.

Desde la perspectiva de los usuarios, destinatarios reales de la informtica. Desde el punto de vista de la seguridad que ofrece la informtica en general o el rea auditada.

Estas combinaciones pueden ser ampliadas y reducidas segn las caractersticas de la empresa auditada.

Tipos de auditora

Existen algunos tipos de auditora entre los que la Auditora Informtica integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la funcin informtica. Es necesario recalcar que Auditora de Sistemas o Informtica no es lo mismo que Auditora Financiera.

Entre los principales enfoques de Auditora tenemos los siguientes:

La Auditora Financiera brinda veracidad de estados financieros, preparacin de informes de acuerdo con principios contables, evala la eficiencia.

La Auditora Operacional brinda eficacia, economa, buenos mtodos y procedimientos que rigen un proceso de una empresa.

La Auditora de Sistemas se preocupa de la funcin informtica.

La Auditora Fiscal se dedica a observar el cumplimiento de las leyes fiscales.

La Auditora Administrativa analiza el logro de los objetivos de la administracin, el desempeo de funciones administrativas y evala: la calidad de los procedimientos, hace mediciones, evala controles de los bienes y servicios y revisa la contribucin a la sociedad, as como la participacin en actividades socialmente orientadas.

Actividad 2.3

1. Describa las clases y tipos de auditoras y determine cules son las ms utilizadas en Colombia. Justifique su respuesta.

2. De qu depende la utilizacin de las clases y tipos de Auditora en las organizaciones? Explique su respuesta.

Funciones operativas de la auditora

La operatividad es una funcin que consiste en que la organizacin y las mquinas funcionen adecuadamente. No es admisible detener la maquinaria informtica para descubrir sus fallos y comenzar de nuevo. La auditora debe iniciar su actividad cuando los Sistemas estn operativos; ese es el principal objetivo: mantener tal situacin.

La operatividad de los sistemas ha de constituir, entonces, la principal preocupacin del auditor informtico. Para conseguirla hay que acudir a la realizacin de Controles Tcnicos Generales de Operatividad y Controles Tcnicos Especficos de Operatividad, previos a cualquier actividad de aquel.

Los controles tcnicos generales son los que se realizan para verificar la compatibilidad de funcionamiento simultneo del Sistema Operativo y el software de base con todos los subsistemas existentes, as como la compatibilidad del hardware y del software instalados. Estos controles son importantes en las instalaciones que cuentan con varios competidores, debido a que la profusin de entornos de trabajo muy diferenciados obliga a la contratacin de diversos productos de software bsico, con el consiguiente riesgo de abonar ms de una vez el mismo producto o desaprovechar parte del

software instalado. Puede ocurrir tambin con los productos de Software bsico desarrollados por el personal de Sistemas Interno, sobre todo cuando los diversos equipos estn ubicados en Centros de Proceso de Datos geogrficamente alejados. Lo negativo de esta situacin es que puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo trabajando independientemente, pero no ser posible la

interconexin e intercomunicacin de todos los Centros de Proceso de Datos si no existen productos comunes y compatibles.

Los controles tcnicos especficos, son igualmente necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar mal, son parmetros de asignacin automtica de espacio en disco que dificulten o impidan su utilizacin posterior por una seccin distinta de la que lo gener. Tambin, los periodos de retencin de archivos comunes a varias aplicaciones, pueden estar definidos con distintos plazos en cada una de ellas, de modo que la prdida de informacin es un hecho que podr producirse con facilidad, quedando inoperativa la explotacin de alguna de las aplicaciones

mencionadas.

Revisin de controles de la gestin informtica

Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la Auditora es la verificacin de la observancia de las normas tericamente existentes en el Departamento de Informtica y su coherencia con las del resto de la empresa. Para ello, habrn de revisarse sucesivamente y en este orden:

1. Las normas generales de la instalacin informtica. Se debe realizar una revisin inicial, registrando las reas que carezcan de normatividad, y sobre

todo verificando que esta normatividad general informtica no est en contradiccin con alguna Norma General no informtica de la empresa.

2. Los procedimientos generales informticos. Se verificar su existencia, al menos, en los sectores ms importantes. Por ejemplo, la recepcin de las mquinas debera estar firmada por los responsables de su uso. Tambin el entregar en funcionamiento una nueva aplicacin podra producirse si no existieran los procedimientos de backup y recuperacin correspondientes.

3. Los procedimientos especficos informticos. se debe revisar su existencia en las reas fundamentales. En Desarrollo no debera salir a produccin una Aplicacin sin haber exigido la pertinente documentacin. Del mismo modo, deber comprobarse que los procedimientos especficos no se opongan a los procedimientos generales.

Funciones bsicas de la auditora

Las siguientes son las principales funciones que se deben desarrollar en una auditora informtica:

Buscar la mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados, implantados o adquiridos por el rea de informtica.

Incrementar la satisfaccin de los usuarios de los sistemas computarizados.

Asegurar la mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles.

Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos, la seguridad del personal, de los datos, hardware, software e instalaciones de la empresa.

Apoyar la funcin informtica, las metas y objetivos de la organizacin, en cuanto a la seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico.

Minimizar existencias de riesgos en el uso de la tecnologa de informacin

Estudiar y analizar las decisiones de inversin y gastos innecesarios en tecnologa.

Capacitar y educar sobre controles en los sistemas de informacin

Actividad 2.4

Describa cmo puede realizar las funciones de Auditoria Informtica mediante un plan de trabajo.

Indicadores de gestin en la auditora

Para garantizar el xito en la gestin de un auditor informtico o de sistemas podemos dividir el proceso de auditora en: planeacin, personal, control e informes de desempeo.

Planeacin: la administracin de la auditora debe desarrollar una matriz de la planeacin de la auditora Informtica para determinar las reas que sern evaluadas durante un periodo (sistemas de informacin existentes, desarrollo de sistemas, reas usuarias, adquisicin de tecnologa, proveedores, etc.).

Para lograr esto hay que mantener actualizada y al alcance la informacin referente a los sistemas de informacin, equipos, software, planes de informtica, planes de auditora (financiera, operacional, etc.). componentes para el xito de la planeacin son: Algunos

Juntas formales para discutir los planes de auditoria informtica. Revisiones peridicas y seguimiento de las deficiencias y debilidades importantes que fueron detectadas. Intercambio de los reportes de auditora y otros documentos orientados a brindar el aseguramiento de la calidad. Proveer la capacitacin necesaria Usar metodologas, tcnicas y herramientas comunes.

Personal: cada organizacin debe contar con polticas y procedimientos de seleccin y contratacin de personal, en donde se identifiquen las habilidades, perfiles y competencias necesarios para los cargos de la organizacin y en especial de los auditores en informtica ya que es importante para la organizacin, pues se requiere un nivel de preparacin suficiente y confiable en las reas de auditora e informtica. La oportunidad y el nivel de evaluacin que se hagan sobre estos procedimientos de seleccin junto con la capacitacin que se brinde al personal, determinar la calidad, confiabilidad y productividad con que se ejecuten los proyectos de auditora informtica.

Cuando se contrate personal de auditora informtica, la administracin debe tener en cuenta atributos y habilidades profesionales inherentes a este tipo de

cargos, tales como experiencia, educacin, adaptabilidad, inteligencia, determinacin y diligencia.

Control: la supervisin oportuna asegura que las auditoras planeadas sean de calidad y consistentes. La supervisin es un proceso continuo que inicia en la planeacin de la auditora y termina con la entrega y aprobacin del informe de auditora y el seguimiento que posteriormente se debe hacer a las recomendaciones aplicadas.

Informes de desempeo: estos representan una herramienta muy importante para que se evalen los siguientes aspectos:

Productividad y calidad de los proyectos Resultados Avance de los proyectos reas susceptibles de control y seguimiento Seguimiento individual y de grupo

En resumen, para que exista aseguramiento de calidad o un control eficiente de los proyectos, el gerente o responsable de la funcin de auditora informtica debe revisar cada deficiencia encontrada en los informes de auditora.

Actividad 2.5

Explique de qu depende el xito en la gestin de un auditor de sistemas.

Resumen

Si se lograra influir lo suficiente en los niveles administrativos para que comprendan los siguientes puntos y aspectos esenciales: que la gestin de los sistemas de informacin le corresponde a ellos; que el aplicar correcta y adecuadamente los conceptos antes citados, son vitales para el xito de las aplicaciones; que se deben integrar los equipos de trabajo de manera que se cumpla con los objetivos de control y los de la organizacin; que los proyectos informticos deben controlarse y determinar claramente su costo con el fin de capitalizarlos si fuere necesario; que los comits de seguimiento son esenciales; podramos estar tranquilos y seguros que nuestra funcin de asesores y consultores est funcionando como se debe, y saber que cuando se siguen estos lineamientos se obtendrn sistemas que no van a necesitar mantenimiento excesivo, que Sistemas va a ser parte de la solucin y no parte del problema, como lo es hoy en da.

Bibliografa recomendada

Hernndez Hernndez, Enrique. CECSA, 2000.

Auditora en Informtica. Mxico: Editorial

Piettini, G., Emilio del Peso. Auditora Informtica, un enfoque prctico. Mxico: Editorial Alfaomega, segunda edicin, 2001.

Prrafo nexo

En el prximo fascculo dedicaremos nuestra atencin a la planeacin de la auditora.

Autoevaluacin formativa

1.

Cul es el rol de la Auditora?

2.

Explique los pasos en el proceso de Auditora.

3.

Cmo est organizada la Auditora?

4.

Cul es la Funcin de la Auditora?

5.

Cules son los indicadores de gestin en el trabajo de la Auditora?